L’équipe de Cybernews, dont le travail a été repris sur Forbes, a passé six mois à analyser cette découverte. Leur verdict est sans appel : nous venons de franchir un cap dans l’insécurité numérique. Cette fuite dépasserait tout ce qu’on avait vu jusqu’ici, et ce ne serait que le début.
Cette base de données 16 milliards d’identifiants de connexion, incluant des mots de passe d’utilisateurs des principales plateformes numériques mondiales. D’après les premières analyses, on ne parle pas ici d’une nouvelle base de données, mais d’une compilation de données de diverses fuites.
Une collecte massive orchestrée par des logiciels malveillants ?
Derrière cette hécatombe, des logiciels malveillants qu’on appelle « infostealers ». Leur mission ? Voler discrètement vos identifiants pendant que vous naviguez. Ils opèrent depuis des mois, collectant méthodiquement chaque mot de passe saisi, chaque connexion automatique.
Vilius Petkauskas, le chercheur qui a mené l’enquête, explique avoir découvert 30 bases de données distinctes. Chacune contient entre 50 millions et 3,5 milliards d’enregistrements. Du jamais vu.
Ce qui rend cette fuite particulièrement dangereuse, cela serait sa structure. Chaque entrée contient l’URL exacte du site, le nom d’utilisateur, le mot de passe et l’email associé. Un kit prêt à l’emploi pour les pirates. Pas besoin de deviner ou de tester : tout est là, clé en main.
Les cybercriminels disposent d’un « GPS du piratage ». Ils savent exactement où aller et avec quels identifiants. Cette fuite n’est pas juste un problème technique, c’est un manuel d’exploitation distribué à grande échelle.
Apple, Google, Facebook, GitHub, Telegram… La liste des plateformes touchées ressemble à tout le web. Même les services gouvernementaux figurent dans cette collection. En gros, si vous utilisez internet, vous êtes concerné.
Une compilation plutôt qu’une nouvelle violation
Une analyse plus approfondie révèle cependant que cette base de données n’a rien de nouveau.
Selon plusieurs experts en cybersécurité, notamment Lawrence Abrams de BleepingComputer, cette « méga-fuite » serait en fait une compilation d’identifiants déjà compromis par le passé. Ces données ne proviendraient pas d’une nouvelle violation massive, mais plutôt d’une agrégation de millions de « logs » générés par des infostealers au fil des années.
Certaines personnes les compilent régulièrement pour créer des bases de données impressionnantes, souvent redistribuées gratuitement sur Telegram ou Discord pour gagner en réputation. Cette pratique explique pourquoi de telles « méga-compilations » apparaissent régulièrement, comme RockYou2024 avec ses 9 milliards d’enregistrements.
Toutes les fuites ne se valent pas
Dans l’univers des cybermenaces, distinguer le vrai du faux relève parfois du défi. En effet, le marché regorge de fausses bases de données générées par intelligence artificielle, de compilations recyclées ou d’anciennes fuites remises au goût du jour. Certains acteurs malveillants créent même de toutes pièces des « méga-fuites » pour attirer l’attention ou manipuler les cours de cryptomonnaies.
Vérifier l’authenticité d’une base de données de 16 milliards d’entrées demande des ressources considérables et une grosse expertise.
Alors, que faire dans tous les cas ?
Première règle : changer ses mots de passe. Mais pas n’importe comment. Commencez par vos comptes les plus sensibles : banque, email principal, réseaux sociaux. Utilisez des mots de passe uniques et complexes pour chacun.
Pour aller plus loin
Quels sont les meilleurs gestionnaires de mots de passe gratuits et payants ?
Un gestionnaire de mots de passe devient indispensable. Ces outils génèrent des identifiants impossibles à retenir mais impossibles à pirater. Bitwarden, 1Password, Dashlane : choisissez celui qui vous convient, mais choisissez-en un.
L’authentification à deux facteurs (2FA) doit devenir automatique. Même si votre mot de passe fuite, cette couche supplémentaire bloque l’accès. SMS, application dédiée, clé physique : toutes les options sont bonnes à prendre.
Enfin, vous devez quand même éviter d’utiliser des SMS pour recevoir des codes 2FA, car il est possible de mener des attaques d’échange de carte SIM (SIM swap) pour détourner votre numéro de téléphone et les obtenir.
Pour aller plus loin
Pourquoi l’eSIM est le candidat idéal du SIM swap pour voler votre numéro de téléphone
Les passkeys représentent l’avenir. Cette technologie remplace complètement les mots de passe par une authentification biométrique ou par clé physique. Apple, Google et Microsoft poussent déjà cette solution. Adoptez-la dès que possible.
Surveillez le dark web. Des services comme HaveIBeenPwned ou les alertes intégrées aux gestionnaires de mots de passe vous préviennent quand vos données apparaissent dans une fuite. C’est gratuit et ça peut vous sauver la mise.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix