Menu
Menu

Fuite massive de mots de passe : 16 milliards de comptes Apple, Facebook, Google et gouvernementaux exposés

La Redaction
22/06/2025
0

Des experts en cybersécurité alertent sur ce qui est qualifié de la plus grande fuite de données de l’histoire, avec 16 milliards de mots de passe pour des comptes aussi variés que ceux d’Apple, Facebook, Google et même des services gouvernementaux, qui se retrouvent dans la nature. Cette révélation fait suite à l’exposition de 30 ensembles de données par de multiples « infostealers », chacun contenant des dizaines de millions, voire jusqu’à 3,5 milliards de dossiers. Si le rapport du 23 mai dernier, faisant état de 184 millions d’identifiants compromis, vous avait déjà alarmé, préparez-vous à une échelle bien plus vaste.

Est-ce la plus grande fuite de mots de passe à ce jour ?

La compromission des mots de passe n’est pas une mince affaire ; elle mène à la compromission des comptes, et par extension, à celle de presque tout ce que nous tenons pour acquis dans notre monde hyperconnecté. C’est pourquoi Google incite des milliards d’utilisateurs à remplacer leurs mots de passe par des clés d’accès (passkeys) plus sécurisées, et pourquoi le FBI met en garde contre les liens malveillants par SMS. C’est aussi pourquoi des millions de mots de passe volés sont en vente sur le dark web pour une somme dérisoire. Et c’est précisément ce qui rend cette dernière révélation si alarmante pour tout le monde.

Selon Vilius Petkauskas de Cybernews, qui mène l’enquête depuis le début de l’année, « 30 ensembles de données exposées contenant de dizaines de millions à plus de 3,5 milliards de dossiers chacun » ont été découverts. Au total, Petkauskas a confirmé que le nombre de dossiers compromis a atteint le chiffre stupéfiant de 16 milliards. Ces bases de données remplies d’identifiants compromis constituent ce qui est considéré comme la plus grande fuite de ce type dans l’histoire.

Lawrence Pingree, vice-président chez Dispersive, explique : « Les agences de renseignement et les acteurs malveillants utilisent et accumulent ces listes sur le dark web, parfois reconditionnées plusieurs fois, parfois vendues individuellement. » Il est difficile de déterminer sans une analyse approfondie si cette fuite est un simple reconditionnement de données existantes. Cependant, les chercheurs de Cybernews sont convaincus que ce n’est pas le cas. Quoi qu’il en soit, comme le souligne Pingree, « 16 milliards de dossiers, c’est un nombre considérable », et de telles données d’identification « peuvent être utilisées à mauvais escient et le sont – c’est ce qui les rend précieuses. »

Des données « fraîches et exploitables »

La fuite de 16 milliards d’identifiants, répartie dans plusieurs ensembles de données massifs, inclut des milliards de données de connexion provenant de réseaux sociaux, de VPN, de portails de développeurs et de comptes utilisateurs de tous les principaux fournisseurs. Fait remarquable, il semblerait qu’aucun de ces ensembles de données n’ait été signalé comme ayant fuité auparavant, il s’agit donc de données majoritairement nouvelles, à l’exception notable de la base de données de 184 millions de mots de passe mentionnée au début de l’article. Bien que contestée par certains professionnels de la cybersécurité, cette situation reste une source d’inquiétude majeure.

« Ce n’est pas juste une fuite – c’est un plan pour une exploitation de masse », ont déclaré les chercheurs. Et ils ont raison. Ces identifiants sont le point de départ d’attaques de phishing et de prises de contrôle de comptes. « Il ne s’agit pas de vieilles violations recyclées », ont-ils averti, « c’est une intelligence fraîche et exploitable à grande échelle. »

La plupart de ces informations sont structurées sous la forme d’une URL, suivie des identifiants de connexion et d’un mot de passe. Ces données, selon les chercheurs, ouvrent la porte à « pratiquement n’importe quel service en ligne imaginable, d’Apple, Facebook et Google, à GitHub, Telegram et divers services gouvernementaux. »

Aras Nazarovas, le chercheur de Cybernews qui a découvert certains des ensembles de données impliqués, suggère que « le nombre croissant de jeux de données d’infostealers exposés sous forme de bases de données centralisées et traditionnelles, comme celles trouvées par l’équipe de recherche de Cybernews, pourrait être un signe que les cybercriminels délaissent activement les alternatives précédemment populaires telles que les groupes Telegram, qui étaient auparavant le lieu de prédilection pour l’obtention de données collectées par les logiciels malveillants d’infostealers. »

La gestion des mots de passe, un enjeu crucial face aux méga-fuites

Toutes les bases de données de mots de passe ne résultent pas de compromissions ou de logiciels malveillants « infostealers », comme c’est le cas pour cette énorme fuite de 16 milliards de données. Darren Guccione, PDG et cofondateur de Keeper Security, une plateforme de gestion des accès privilégiés, a souligné que cette fuite de mots de passe rappelait « à quel point il est facile pour des données sensibles d’être involontairement exposées en ligne. » Et Guccione n’a certainement pas tort. Cela pourrait n’être que la partie émergée de l’iceberg de sécurité qui menace le monde en ligne. Imaginez simplement le nombre d’identifiants exposés, y compris les mots de passe, qui se trouvent dans le cloud, ou plus précisément dans des environnements cloud mal configurés, attendant que quelqu’un les trouve. Si nous sommes chanceux, ce quelqu’un sera un chercheur en sécurité qui divulguera la vulnérabilité de manière responsable au propriétaire ou à l’hôte ; sinon, ce sera un acteur malveillant. Sur qui mettriez-vous votre argent ?

« Le fait que les identifiants en question soient de grande valeur pour des services largement utilisés a des implications considérables », a déclaré Guccione, ce qui rend plus important que jamais pour les consommateurs d’investir dans des solutions de gestion de mots de passe et des outils de surveillance du dark web. Ces derniers peuvent aider en alertant les utilisateurs lorsque leurs mots de passe ont été exposés en ligne, leur permettant ainsi, espérons-le, de prendre des mesures directes et de mettre à jour leurs identifiants de compte si le mot de passe a été réutilisé sur plusieurs services.

Les organisations, quant à elles, n’échappent pas non plus à la nécessité d’investir. Elles devraient envisager d’adopter des modèles de sécurité « zero trust » qui fournissent des contrôles d’accès privilégiés pour « limiter les risques en garantissant que l’accès aux systèmes sensibles est toujours authentifié, autorisé et enregistré », a conclu Guccione, « quel que soit l’emplacement des données. »

Evan Dornbush, PDG de Desired Effect et ancien expert en cybersécurité à la NSA, a déclaré : « Peu importe la longueur ou la complexité de votre mot de passe. Lorsqu’un attaquant compromet la base de données qui le stocke, il l’obtient. » C’est pourquoi l’hygiène et la gestion des mots de passe sont si essentielles. « C’est aussi pourquoi il est si crucial de ne pas utiliser le même mot de passe sur plusieurs sites. Si un attaquant vole un mot de passe d’une base de données et que l’individu l’a réutilisé ailleurs, l’attaquant peut également accéder à ces comptes. »

George McGregor, vice-président d’Approov, a décrit ce type de fuite massive comme étant le premier domino, « menant à une cascade de cyberattaques potentielles et à des dommages importants pour les individus et les organisations. » La recherche, a insisté McGregor, « ne fait que souligner ce que nous savons déjà, à savoir que les identités des utilisateurs sont déjà largement disponibles pour les hackers. »

La cybersécurité : une responsabilité partagée ?

En fin de compte, cela renforce l’idée que la cybersécurité n’est pas seulement un défi technique, mais une responsabilité partagée. « Les organisations doivent faire leur part pour protéger les utilisateurs », a déclaré Javvad Malik, défenseur principal de la sensibilisation à la sécurité chez KnowBe4, « et les gens doivent rester vigilants et attentifs à toute tentative de vol d’identifiants de connexion. Choisissez des mots de passe forts et uniques, et mettez en œuvre l’authentification multifacteur chaque fois que possible. »

Paul Walsh, PDG de MetaCert, n’est pas d’accord avec le concept de cybersécurité comme responsabilité partagée. « C’est de la pure foutaise de la part des fournisseurs de sécurité qui ne savent toujours pas comment protéger leurs clients contre les attaques de phishing et blâment ensuite les gens de ne pas devenir des experts en sécurité », a déclaré Walsh dans un message sur la plateforme de médias sociaux X. Comment peut-on attendre des utilisateurs qu’ils repèrent des menaces que leurs fournisseurs de sécurité ne peuvent pas identifier ? C’est une question tout à fait sensée posée par Walsh, qui a fait remarquer que l’éducation des utilisateurs ne fonctionne pas et n’est pas efficace depuis plus d’une décennie. Walsh a, bien sûr, des intérêts dans ce domaine, MetaCert étant un pionnier d’une approche d’authentification URL « zero trust » au problème.

Partager :

La Redaction

Socialnetlink.org est une plate-forme francophone traitant de façon continue l’actualité et des tendances du web, des réseaux sociaux, de l’économie numérique, du high-tech et de l’Internet mobile

Votre recherche ici

Derniers articles

@socialnetlink
Paiement Transport urbain – Le TER passe au ticket électronique avec Wave
Sen Actualités
Communiqué du Conseil des ministres du 16 juillet 2025
Sen Actualités
Données privées et IA : WeTransfer s’explique face à l’indignation et aux accusations
Bac général 2025 : un taux de réussite provisoire en baisse et des disparités persistantes
Sen Actualités
Bac général 2025 : un taux de réussite provisoire en baisse et des disparités persistantes
Don américain de 30 ordinateurs au Pôle Judiciaire Financier, entre coopération et interrogations
Socialnetlink
Don américain de 30 ordinateurs au Pôle Judiciaire Financier, entre coopération et interrogations
Socialnetlink
Le Sénégal et l’Égypte scellent un partenariat pour renforcer la souveraineté pharmaceutique
En application du Traité modifié de l'Union Economique et Monétaire Ouest Africaine (UEMOA) et en cohérence avec le Plan stratégique 2025-2030 de la Commission de l'UEMOA dénommé IMPACT 2030, il est prévu le financement de bourses d'études à travers le Programme Bourses d'Excellence UEMOA, pour la formation et la recherche.
Sen Job
Bourses d’excellence UEMOA : financement Licence, Master et Doctorat

Évènements à venir

Une plateforme qui traite de l’actualité des startups, innovations et de l’économie numérique. Nous produisons chaque année, des centaines d’articles, des études de cas, interviews afin de décrypter les écosystèmes innovants d’Afrique.

Catégories

Menu

Notre agence

Menu

Contacts

Menu
Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.