Un volume historique de données exposées
En juin 2025, CyberNews, une firme de cybersécurité, a découvert l’exposition gratuite en ligne d’un vaste ensemble de 30 bases de données comptant environ 16 milliards d’identifiants et mots de passe. Ces données, issues de plateformes majeures telles que Apple, Google, Facebook, Telegram, Microsoft, Netflix, PayPal, et bien d’autres comprenaient aussi des comptes gouvernementaux dans 29 pays.
D’où provient la fuite ?
Il ne s’agit pas d’une violation unique des serveurs d’un grand acteur tech, mais plutôt d’un agrégat d’anciens et nouveaux accès irréguliers. La majorité des données proviennent de malwares « infostealers », qui siphonnent les identifiants et cookies directement depuis les appareils infectés. Des sessions actives, des tokens et des mots de passe étaient inclus, et beaucoup de ces jeux de données étaient précédemment inconnus, témoignant de leur fraîcheur.
Faut-il s’inquiéter de cette fuite de données ?
Il y a effectivement de quoi s’inquiéter. Il ne s’agit pas d’une dizaine ou une centaine de comptes mais bien des milliards.
- Une exposition sans précédent
Avec 16 milliards de connexions, chaque individu ayant plusieurs comptes est probablement concerné. - Données frénétiques et opérationnelles
Les identifiants fraîchement récoltés sont immédiatement exploitables, facilitant le credential stuffing, la prise de comptes, ou le phishing. - Fragilité des mots de passe et des cookies
Certains cookies permettent de contourner la double authentification, ce qui rend la protection plus complexe.
Que faire maintenant que le mal est fait ?
Les experts appellent à des mesures urgentes :
- Changer immédiatement tous les mots de passe, en veillant à leur originalité pour chaque compte.
- Activer la double authentification (2FA), de préférence avec une application dédiée ou des passkeys plutôt que par SMS.
- Utiliser un gestionnaire de mots de passe (ex. : iCloud Keychain, Google Password Manager) pour générer et stocker des clés fortes.
- Surveiller l’activité sur les comptes, notamment via des alertes automatiques proposées par les plateformes.
- Adopter les passkeys (authentification par biométrie ou clé matérielle), qui sont résilientes contre le phishing et vol de mot de passe.
- Vérifier la compromission d’un compte via des outils comme Have I Been Pwned ou Google Password Checkup
Et les plateformes potentiellement concernées, que disent-elles ?
Aucune entreprise ne reconnaît une attaque ciblée sur ses propres serveurs : la fuite résulte d’un effet de compilation de données issues de malwares, et non d’un piratage direct des géants du numérique. Toutefois, face à l’ampleur de la menace, certains comme Google recommandent vivement l’usage des passkeys biométriques, déjà disponibles sur leurs services.
Quels sont les impacts concrets ?
Cette fuite ouvre une porte à plusieurs types de cyberattaque :
- Credential stuffing : tester automatiquement des combinaisons sur des dizaines de sites.
- Usurpation d’identité : en combinant plusieurs fuites, un pirate peut reconstituer votre profil.
- Ouverture d’accès via cookies actifs, sans même avoir à connaître votre mot de passe.
Que devons nous retenir ?
La fuite de 16 milliards de comptes constitue un tournant majeur dans l’histoire de la cybersécurité. Elle ne doit pas être prise à la légère : les experts insistent sur une réaction immédiate et massive pour éviter une cascade de vols d’identité, de fraudes ou d’usurpations.
Conseil final : commencer dès aujourd’hui en changeant tous vos mots de passe, en activant systématiquement la 2FA (avec passkeys de préférence), et en utilisant un gestionnaire pour sécuriser vos identifiants. Ce sont autant de petits gestes à effet garanti dans la prévention contre de telles fuites.
Un volume historique de données exposées
