Plus de 16 milliards de mots de passe divulgués : les comptes Facebook, Google et Apple risquent d'être accessibles sans autorisation

La collecte et le stockage négligents d'informations sensibles peuvent être tout aussi dangereux que leur vol intentionnel, prévient une équipe de chercheurs en sécurité de Cybernews, après avoir découvert une série de fuites massives de données contenant des milliards d'identifiants de connexion provenant d'une gamme de plateformes, des réseaux sociaux aux services VPN en passant par les portails de développeurs internes.

En surveillant de près l’activité Web depuis début 2025, l’équipe a découvert 30 ensembles de données exposés, chacun contenant entre des dizaines de millions et plus de 3,5 milliards d’enregistrements, avec un total de plus de 16 milliards d’identifiants exposés, un nombre presque inimaginable.

Il est à noter que la plupart de ces ensembles de données n'ont jamais été publiés auparavant. La seule exception est un « mystérieux » trésor de 184 millions d'enregistrements, dont Wired Magazine a parlé en mai, et qui n'a été classé qu'au 20e rang des découvertes de Cybernews.

Cette situation reflète la propagation alarmante de logiciels malveillants qui volent les identifiants de connexion. « Il ne s'agit pas d'une simple fuite, mais d'un modèle d'exploitation massive », préviennent les experts.

Le seul point positif est que la plupart de ces données n'existent en ligne que très peu de temps, le temps que les chercheurs les découvrent, mais pas avant de pouvoir retrouver leur auteur. De nombreux ensembles de données ont fuité via des archives ouvertes, mettant en évidence une grave faille dans la gestion actuelle des données.

Que contiennent des milliards de documents divulgués ?

Selon l'équipe de recherche, une grande partie des données contenues dans les fichiers divulgués sont un mélange complexe d'informations volées à partir de logiciels malveillants, de bourrage d'informations d'identification provenant de sources multiples et de données précédemment divulguées reconditionnées dans un nouveau format.

Bien qu'il soit impossible de déterminer le nombre exact d'utilisateurs concernés, étant donné que de nombreux enregistrements peuvent se chevaucher, le degré de chevauchement ne diminue pas le danger de ce déversement massif de données.

Il convient de noter que la plupart des enregistrements suivent un format cohérent : une URL Web suivie d'un nom d'utilisateur et d'un mot de passe, qui est une structure courante utilisée par les logiciels malveillants modernes pour exploiter systématiquement et facilement les données de connexion.

Avec plus de 16 milliards d’enregistrements, ces ensembles de données ouvrent la porte à presque tous les services numériques populaires d’aujourd’hui, de Google, Facebook, Apple, à GitHub, Telegram et même aux systèmes gouvernementaux.

Les chercheurs avertissent qu’il s’agit d’un terrain fertile pour les cybercriminels qui souhaitent lancer des campagnes de fraude sophistiquées, des attaques de ransomware, prendre le contrôle de comptes ou infiltrer les systèmes d’entreprise par courrier électronique.

En particulier, le fait que les données exposées incluent également des cookies, des jetons d’authentification et des métadonnées rend la menace encore plus sérieuse pour les organisations qui n’ont pas déployé d’authentification multifacteur ou qui ne modifient pas régulièrement leurs identifiants de connexion.

Quel ensemble de données a exposé des milliards d’identifiants de connexion ?

Les ensembles de données divulgués découverts par l'équipe variaient en taille et en origine. Le plus petit, nommé d'après un type de logiciel malveillant, contenait plus de 16 millions d'enregistrements.

Le plus important, quant à lui, pourrait concerner un groupe d'utilisateurs lusophones, représentant plus de 3,5 milliards d'enregistrements. En moyenne, chaque ensemble contient environ 550 millions d'identifiants de connexion, suffisamment pour entraîner de graves conséquences s'ils tombent entre de mauvaises mains.

Certains ensembles de données portaient des noms vagues comme « identifiant » ou « identifiants », ce qui empêchait les chercheurs de déterminer précisément leur contenu. En revanche, d'autres indiquaient clairement leur origine ou leur finalité.

Par exemple, un ensemble de données de 455 millions d'enregistrements dont le nom suggère un lien avec la Russie, ou un autre avec plus de 60 millions d'enregistrements liés à Telegram. Certains indiquent également des services cloud, des plateformes d'entreprise ou des fichiers verrouillés par des logiciels malveillants.

Selon l'équipe de recherche, ces données sont particulièrement dangereuses car elles contiennent des journaux anciens et récents de logiciels de vol d'identifiants, souvent accompagnés de cookies, de jetons d'authentification et de métadonnées. Cela représente une menace sérieuse pour les organisations qui n'utilisent pas l'authentification multifacteur ou ne disposent pas de processus de protection des identifiants de connexion.

Ce qui est inquiétant, c'est qu'il est impossible de déterminer qui collecte ces données. Certaines sont peut-être collectées par des chercheurs en sécurité, mais plus probablement par des groupes de cybercriminels, qui exploitent de vastes quantités de données pour mener des attaques à grande échelle comme l'usurpation d'identité, la fraude financière et le piratage de comptes. Même un faible taux de réussite pourrait faire des millions de victimes potentielles.

Dans un monde où les utilisateurs ne peuvent pas être certains que leurs données ont été divulguées, des mesures de base comme l'utilisation d'un gestionnaire de mots de passe, la définition de mots de passe forts et l'activation de l'authentification à deux facteurs (2FA) constituent des lignes de défense essentielles. Il est également important d'analyser régulièrement votre système à la recherche de logiciels malveillants pour protéger vos données personnelles.

Facebook, Google et Apple divulguent-ils des données ?

En théorie, rien ne prouve que Facebook, Google ou Apple aient été directement piratés. Mais avec plus de 16 milliards de connexions exposées, soit en moyenne deux pour chaque habitant de la planète, le risque est réel.

Le fait que les ensembles de données exposés proviennent de sources multiples, avec un niveau de duplication inconnu, a conduit certains médias à affirmer précipitamment que les comptes des géants de la technologie avaient été compromis, une affirmation que les chercheurs jugent inexacte.

Bob Diachenko, éminent chercheur en sécurité et contributeur de Cybernews, premier à avoir découvert cette fuite massive, a précisé : « Rien n’indique que Facebook, Google ou Apple aient été directement piratés. » Cependant, il a également averti que de nombreux identifiants de connexion trouvés dans les données volées contiennent des URL pointant vers les pages de connexion de ces plateformes.

En d’autres termes, même si les systèmes centraux de ces entreprises n’ont pas été compromis, les informations des utilisateurs peuvent toujours être volées par le biais de logiciels malveillants ou d’attaques de phishing, ce qui constitue un danger qui ne doit pas être pris à la légère.

La fuite de plus de 16 milliards de données marque un tournant dans le monde de la cybercriminalité

Selon Aras Nazarovas, chercheur chez Cybernews, la fuite de plus de 16 milliards d'enregistrements cette fois-ci n'est pas simplement un incident de sécurité mais reflète un changement clair dans les activités des cybercriminels.

M. Nazarovas recommande aux utilisateurs de changer immédiatement leur mot de passe, d'activer la 2FA si ce n'est pas déjà fait, de surveiller régulièrement leurs comptes et de contacter le support en cas d'anomalies.

Cet incident n'est qu'un exemple parmi d'autres fuites de données massives qui ont secoué le monde des technologies. De la fuite record de 26 milliards d'enregistrements début 2024 à la fuite de près de 10 milliards de mots de passe lors de RockYou2024, en passant par la récente fuite de données à l'échelle nationale en Chine, la tendance montre que les fuites de données prennent non seulement de l'ampleur, mais aussi qu'elles évoluent dans leur organisation et leur diffusion. Ceci constitue un avertissement clair : la sécurité des données personnelles n'est plus un choix, mais une exigence.