Une cyberattaque d’une ampleur historique a mis à nu 16 milliards de mots de passe et identifiants, désormais accessibles sur le web. Les plateformes les plus utilisées au monde, dont Google, Apple, Facebook, GitHub et Telegram, figurent parmi les principales cibles. Selon une enquête menée par Cybernews, cette fuite massive n’a rien d’un recyclage de données anciennes : les identifiants compromis sont pour la plupart récents, encore valides et exploitables.
Ce vol colossal résulte d’une campagne mondiale menée par des logiciels espions, appelés « infostealers ». Installés à l’insu des utilisateurs, ces malwares interceptent les identifiants au moment précis où ils sont saisis sur les plateformes numériques. Résultat : des accès complets à des comptes personnels, bancaires, professionnels ou administratifs circulent aujourd’hui librement dans les recoins les plus sombres du web.
Les chercheurs de Cybernews ont identifié au moins 30 bases de données distinctes, certaines contenant jusqu’à 3,5 milliards d’entrées. L’ensemble représente, selon eux, la plus vaste fuite de données d’identification jamais découverte. Pire encore, ces bases étaient jusque-là invisibles pour les systèmes de surveillance traditionnels, ce qui rend leur repérage particulièrement tardif.
Le risque n’est pas uniquement lié à l’accès aux comptes. Ces données exposées peuvent servir de carburant à des campagnes de phishing d’une précision redoutable, à des usurpations d’identité ciblées, ou encore à des intrusions dans les systèmes d’entreprises non protégés par une authentification à plusieurs facteurs. La simplicité de la présentation des données – souvent structurées avec une URL, un identifiant et un mot de passe – permet à n’importe quel individu, même sans compétences techniques poussées, de prendre la main sur des comptes sensibles.
Face à cette situation critique, les experts en cybersécurité appellent à une réponse immédiate. Il est impératif de modifier tous les mots de passe réutilisés sur plusieurs services, d’activer la double authentification sur l’ensemble des plateformes utilisées, d’adopter un gestionnaire de mots de passe réputé, et, si possible, de passer aux passkeys, une alternative plus robuste et difficile à intercepter.
Mais la responsabilité de la sécurité numérique ne repose pas uniquement sur les particuliers. Les entreprises sont également sommées de revoir leur architecture de sécurité. Le modèle “zero trust”, fondé sur une vérification systématique et continue de chaque accès, peu importe l’origine ou le terminal, est présenté comme une nécessité. Pour Javvad Malik, spécialiste de la sensibilisation à la cybersécurité, cette crise montre que la protection des données personnelles doit être une responsabilité collective : utilisateurs comme organisations doivent agir de concert pour renforcer les défenses numériques.
Alors que des millions de données sont probablement déjà entre les mains de groupes malveillants, la vigilance reste de mise. Des outils en ligne comme « Have I Been Pwned » permettent de vérifier si une adresse mail figure parmi les fuites connues. Toutefois, au vu de la fraîcheur de ces données, une grande partie des comptes compromis pourrait encore ne pas être répertoriée. Le véritable impact de cette fuite risque donc de se révéler dans les semaines à venir.


