Une fuite de données d’une ampleur colossale a été découverte début mai 2025 par le chercheur en cybersécurité Jeremiah Fowler, selon un rapport publié sur Website Planet. Une base de données non sécurisée, contenant plus de 184 millions d’identifiants et mots de passe, était accessible publiquement sur Internet sans chiffrement ni mot de passe. Cette base, d’un volume de 47,42 Go, incluait des informations sensibles provenant de services populaires tels que Google, PayPal, Netflix, Facebook, Instagram, Microsoft, ainsi que des portails bancaires, médicaux et gouvernementaux de plusieurs pays.
L’analyse d’un échantillon de 10 000 enregistrements a révélé la présence de 479 comptes Facebook, 475 comptes Google, 240 comptes Instagram, et plus de 100 comptes Microsoft, Netflix et PayPal, parmi d’autres. Plus préoccupant encore, 220 adresses e-mail avec des domaines gouvernementaux (.gov) de 29 pays, dont les États-Unis, le Royaume-Uni et la Chine, ont été identifiées, posant des risques potentiels pour la sécurité nationale. Fowler a contacté plusieurs propriétaires des adresses e-mail compromises, qui ont confirmé l’authenticité des données, renforçant la gravité de cette fuite.
Le chercheur suspecte que ces données ont été collectées via un logiciel malveillant de type « infostealer », conçu pour extraire des informations sensibles, telles que mots de passe, cookies et données de formulaires, depuis des systèmes infectés. Bien que la base ait été retirée de l’accès public après que Fowler a alerté le fournisseur d’hébergement, World Host Group, la durée pendant laquelle elle est restée exposée reste inconnue, tout comme l’identité de son propriétaire. Cette opacité complique l’évaluation de l’ampleur des accès non autorisés avant sa suppression.
Les risques associés à cette fuite sont multiples. Les cybercriminels pourraient exploiter ces identifiants pour des attaques de type « credential stuffing », où des combinaisons nom d’utilisateur/mot de passe sont testées sur divers sites, profitant du fait que de nombreux utilisateurs réutilisent les mêmes mots de passe. D’autres menaces incluent des prises de contrôle de comptes, des campagnes de phishing ciblées, voire de l’espionnage d’entreprise ou gouvernemental. Les experts soulignent que cette fuite, par sa taille et sa diversité, représente un « rêve de cybercriminel ».
Pour se protéger, il est impératif d’agir rapidement. Les utilisateurs doivent adopter des mots de passe uniques et complexes pour chaque service, idéalement gérés par un gestionnaire de mots de passe. L’activation de l’authentification à deux facteurs (2FA) est fortement recommandée, en particulier pour les comptes sensibles comme les e-mails, les services bancaires et PayPal. Les passkeys ou clés de sécurité sont une alternative encore plus robuste. De plus, éviter de stocker des informations sensibles (documents fiscaux, médicaux, etc.) dans des e-mails ou des services en ligne non sécurisés est crucial.
Enfin, l’utilisation d’un antivirus à jour est essentielle pour se prémunir contre les malwares comme les infostealers. Bien que la base de données ne soit plus accessible, son intégration dans des outils comme Have I Been Pwned n’a pas encore été confirmée. En attendant, les utilisateurs doivent rester vigilants et surveiller toute activité inhabituelle sur leurs comptes.
