NEW YORK, 25 janvier 2026, 08:27 EST
- Un chercheur a signalé une base de données non sécurisée contenant environ 149 millions de paires identifiant-mot de passe, ce qui a entraîné son retrait du web
- Le lot contenait des dizaines de millions de connexions provenant de Gmail et Facebook, ainsi que des comptes bancaires, de streaming et de cryptomonnaie
- Les chercheurs ont relié le cache à un malware de type « infostealer » plutôt qu’à une faille d’une seule grande plateforme
Une base de données non sécurisée contenant environ 149 millions d’identifiants et de mots de passe — dont 48 millions liés à Gmail et 17 millions à Facebook — a été mise hors ligne après qu’un chercheur en sécurité a alerté le fournisseur d’hébergement, selon des rapports. Allan Liska, analyste en renseignement sur les menaces chez Recorded Future, a noté que « les infostealers créent une barrière d’entrée très basse pour les nouveaux criminels », en soulignant que des outils sont disponibles à la location pour seulement quelques centaines de dollars par mois. (WIRED)
Cette exposition est grave car des listes de mots de passe comme celle-ci permettent aux pirates de prendre le contrôle de comptes email et de réseaux sociaux — des portes d’entrée pour réinitialiser des identifiants sur d’autres plateformes. Elles alimentent également les attaques de phishing, où des escrocs se font passer pour des banques, des collègues ou des équipes de support afin de voler des informations supplémentaires.
Les chercheurs ont retracé le cache jusqu’à un malware de type « infostealer » — un type de logiciel malveillant conçu pour subtiliser discrètement des identifiants sur des appareils infectés, souvent en enregistrant les frappes clavier. Cela suggère un vol généralisé et chaotique se produisant directement sur les appareils, plutôt qu’une faille ciblée des serveurs d’une seule entreprise.
Jeremiah Fowler a rapporté pour ExpressVPN que la base de données ne disposait ni de protection par mot de passe ni de chiffrement, et contenait 149 404 754 identifiants uniques — soit environ 96 gigaoctets de données brutes. Il a noté que les échantillons comprenaient des emails, des noms d’utilisateur, des mots de passe et les URL exactes où les connexions ont eu lieu, un facteur qui pourrait accélérer les attaques automatisées. (ExpressVPN)
Le cache divulgué couvrait un large éventail de services grand public comme Instagram, Netflix, TikTok, Yahoo, Outlook et iCloud, ainsi que des comptes financiers et des plateformes de cryptomonnaie, selon TechRepublic. Fowler a averti que des identifiants liés à des domaines email gouvernementaux pourraient permettre des « attaques de spear-phishing ciblées, de l’usurpation d’identité, ou servir de point d’entrée dans des réseaux gouvernementaux ». (TechRepublic)
People.com, se référant au rapport de Fowler, a admis ne pas pouvoir confirmer indépendamment les conclusions et a souligné que les criminels laissent fréquemment d’énormes caches de données non sécurisées dans leur course à la rapidité et à l’échelle. Fowler a averti que la combinaison d’identifiants et de liens de connexion « augmente considérablement la probabilité de fraude, de vol d’identité potentiel, de crimes financiers et de campagnes de phishing ». (People)
On sait très peu de choses sur la personne qui a constitué la base de données ou sur la durée pendant laquelle elle est restée exposée, a rapporté TechRadar. Il a fallu près d’un mois pour la faire retirer après que l’hébergeur a initialement blâmé une filiale agissant de son propre chef. Le média a noté que les données semblaient indexées pour faciliter la recherche, ce qui suggère qu’elles ont probablement été conçues pour être réutilisées plutôt que simplement oubliées par erreur. (TechRadar)
Mais ces chiffres mis en avant peuvent être trompeurs. Fowler a admis ne pas avoir identifié qui gère le serveur, et on ignore toujours combien d’identifiants sont actuels, combien proviennent de comptes actifs, ou combien étaient déjà disponibles ailleurs.
Le jeu de données à lui seul ne prouve pas que Google, Meta ou toute autre entreprise mentionnée ait été directement piratée. Les données issues d’infostealers proviennent généralement d’appareils compromis avant d’être regroupées, revendues, republiées et mélangées à d’anciennes fuites.
Fowler a conseillé aux utilisateurs de vérifier l’activité de leurs comptes, de renforcer les paramètres de sécurité et d’éviter de réutiliser les mêmes mots de passe sur plusieurs sites, selon son rapport et d’autres articles connexes. Les experts en sécurité recommandent fréquemment l’authentification à deux facteurs — une couche de secours impliquant un code ou une vérification biométrique — lorsque les mots de passe sont compromis.
Pour les entreprises et les organismes publics, la menace va au-delà de la fraude aux consommateurs. Les identifiants de messagerie professionnelle et les adresses “.edu” ou “.gov” peuvent aider les attaquants à élaborer des tentatives de phishing plus crédibles, voire à accéder à des systèmes internes lorsque les mots de passe sont réutilisés.
Supprimer une base de données n’efface pas les conséquences. Des copies peuvent circuler rapidement, et les marchés de comptes volés continuent de prospérer — une source constante d’arnaques qui reposent davantage sur des identifiants récents et la patience que sur la complexité.
