Plus de 16 milliards de mots de passe divulgués : les comptes Facebook, Google et Apple risquent d'être accessibles sans autorisation

La collecte et le stockage négligents d'informations sensibles peuvent être tout aussi dangereux que leur vol intentionnel, prévient une équipe de chercheurs en sécurité de Cybernews, après avoir découvert une série de fuites massives de données contenant des milliards d'identifiants de connexion provenant d'une gamme de plateformes, des réseaux sociaux aux services VPN en passant par les portails de développeurs internes.

En surveillant de près l'activité Web depuis début 2025, l'équipe a découvert 30 ensembles de données exposés, chacun contenant entre quelques dizaines de millions et plus de 3,5 milliards d'enregistrements, avec un total de plus de 16 milliards d'identifiants exposés, un nombre presque inimaginable.

Il est à noter que la plupart de ces ensembles de données n'ont jamais été publiés auparavant. La seule exception est un « mystérieux » trésor de 184 millions d'enregistrements, dont Wired a parlé en mai, et qui n'est classé que 20e sur la liste des découvertes de Cybernews.

Cette situation reflète la propagation alarmante de logiciels malveillants qui volent les identifiants de connexion. « Il ne s'agit pas d'une simple fuite, mais d'un modèle d'exploitation massive », préviennent les experts.

Le seul point positif est que la plupart de ces données n'existent en ligne que très peu de temps, le temps que les chercheurs les découvrent, mais pas avant de pouvoir retrouver la personne qui les cache. De nombreux ensembles de données ont fuité via des dépôts ouverts, mettant en évidence une grave faille dans la gestion actuelle des données.

Que contiennent des milliards de documents divulgués ?

Selon l'équipe de recherche, une grande partie des données contenues dans les fichiers divulgués sont un mélange complexe d'informations volées à partir de logiciels malveillants, de bourrage d'informations d'identification provenant de sources multiples et de données précédemment divulguées reconditionnées dans un nouveau format.

Bien qu'il soit impossible de déterminer le nombre exact d'utilisateurs concernés, étant donné que de nombreux enregistrements peuvent être des doublons, le degré de chevauchement ne diminue pas le danger de ce déversement massif de données.

Il convient de noter que la plupart des enregistrements suivent un format cohérent : une URL Web suivie d'un nom d'utilisateur et d'un mot de passe, qui est une structure courante utilisée par les logiciels malveillants modernes pour collecter systématiquement et facilement des données de connexion.

Avec plus de 16 milliards d’enregistrements, ces ensembles de données ouvrent la porte à presque tous les services numériques populaires d’aujourd’hui, de Google, Facebook, Apple, à GitHub, Telegram et même aux systèmes gouvernementaux.

Les chercheurs avertissent qu’il s’agit d’un terrain fertile pour les cybercriminels qui souhaitent lancer des campagnes de phishing sophistiquées, des attaques de ransomware, des détournements de comptes ou des infiltrations de systèmes d’entreprise par courrier électronique.

En particulier, le fait que les données exposées incluent également des cookies, des jetons d’authentification et des métadonnées rend la menace encore plus grave pour les organisations qui n’ont pas mis en œuvre l’authentification multifacteur ou qui ne modifient pas régulièrement leurs identifiants de connexion.

Quel ensemble de données a exposé des milliards d’identifiants de connexion ?

Les ensembles de données divulgués découverts par l'équipe variaient en taille et en origine. Le plus petit, nommé d'après un type de logiciel malveillant, contenait plus de 16 millions d'enregistrements.

Le plus important, quant à lui, pourrait concerner un groupe d'utilisateurs lusophones, représentant plus de 3,5 milliards d'enregistrements. En moyenne, chaque ensemble contient environ 550 millions d'identifiants de connexion, suffisamment pour entraîner de graves conséquences s'ils tombaient entre de mauvaises mains.

Certains ensembles de données portaient des noms vagues, comme « identifiant » ou « identifiants », empêchant les chercheurs de déterminer précisément leur contenu. D'autres, en revanche, donnaient des indications claires sur leur origine ou leur finalité.

Par exemple, un ensemble de données de 455 millions d'enregistrements dont le nom suggère un lien avec la Russie, ou un autre avec plus de 60 millions d'enregistrements liés à Telegram, pointent également vers des services cloud, des plateformes d'entreprise ou des fichiers verrouillés par des logiciels malveillants.

Selon les chercheurs, ces données sont particulièrement dangereuses car elles contiennent des journaux anciens et récents de logiciels de vol d'identifiants, souvent accompagnés de cookies, de jetons d'authentification et de métadonnées. Cela représente une menace sérieuse pour les organisations qui n'utilisent pas l'authentification multifacteur ou ne disposent pas de processus de protection des identifiants de connexion.

Ce qui est inquiétant, c'est qu'il est impossible de déterminer qui collecte ces données. Certaines ont peut-être été collectées par des chercheurs en sécurité, mais plus probablement par des groupes de cybercriminels, qui exploitent de vastes quantités de données pour mener des attaques à grande échelle comme l'usurpation d'identité, la fraude financière et le piratage de comptes. Même un faible taux de réussite pourrait faire des millions de victimes potentielles.

Dans un monde où les utilisateurs ne peuvent pas être certains que leurs données ont été divulguées, des mesures de base comme l'utilisation d'un gestionnaire de mots de passe, la définition de mots de passe forts et l'activation de l'authentification à deux facteurs (2FA) constituent des lignes de défense essentielles. Il est également important d'analyser régulièrement votre système à la recherche de logiciels malveillants pour protéger vos données personnelles.

Facebook, Google et Apple divulguent-ils des données ?

En théorie, rien ne prouve que Facebook, Google ou Apple aient été directement piratés. Mais avec plus de 16 milliards de connexions exposées, soit en moyenne deux pour chaque habitant de la planète, le risque est réel.

Le fait que les ensembles de données divulgués proviennent de sources multiples, avec un niveau de chevauchement inconnu, a conduit certains médias à affirmer précipitamment que les comptes des géants de la technologie avaient été compromis, ce que les chercheurs jugent inexact.

Bob Diachenko, éminent chercheur en sécurité et contributeur de Cybernews, premier à avoir découvert cette fuite massive, a précisé : « Rien n’indique directement que Facebook, Google ou Apple aient été piratés. » Cependant, il a également averti que de nombreux identifiants de connexion trouvés dans les données volées contenaient des URL pointant vers les pages de connexion de ces plateformes.

En d’autres termes, même si les systèmes centraux de ces entreprises n’ont pas été compromis, les informations des utilisateurs peuvent toujours être volées par des logiciels malveillants ou des attaques de phishing, et c’est un danger qui ne peut être pris à la légère.

La fuite de plus de 16 milliards de documents signale un tournant dans le monde de la cybercriminalité

Selon Aras Nazarovas, chercheur chez Cybernews, la fuite de plus de 16 milliards d'enregistrements cette fois-ci n'est pas simplement un incident de sécurité mais reflète un changement clair dans les activités des cybercriminels.

M. Nazarovas recommande aux utilisateurs de changer immédiatement leur mot de passe, d'activer la 2FA si elle n'est pas déjà activée, de surveiller régulièrement leurs comptes et de contacter le support si quelque chose d'inhabituel se produit.

Cet incident n'est qu'un exemple parmi d'autres violations de données massives qui ont secoué le monde des technologies. De la fuite record de 26 milliards d'enregistrements début 2024 à la fuite de près de 10 milliards de mots de passe lors de RockYou2024, en passant par la récente violation de données à l'échelle nationale en Chine, la tendance montre que les violations de données prennent non seulement de l'ampleur, mais aussi qu'elles évoluent dans leur organisation et leur distribution. C'est un avertissement clair : la sécurité des données personnelles n'est plus une option, mais une exigence.