La plus grande fuite de données jamais enregistrée vient d’être révélée, et elle fait froid dans le dos. Pas moins de 16 milliards d’identifiants et de mots de passe ont été découverts en ligne, dans une trentaine de bases de données massives, pour la plupart issues de malwares de type infostealer. Certaines auraient aussi été exposées suite à des configurations cloud défaillantes.
Apple, Google, Facebook, Telegram, GitHub… quasiment aucun service n’a été épargné. Et le plus inquiétant dans tout ça ? La majorité des identifiants compromis n’avaient jamais été exposés auparavant. Il ne s’agit donc pas d’un recyclage de vieilles brèches, mais de données fraîches, déjà en circulation sur le dark web. Si vous utilisez encore le même mot de passe partout, il est clairement temps d’agir.
Une compilation inédite de 30 bases de données
C’est le site Cybernews qui a levé le voile sur cette fuite massive. Depuis le début de l’année, les chercheurs analysent des ensembles de données exposés sur Internet, parfois brièvement accessibles via des services mal configurés. Ils ont ainsi identifié 30 bases de données différentes, contenant chacune de dizaines de millions à plus de 3,5 milliards d’enregistrements.
Au total, ce sont pas moins de 16 milliards d’identifiants qui ont été rassemblés : des adresses e-mail, des noms d’utilisateur et des mots de passe, tous organisés selon un format standard très apprécié des cybercriminels : URL, identifiant, mot de passe. Cette structure permet de lancer facilement des attaques automatisées sur n’importe quel service en ligne.
Et ce n’est pas tout : certaines de ces bases incluent aussi des jetons d’authentification, des cookies de session ou encore des métadonnées. Autrement dit, même les protections classiques comme les mots de passe forts peuvent ne pas suffire si l’attaquant dispose de ce genre d’informations.
Apple, Google, Facebook… et vous ?
D’après les chercheurs, les identifiants exposés couvrent pratiquement tous les services grand public imaginables. On retrouve notamment Apple, Google, Facebook, Telegram, GitHub, mais aussi des plateformes VPN, des portails développeurs et même des services gouvernementaux. Quand on parle de 16 milliards d’enregistrements, il y a de fortes chances que vous ou l’un de vos comptes soyez concernés.
Et ce n’est pas seulement la quantité qui inquiète : c’est aussi la fraîcheur des données. Contrairement à d’anciennes fuites qui circulent encore sur le dark web, la majorité de ces identifiants n’avaient jamais été publiés auparavant. Autrement dit, les pirates ont entre les mains des accès exploitables dès maintenant, avec parfois des sessions encore actives, des cookies valides ou des jetons d’accès non expirés.
Ce type de fuite est un terrain idéal pour :
- les attaques par phishing ciblé,
- les prises de contrôle de compte,
- les intrusions dans les messageries,
- ou encore les compromissions de comptes professionnels, en particulier si l’identifiant personnel et le mot de passe sont les mêmes.
Comment réagir dès maintenant
Même si vous pensez ne pas être concerné, c’est le moment de faire un point complet sur vos comptes en ligne. Voici les actions à mettre en place sans attendre :
- Changez vos mots de passe, surtout si vous avez tendance à réutiliser le même sur plusieurs sites. Commencez par les comptes les plus sensibles (mail, réseaux sociaux, services bancaires…).
- Activez l’authentification à deux facteurs (2FA) partout où c’est possible. Un simple mot de passe ne suffit plus à sécuriser un compte aujourd’hui.
- Utilisez un gestionnaire de mots de passe pour générer et stocker des mots de passe forts, différents pour chaque service. Des solutions comme Bitwarden, KeePassXC ou NordPass peuvent faire le travail.
- Surveillez les fuites avec des services comme Have I Been Pwned, DataBreach ou ceux proposés par certains gestionnaires de mots de passe. Ils vous alertent si vos identifiants apparaissent dans une base compromise.
- Restez vigilant face au phishing : méfiez-vous des mails ou SMS suspects, surtout s’ils vous demandent de cliquer sur un lien ou de saisir vos identifiants.
- Et si le service le permet, passez aux passkeys, une méthode d’authentification plus moderne et plus sûre, soutenue par Google, Apple et Microsoft.
Une fuite historique qui appelle à la vigilance
Ce genre de fuite massive n’est malheureusement plus une exception. Après les 10 milliards de mots de passe de RockYou2024 et les 26 milliards d’enregistrements du MOAB, cette nouvelle compilation de 16 milliards d’identifiants inédits montre à quel point la sécurité numérique reste fragile.
Le plus inquiétant, c’est que personne n’est vraiment à l’abri : même sans avoir été piraté directement, vos identifiants peuvent se retrouver dans une base de données mal protégée ou être collectés par un malware passé inaperçu.
Mieux vaut donc ne pas attendre de voir son compte piraté pour réagir. Changer ses habitudes de sécurité, c’est maintenant. Pas demain, pas quand « on aura le temps ». Et si votre mot de passe, c’est encore « azerty123 », on vous laisse deux minutes pour aller le changer avant de fermer cet onglet.
Source : Forbes
Allez on change encore les mots de passe… que c’est relou
Ah ouais là c’est chaud c’est pas la petite fuite, je vais prendre quelques minutes pour changer les mots de passe 🙂 merci pour l’info
Il est dit
« Le plus inquiétant, c’est que personne n’est vraiment à l’abri : même sans avoir été piraté directement, vos identifiants peuvent se retrouver dans une base de données mal protégée ou être collectés par un malware passé inaperçu. »
Il manque un point important : Le piratage de sites qui est AUSSI une source de fuites
Déjà il faut savoir une chose ; Il y a environ entre 1 ou 4 sites par semaine en moyenne en France qui se font voler les données (Enfin les notres) et encore c’est ce que l’on peut détecter parce que c’est pire que cela
Il faut savoir que la CNIL a reçu 5 919 notifications de fuites de données en 2024, soit 16 violations par jour, et en hausse de 29 % par rapport à 2023.
Donc tout n’est pas rendu public (L’image du site ou de la sté, la possible perte de confiance des utilisateurs etc, sont des facteurs déterminants pour cela
D’autre, si cela devient public, minimisent la chose ou partent du principe que si il n’y a pas de données bancaires volées, cela ne sert à rien de prévenir les clients ou meme « se foutent » des données client (SIC LDLC par ex)
Vu que j’ai assuré le suivi de la chose depuis déjà quelques années, ne sont donc mis en avant dans les news que les plus connus, ou qui ont un plus grand impact selon la nature de ce qui a été volé (Vol d’ IBAN par ex) ou médiatisés surtout via les réseaux sociaux
Une majorité des sites ne s’en était même pas aperçu, d’autres, prévenus ne faisaient rien (Pas vu pas pris) ou ne savaient pas quoi faire et j’étais obligé de leur donner la marche à suivre (Pourtant la déclaration à la CNIL est obligatoire) d’autres ne me répondaient même pas
A cela on y ajoute que le contact indiqué dans les sites, est un vrai parcours du combattant parce que non adapté à ce genre de situation (je devais fournir mon identité, adresse, téléphone etc sinon il était impossible d’envoyer un mail)
Je contactais même les utilisateurs concernés lors que j’avais une base pas encore diffusée… Là aussi une majorité d’utilisateurs s’en foutait. Globalement pour eux le fait de réinstaller Windows suffisait (Cela n’a rien à voir, mais vu qu’ils utilisaient des cracks et qu’un stealer était passé par là pour eux c’était la solution)
Bref en fait cela ne sert à rien de s’affoler à chaque base volée qui apparait dans des news. Il faut partir du principe que NOS données sont déjà en circulation et adapter en conséquence (Gestionnaire de mots de passe, en changer régulièrement tout en activant le 2FA, meme si ce dernier n’est pas la panacée, c’est une brique en plus)
Ouais je sais mais flemme de changer mes mots de passe tous les 6 mois sachant que je suis inscrit sur des centaines de sites… je fais le changement sur les plus « importants » et les autres tant pis…
@Guillaume
Idem 🙂
Déjà je dois être comme toi à une centaine de sites où j’ai pratiquement une adresse mail par site avec un mot de passe généré par le gestionnaire de mots de passe, et j’établis des priorités :
Les sites où je laisse mes coordonnées bancaires par ex) ou les plus « sensibles » compte bancaire, administration, santé, jeux. ..
Bon après je n’ai pas un comportement à risques, je suis au fait de ce que les malveillants utilisent et font, je sais protéger un PC, donc le « ‘stealer » ne passera pas. La seule faille est donc les sites (Et par expérience c’est un fait lorsque je vois les adresses mail utilisées pour du phishing par ex 🙂
Sinon j’ai oublié : Dans l’article il est fait état des stealers, mais il ne faut pas oublier les vols de cookies… Là aussi il y a quelques règles « sanitaires » à adopter en lien avec le navigateur, sans compter le « nettoyage » avant d’aller faire des achats ou aller sur un site sensible avec ses identifiants (Nettoyeur Privazer par ex)
Whouah ! Merci beaucoup pour l’info !