La plus grande fuite de données jamais enregistrée vient d’être révélée, et elle fait froid dans le dos. Pas moins de 16 milliards d’identifiants et de mots de passe ont été découverts en ligne, dans une trentaine de bases de données massives, pour la plupart issues de malwares de type infostealer. Certaines auraient aussi été exposées suite à des configurations cloud défaillantes.
Apple, Google, Facebook, Telegram, GitHub… quasiment aucun service n’a été épargné. Et le plus inquiétant dans tout ça ? La majorité des identifiants compromis n’avaient jamais été exposés auparavant. Il ne s’agit donc pas d’un recyclage de vieilles brèches, mais de données fraîches, déjà en circulation sur le dark web. Si vous utilisez encore le même mot de passe partout, il est clairement temps d’agir.
Une compilation inédite de 30 bases de données
C’est le site Cybernews qui a levé le voile sur cette fuite massive. Depuis le début de l’année, les chercheurs analysent des ensembles de données exposés sur Internet, parfois brièvement accessibles via des services mal configurés. Ils ont ainsi identifié 30 bases de données différentes, contenant chacune de dizaines de millions à plus de 3,5 milliards d’enregistrements.
Au total, ce sont pas moins de 16 milliards d’identifiants qui ont été rassemblés : des adresses e-mail, des noms d’utilisateur et des mots de passe, tous organisés selon un format standard très apprécié des cybercriminels : URL, identifiant, mot de passe. Cette structure permet de lancer facilement des attaques automatisées sur n’importe quel service en ligne.
Et ce n’est pas tout : certaines de ces bases incluent aussi des jetons d’authentification, des cookies de session ou encore des métadonnées. Autrement dit, même les protections classiques comme les mots de passe forts peuvent ne pas suffire si l’attaquant dispose de ce genre d’informations.
Apple, Google, Facebook… et vous ?
D’après les chercheurs, les identifiants exposés couvrent pratiquement tous les services grand public imaginables. On retrouve notamment Apple, Google, Facebook, Telegram, GitHub, mais aussi des plateformes VPN, des portails développeurs et même des services gouvernementaux. Quand on parle de 16 milliards d’enregistrements, il y a de fortes chances que vous ou l’un de vos comptes soyez concernés.
Et ce n’est pas seulement la quantité qui inquiète : c’est aussi la fraîcheur des données. Contrairement à d’anciennes fuites qui circulent encore sur le dark web, la majorité de ces identifiants n’avaient jamais été publiés auparavant. Autrement dit, les pirates ont entre les mains des accès exploitables dès maintenant, avec parfois des sessions encore actives, des cookies valides ou des jetons d’accès non expirés.
Ce type de fuite est un terrain idéal pour :
- les attaques par phishing ciblé,
- les prises de contrôle de compte,
- les intrusions dans les messageries,
- ou encore les compromissions de comptes professionnels, en particulier si l’identifiant personnel et le mot de passe sont les mêmes.
Comment réagir dès maintenant
Même si vous pensez ne pas être concerné, c’est le moment de faire un point complet sur vos comptes en ligne. Voici les actions à mettre en place sans attendre :
- Changez vos mots de passe, surtout si vous avez tendance à réutiliser le même sur plusieurs sites. Commencez par les comptes les plus sensibles (mail, réseaux sociaux, services bancaires…).
- Activez l’authentification à deux facteurs (2FA) partout où c’est possible. Un simple mot de passe ne suffit plus à sécuriser un compte aujourd’hui.
- Utilisez un gestionnaire de mots de passe pour générer et stocker des mots de passe forts, différents pour chaque service. Des solutions comme Bitwarden, KeePassXC ou NordPass peuvent faire le travail.
- Surveillez les fuites avec des services comme Have I Been Pwned, DataBreach ou ceux proposés par certains gestionnaires de mots de passe. Ils vous alertent si vos identifiants apparaissent dans une base compromise.
- Restez vigilant face au phishing : méfiez-vous des mails ou SMS suspects, surtout s’ils vous demandent de cliquer sur un lien ou de saisir vos identifiants.
- Et si le service le permet, passez aux passkeys, une méthode d’authentification plus moderne et plus sûre, soutenue par Google, Apple et Microsoft.
Une fuite historique qui appelle à la vigilance
Ce genre de fuite massive n’est malheureusement plus une exception. Après les 10 milliards de mots de passe de RockYou2024 et les 26 milliards d’enregistrements du MOAB, cette nouvelle compilation de 16 milliards d’identifiants inédits montre à quel point la sécurité numérique reste fragile.
Le plus inquiétant, c’est que personne n’est vraiment à l’abri : même sans avoir été piraté directement, vos identifiants peuvent se retrouver dans une base de données mal protégée ou être collectés par un malware passé inaperçu.
Mieux vaut donc ne pas attendre de voir son compte piraté pour réagir. Changer ses habitudes de sécurité, c’est maintenant. Pas demain, pas quand « on aura le temps ». Et si votre mot de passe, c’est encore « azerty123 », on vous laisse deux minutes pour aller le changer avant de fermer cet onglet.
Source : Forbes
Ah ouais là c’est chaud c’est pas la petite fuite, je vais prendre quelques minutes pour changer les mots de passe 🙂 merci pour l’info
Whouah ! Merci beaucoup pour l’info !