Comptes Google, Apple, Microsoft, Facebook, PayPal…184 millions de mots de passe en libre accès sur le Web

Comptes Google, Apple, Microsoft, Facebook, PayPal…184 millions de mots de passe en libre accès sur le Web

Une base de données contenant plus de 184 millions d'identifiants et de mots de passe de comptes en ligne a été découverte en libre accès sur Internet. Apple, Gmail ou encore Facebook, tous les géants sont concernés, ainsi que des banques et des services gouvernementaux.

C'est la panique sur Internet, et plus particulièrement dans le monde de la cybersécurité ! Une base de données titanesque comprenant 184 millions d'identifiants de connexion et de mots de passe pour des comptes Apple, Google, Facebook, Microsoft ou encore PayPal a été découverte par Jeremiah Fowler, chercheur en cybersécurité chez WebsitePlanet. Représentant un total de 47,42 Go, ce gigantesque dossier contenait aussi des données bancaires. Le pire, c'est qu'il était stocké sur un simple serveur Web sans aucune protection, que ce soit un mot de passe ou un cryptage. Comprenez : n'importe quel internaute pouvait y accéder et consulter ces sensibles informations. Selon le chercheur, il constitue ni plus ni moins qu'une "liste de travail rêvée pour un cybercriminel". Une nouvelle profondément préoccupante...

Fuite de données : une mine d'or très convoitée

La base de données incluait des adresses mail, des noms d'utilisateur, des mots de passe, les liens URL vers l'identifiant ou l'autorisation des comptes, mais aussi des informations d'identification pour un large éventail de services, à savoir Apple, Amazon, Discord, Facebook, Google, Instagram, Microsoft, PayPal, Snapchat, Twitter, WordPress et Yahoo. Le dossier comprenait aussi des "informations d'identification pour les comptes bancaires et financiers, les plateformes de santé et les portails gouvernementaux de nombreux pays". Autant de données sensibles qui permettraient de prendre le contrôle des comptes, d'usurper des identités, de mettre au point des arnaques redoutables, de réaliser des campagnes de phishing, de détourner de l'argent, et même d'ouvrir la porte à de vastes campagnes de piratage, de fraude ou d'espionnage.

Autre point d'inquiétude : la compromission des comptes Google, et donc de Gmail. En effet, les messageries électroniques peuvent se transformer en "véritables trésors de données pour les criminels", déplore Jeremiah Fowler. "Beaucoup de gens traitent sans le savoir leurs comptes de messagerie comme un stockage cloud gratuit et conservent des années de documents sensibles, tels que des formulaires fiscaux, des dossiers médicaux, des contrats et des mots de passe, sans considérer leur sensibilité". Le chercheur à l'origine de cette découverte a pu confirmer l'authenticité d'une partie des données en contactant plusieurs adresses mail figurant dans le répertoire. Les personnes lui ont alors confirmé que les identifiants et mots de passe étaient bel et bien valides.

Vue d'ensemble de la liste des comptes à l'intérieur de la base de données © WebsitePlanet

Apple, Google, Microsoft : comment les données ont été amassées

Mais d'où proviennent donc toutes ces données ? D'après Jeremiah Fowler, le pirate se serait servi d'un malware de type infostealer, comme Lumma Stealer, Redline, Raccoon ou encore Meta Stealer. Ces virus s'infiltrent dans les appareils, généralement par le biais de mails et phishing ou de publicités vérolées, et siphonnent les données qu'ils contiennent. Tout, absolument tout, y passe : les identifiants enregistrés dans les navigateurs Web, les messageries électroniques et instantanées, mais aussi les données de saisie automatique, les cookies et les informations des portefeuilles de cryptomonnaies. Certains peuvent même prendre des captures d'écran et enregistrer les frappes de clavier. Il est tout à fait possible que le répertoire ait ensuite été enrichi par les différentes fuites de données qui ont eu lieu au cours de l'année 2024 et en ce début 2025.

Bien évidemment, Jeremiah Fowler a immédiatement alerté l'hébergeur Web, qui a alors restreint l'accès au serveur, tout en gardant confidentielle l'identité de son propriétaire. En tant que chercheur éthique, il assure ne pas avoir téléchargé la base de données, mais seulement effectué des captures d'écran sur des échantillons. On ignore cependant combien de temps le répertoire a été exposé aux yeux de tous, ni si une tierce personne a pu la consulter.

Fuite de données : que faire pour éviter les dégâts ?

Quelles sont les conséquences d'une telle découverte ? Benoit Grunemwald, expert cyber ESET, se veut plutôt positif. "Le démantèlement, en octobre 2024, de Redline et MetaStealer lors de l'opération 'Magnus', ainsi que celui révélé hier [celui de Lumma Stealer, ndlr] en coopération entre Europol, Microsoft, ESET et d'autres partenaires, porte un coup d'arrêt significatif aux collectes sauvages", se réjouit-il. Néanmoins, les multiples fuites qui frappent les plateformes et les entreprises – surtout sur notre territoire – n'annoncent rien de bon pour la suite, car "ces fuites constituent une première source probable d'alimentation de ce type de base".

On ne peut qu'espérer que les identifiants de connexion et les mots de passe du répertoire soient rapidement modifiés par les utilisateurs, mais "sans données précises, il est peu probable que ce réflexe soit généralisé", regrette l'expert de chez ESET. "C'est pourtant tout l'intérêt du site Have I Been Pwned et des gestionnaires de mots de passe qui s'appuient sur ce type de base pour alerter les utilisateurs. Sans vérification régulière de nos identifiants dans des bases compromises, il est recommandé de changer ses mots de passe fréquemment, une pratique chronophage et contre-productive. Gageons que l'authentification multifacteurs soit activée aussi largement que possible, pour, encore une fois, limiter l'usage de ces identifiants dans la nature, à la merci des cybercriminels." Nous ne pouvons que vous encourager à suivre ses conseils !