Les chiffres donnent le vertige. Selon une enquête publiée par Cybernews, plus de 16 milliards d’identifiants voléscirculeraient actuellement dans des bases de données illégales. Si certaines fuites étaient déjà connues, les chercheurs révèlent aujourd’hui l’ampleur d’un phénomène qui s’accélère, avec des impacts potentiels pour des millions d’utilisateurs, y compris en France. Et malgré des efforts de sécurisation, la protection des identifiants semble encore bien trop fragile.
16 milliards d’identifiants issus de 30 bases compromises.
L’équipe de Cybernews mène depuis début 2024 une enquête systématique sur la circulation d’identifiants et mots de passe piratés sur le dark web et les forums clandestins. Dans un article publié le 18 juin, ils annoncent avoir identifié 30 sources de données compromises, regroupant au total plus de 16 milliards d’identifiants uniques.
Ce chiffre inclut des mots de passe en clair ou hachés, des identifiants e-mails, mais aussi des éléments d’authentification secondaires (noms, localisations, adresses IP, tokens, etc.). Pour mémoire, la fuite repérée en mai 2024 par le chercheur Jeramie Fowler, portant sur 184 millions d’entrées, ne représentait qu’une fraction de cette base colossale.
Les chercheurs précisent qu’ils ne publient pas les sources précises, afin de ne pas compromettre davantage les comptes concernés. Mais les cibles incluent des services d’usage courant : Google, Facebook, Apple, GitHub, Telegram, et même des sites gouvernementaux, dont certains russes.
Que signifie cette fuite pour les utilisateurs ?
Des malwares en embuscade
Les identifiants n’ont pas été récupérés via des failles traditionnelles sur les serveurs web. Selon Cybernews, la majorité des données proviennent de logiciels malveillants (malwares de type info-stealer) installés à l’insu des utilisateurs, souvent via des campagnes de phishing, des cracks, ou de faux plugins.
Ces malwares capturent :
- l’historique de navigation,
- les identifiants enregistrés dans les navigateurs,
- les cookies de session,
- les jetons OAuth,
- les fichiers locaux des applications installées (type Discord, Telegram, Steam…).
Résultat : même les comptes protégés par mot de passe fort ou double authentification peuvent être contournés, si la session active est capturée.
Une fuite globale, mais aux impacts individuels
Pour un utilisateur lambda, la probabilité d’être exposé est réelle mais variable :
- Vous êtes concerné si vous réutilisez des mots de passe, utilisez Chrome ou Firefox sans chiffrement local, ou avez téléchargé récemment un logiciel depuis une source douteuse.
- Même des comptes inactifs peuvent être utilisés pour lancer des campagnes d’usurpation d’identité, de phishing ou d’accès frauduleux à d’autres services via des tentatives automatisées de « credential stuffing ».
État des lieux de la cybersécurité des identifiants.
Des outils intégrés, mais insuffisants
Certains navigateurs comme Google Chrome ont commencé à intégrer des outils d’alerte, capables de :
- détecter des mots de passe compromis,
- vous inviter à les changer automatiquement,
- générer des mots de passe forts.
Mais ces fonctionnalités, bien que utiles, restent réactives, pas préventives. Et elles ne couvrent pas les risques liés aux sessions piratées, aux cookies ou aux accès via applications tierces.
L’authentification forte : nécessaire, mais pas infaillible
La double authentification (2FA) reste une barrière essentielle. Mais les attaques de type malware contournent parfois les codes temporaires (TOTP), en capturant directement les jetons, ou en interceptant les connexions via proxy inversé (Reverse Proxy Phishing, MITM).
L’usage de clés matérielles (type Yubikey, Titan) ou de passkeys (standard FIDO2) devient aujourd’hui le seul moyen de garantir une authentification inviolable… à condition que les services les prennent en charge, ce qui reste loin d’être généralisé.
Quels services sont concernés ? GAFAM, réseaux sociaux, gouvernements.
Une fuite sans frontières
Les identifiants découverts par Cybernews incluent :
- Des comptes Google, Facebook, Apple : messageries, Drive, services liés à l’identité numérique ;
- Des dépôts GitHub ou Bitbucket, potentiellement critiques en cas d’accès à du code source privé ;
- Des accès à Telegram, Discord, TikTok : utiles pour l’ingénierie sociale ou la récupération de communications ;
- Et plus préoccupant encore, des comptes liés à des administrations, parfois avec des accès à des portails intranet ou de gestion RH.
La situation est suffisamment sérieuse pour que des services de renseignement dans plusieurs pays aient été alertés. En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pourrait jouer un rôle dans la coordination de la réponse.
Et maintenant ? quelques pistes pour renforcer sa sécurité.
Ce que les internautes peuvent faire
- Vérifier si ses données ont fuité via un service comme Have I Been Pwned ou le Cybernews Leaks Checker.
- Changer immédiatement tout mot de passe réutilisé, surtout sur les services critiques (banque, messagerie, identité).
- Activer la double authentification partout où c’est possible.
- Passer à un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass…).
- Éviter les extensions douteuses ou les apps crackées, qui sont souvent des chevaux de Troie.
Ce que les entreprises et institutions doivent renforcer
- Mettre en œuvre des politiques de rotation des identifiants, avec alertes sur les fuites connues ;
- Généraliser les audits de sécurité internes pour les employés ayant accès à des données sensibles ;
- Prévoir des plans de réponse à incident capables de détecter les usages frauduleux en amont ;
- Communiquer sur les risques de shadow IT et de fuite par appareil personnel (Bring Your Own Device).
Une alerte de plus, mais peut-être la plus massive.
Cette nouvelle alerte sur la fuite de 16 milliards d’identifiants ne doit pas être vue comme une fatalité, mais comme un signal d’urgence pour accélérer la modernisation des pratiques de cybersécurité, à tous les niveaux : utilisateurs, entreprises, services publics.
Le mot de passe classique ne suffit plus. Seule une approche combinée – outils cryptographiques, sensibilisation, régulation forte – peut ralentir une machine cybercriminelle devenue industrielle.