LONDRES, 24 janvier 2026, 12:01 (GMT)
- Le chercheur Jeremiah Fowler a découvert 149 404 754 identifiants et mots de passe uniques dans une base de données en ligne non sécurisée, qui a ensuite été mise hors ligne.
- Le lot contenait environ 48 millions d’identifiants Gmail, ainsi que des identifiants liés aux réseaux sociaux, services de streaming, comptes crypto et quelques domaines gouvernementaux.
- Des analystes ont averti que des services de malware “infostealer” à bas coût peuvent automatiser la prise de contrôle de comptes en utilisant ce type de données.
Une base de données en ligne ouverte contenant environ 149 millions de noms d’utilisateur et mots de passe volés — dont environ 48 millions liés à des comptes Gmail — a été supprimée après qu’un chercheur a alerté son hébergeur, a rapporté l’expert en cybersécurité Jeremiah Fowler. Fowler a noté que le fichier de 96 gigaoctets n’était “ni protégé par mot de passe ni chiffré”. (ExpressVPN)
Cette découverte est significative car de telles collections alimentent directement le credential stuffing — des attaques automatisées qui testent des mots de passe volés sur divers sites populaires — et favorisent des campagnes de phishing plus précises, surtout lorsque les données contiennent des URL de connexion directes.
Cela intervient à un moment où les malwares infostealer — des logiciels malveillants qui dérobent des identifiants sur des appareils infectés — sont passés de cas isolés à une source constante de criminalité.
Fowler a décrit le lot comme une “liste de souhaits rêvée pour les criminels” lors d’un entretien avec WIRED. Allan Liska, analyste en renseignement sur les menaces chez Recorded Future, a souligné que les infostealers offrent une “barrière d’entrée très basse” et a mentionné que la location d’une infrastructure haut de gamme coûte généralement entre 200 et 300 dollars par mois. (WIRED)
TechRepublic a révélé que les journaux exposés comprenaient plus qu’une simple liste de mots de passe. Ils contenaient des adresses e-mail, des noms d’utilisateur et des liens directs vers les sites où ces identifiants pouvaient être testés. Cette configuration facilite l’automatisation rapide de la prise de contrôle de comptes par les attaquants, avant que les utilisateurs ne mettent à jour leurs mots de passe ou que les plateformes ne désactivent les comptes compromis. (TechRepublic)
Fowler a noté que les enregistrements qu’il a examinés couvraient tout, des réseaux sociaux et plateformes de streaming aux applications de rencontre, ainsi que des comptes financiers comme des identifiants bancaires et de trading crypto, le tout dans un échantillon limité.
Il a également signalé des identifiants liés à des domaines gouvernementaux “.gov”, qui pourraient être exploités pour usurpation d’identité ou servir de porte d’entrée à des violations plus étendues, selon le niveau d’accès de ces comptes.
Il a déclaré que la base de données ne comportait aucune information sur le propriétaire, et qu’il a fallu plusieurs tentatives sur près d’un mois avant que l’hébergement ne soit finalement coupé.
Fowler a noté que le volume des enregistrements a augmenté entre le moment où il a trouvé les données et leur suppression, ce qui a accru le risque que d’autres aient pu copier le lot pendant cette période.
Le magazine Security a rapporté que le cache contenait environ 48 millions de comptes Gmail, 4 millions de connexions Yahoo et 1,5 million pour Microsoft Outlook, ainsi que des millions liés à des plateformes de réseaux sociaux et de streaming. Shane Barney, directeur de la sécurité de l’information chez Keeper Security, a noté : « Il ne s’agit pas d’une violation au sens traditionnel du terme. » (Securitymagazine)
SC Media a noté que la base de données se distinguait des précédents dumps d’infostealers examinés par Fowler, en présentant des champs supplémentaires comme un nom d’hôte inversé et un hash de ligne unique pour chaque enregistrement. « Les violations d’infostealers comme celle-ci ne divulguent pas seulement des comptes isolés », a déclaré Boris Cipot, ingénieur sécurité senior chez Black Duck, à SC Media par e-mail. (SC Media)
Une inconnue subsiste : les identifiants exposés pourraient inclure à la fois des informations obsolètes et actuelles, et beaucoup pourraient ne plus être valides si les utilisateurs ont mis à jour leurs mots de passe ou si les fournisseurs ont imposé des réinitialisations. Cependant, si un malware reste présent sur l’appareil, changer de mot de passe pourrait n’offrir qu’un soulagement temporaire, car la prochaine connexion pourrait à nouveau être interceptée.
Les experts en sécurité recommandent généralement d’activer l’authentification à deux facteurs—une étape de connexion supplémentaire comme un code ou une notification d’application—et d’éviter la réutilisation des mots de passe. Du côté des entreprises, beaucoup surveillent les pics soudains de connexions automatisées et bloquent les tentatives douteuses, bien que ces défenses varient considérablement selon les services.
Supprimer une copie publique de la base de données n’est qu’une petite victoire—les dumps d’identifiants ont tendance à circuler rapidement après leur apparition. Pour les organisations, l’avertissement reste le même : les mots de passe volés continuent d’être un point faible majeur, et le flux qui les alimente ne montre aucun signe de ralentissement.
