Une base de données non sécurisée a révélé plus de 184 millions d’identifiants et mots de passe, touchant les plus grands services numériques mondiaux. Apple, Google, Facebook, Microsoft, Amazon, PayPal et bien d’autres sont concernés.
Une fuite massive et inquiétante
Début mai 2025, le chercheur en cybersécurité Jeremiah Fowler a mis au jour une base de données de 47,42 Go accessible librement sur Internet. Cette dernière contenait pas moins de 1,5 milliard d’enregistrements, parmi lesquels figuraient 184 000 000 de mots de passe en clair, associés à des adresses e-mail, des noms d’utilisateur et des liens vers les pages de connexion des services concernés.
La gravité de cette fuite réside dans la diversité et la sensibilité des comptes exposés : des identifiants liés à des géants du web comme Apple, Google, Facebook (Meta), Microsoft, Amazon, mais aussi à des comptes bancaires, de santé et même des portails gouvernementaux de 29 pays différents.
Une origine liée aux « infostealers »
Bien que l’origine exacte de cette base reste inconnue, les experts soupçonnent une collecte orchestrée par des malwares de type “infostealer”. Ces logiciels espions, généralement propagés via des e-mails de phishing ou des logiciels crackés, sont capables de siphonner en silence les identifiants de connexion, cookies, tokens d’accès et autres informations sensibles dès qu’ils infectent un appareil.
Cette base de données pourrait donc représenter le résultat consolidé d’années de vol de données, accumulées par un ou plusieurs groupes cybercriminels.
Des mots de passe encore valides
Plus alarmant encore : Jeremiah Fowler a contacté plusieurs personnes dont les informations figuraient dans la base, et beaucoup ont confirmé que leurs mots de passe étaient toujours valides au moment de la découverte. Cela signifie que des centaines de millions de comptes sont potentiellement encore vulnérables.
Quelles conséquences pour les utilisateurs ?
Si votre adresse e-mail est présente dans cette base, les conséquences peuvent être multiples :
- Accès non autorisé à vos comptes personnels et professionnels
- Vol de données personnelles ou financières
- Usurpation d’identité
- Tentatives de chantage numérique ou d’escroquerie
- Propagation du malware à vos contacts ou appareils connectés
Que faire pour se protéger ?
Voici les mesures essentielles à prendre immédiatement :
- Changez vos mots de passe, en commençant par ceux de vos comptes Apple, Google, Facebook, Microsoft, Amazon et PayPal.
- N’utilisez jamais le même mot de passe sur plusieurs sites.
- Activez l’authentification à deux facteurs (2FA) sur tous les comptes qui le proposent.
- Utilisez un gestionnaire de mots de passe pour générer et stocker des mots de passe forts et uniques.
- Vérifiez si votre adresse e-mail a été compromise sur HaveIBeenPwned.com.
Une alerte pour les particuliers comme les entreprises
Cette nouvelle fuite massive vient rappeler à quel point la cybersécurité est un enjeu critique. Les entreprises doivent impérativement former leurs employés à la détection des tentatives de phishing et maintenir des pratiques de sécurité rigoureuses.
Les particuliers, eux, doivent cesser de croire qu’ils ne sont pas des cibles : l’automatisation des attaques rend chaque utilisateur vulnérable, peu importe son profil.
Les 184 millions de mots de passe exposés sont bien plus qu’une simple statistique : ils représentent 184 millions de portes ouvertes pour les cybercriminels. À l’ère numérique, la sécurité de vos identifiants est votre première ligne de défense. Soyez vigilants, proactifs et responsables.
