Que s'est-il passé?
Des chercheurs en cybersécurité ont découvert l'une des plus grandes fuites de mots de passe de l'histoire. 16 milliards de données de connexion ont été divulguées sur Internet, écrit le magazine économique «Forbes». La quantité de données qui a fuité est inimaginable: cela représente plus de mots de passe qu'il n'y a d'êtres humains sur la terre. Les chercheurs en sécurité de cybernews.com parlent d'un «plan de construction pour des attaques de masse».
Quels services sont concernés?
Pratiquement tous les grands services en ligne: Apple, Google, Facebook, Instagram, Telegram, Microsoft, GitHub, les fournisseurs de VPN, mais aussi les banques et les portails gouvernementaux. Les données contiennent à chaque fois l'adresse du site web, le nom d'utilisateur et le mot de passe.
Ne s'agit-il pas d'anciennes fuites?
Selon les experts, la plupart des données sont récentes. Il ne s'agit donc pas de vieilles fuites de données recyclées, mais d'«informations fraîches». Seul un petit ensemble de données avec 184 millions d'entrées était déjà connu depuis le mois de mai.
Certaines voix s'élèvent toutefois pour dire que ces données ont été en grande partie recomposées à partir de sources plus anciennes. Les chercheurs de Cybernews ont découvert la fuite dans le cadre d'une enquête menée depuis début 2025. Ils ont trouvé au total 30 ensembles de données différents, qui ont été complétés toutes les quelques semaines par des logins et qui n'étaient que temporairement en ligne. Selon l'équipe de recherche, il pourrait y avoir des recoupements dans la collection. En raison de son volume, il serait néanmoins difficile de déterminer le nombre exact d'utilisateurs concernés.
D'où proviennent les identifiants?
Les données ont probablement été obtenues par Infostealer, un logiciel malveillant qui vole les mots de passe des navigateurs, des programmes de messagerie et des applications à l'insu des utilisateurs. Ces programmes recherchent les données de connexion enregistrées sur les ordinateurs et les smartphones et les envoient aux cybercriminels. Le logiciel ne collecte pas seulement les mots de passe, mais aussi les cookies et autres métadonnées. En d'autres termes, tout ce qui est nécessaire pour une prise de contrôle complète du compte.
Est-ce dangereux?
Oui, si vous faites certaines erreurs en matière de mot de passe. Une étude sur les mots de passe réalisée début 2025 montre que plus de 90% des mots de passe divulgués sont utilisés plusieurs fois, ou sont extrêmement faibles. Par exemple, 123456, 1234 et le mot «password» font malheureusement toujours partie des favoris. Les cybercriminels lancent ensuite des attaques de «credential stuffing» avec les données divulguées. Comment cela fonctionne-t-il? Ils prennent votre mot de passe Netflix divulgué et l'essaient sur Gmail. Et chez Facebook. Et à la banque. Ils réussissent généralement quelque part. Avec un taux de réussite inférieur à 1%, ils piratent déjà des millions de comptes. Les conséquences? Prise de contrôle de comptes et vol d'identité. Mais aussi, des attaques de «phishing», une tentative de tromperie pour vous pousser à révéler des informations sensibles, ou encore des attaques de «ransomware», qui est la prise en otage des données en échange d'une rançon.
Que faut-il faire?
Il est préférable de changer tous les mots de passe, surtout pour les services importants comme la messagerie, la banque et les réseaux sociaux. Il est conseillé d'activer l'authentification à deux facteurs partout où cela est possible. Mais aussi d'utiliser un gestionnaire de mots de passe pour pouvoir avoir des mots de passe uniques et forts pour chaque service.
Pourquoi est-ce la première fois que j'en entends parler?
Les méga-fuites sont devenues presque quotidiennes. En 2024, il y a déjà eu la «Mother of All Breaches» avec 26 milliards de jeux de données, et la même année, la fuite «RockYou2024» avec dix milliards de mots de passe concernés. Tout récemment, une fuite de données contenant quatre milliards de données d'utilisateurs a été découverte en Chine. WeChat, Alipay et des données bancaires ont été touchées. La fréquence de tels incidents fait qu'ils ne font plus la une des journaux, même s'ils concernent beaucoup d'entre nous.
Y a-t-il de l'espoir?
Oui, car la technologie évolue. De grands groupes comme Apple, Google et Microsoft misent déjà sur les «passkeys», un avenir sans mot de passe, où l'empreinte digitale ou le scan du visage remplacent la connexion. Ces méthodes sont plus sûres, car elles n'utilisent pas de données transmissibles. De quoi être rassuré pour quelque temps...
