La fuite de données record de 16 milliards de mots de passe fait le buzz cette semaine. Mais des spécialistes dénoncent un recyclage de données déjà connues.
L'annonce a fait l'effet d'une bombe dans la sphère cybersécurité : 16 milliards d'identifiants de comptes Apple, Google ou Meta ont été compromis. Pourtant, certains experts tempèrent l'alarmisme ambiant. Ce que l'on peut comparer à la fuite de données du siècle ne serait en fait qu'une vaste compilation de données déjà volées, circulant depuis des mois, voire des années dans les méandres du dark web.
Une compilation d'anciennes données, pas une nouvelle fuite
Contrairement aux premières déclarations, il semblerait que cette découverte de 16 milliards de mots de passe volés ne constitue en réalité pas une nouvelle brèche de sécurité au sens propre. Lawrence Abrams, expert reconnu et respecté de Bleeping Computer, explique qu'il s'agit plutôt d'une compilation d'informations d'identification déjà volées par des infostealers, ces logiciels malveillants justement spécialisés dans le vol d'identifiants.
Le format des données trahit d'ailleurs leur origine. La structure « URL + nom d'utilisateur + mot de passe » correspond exactement aux logs produits par ces malwares. Ces fichiers circulent régulièrement et gratuitement sur Discord, Telegram ou Pastebin, où les cybercriminels partagent leurs butins pour gagner en réputation ou appâter de futurs clients.
Cette pratique de recyclage n'est évidemment pas nouvelle dans l'écosystème cybercriminel. Des compilations similaires comme RockYou2024 (plus de 9 milliards d'enregistrements) ou Collection #1 en 2019 (22 millions de mots de passe) avaient déjà défrayé la chronique par le passé, sans pour autant constituer de véritables nouvelles fuites.
19 juin 2025 à 19h56
Les bons réflexes pour protéger ses comptes
Une fois que l'on sait tout ça, il ne faut pas céder à la panique. En revanche, quelques vérifications s'imposent. Commencez par scanner votre ordinateur avec un antivirus fiable, avant de modifier quoi que ce soit : si un voleur d'informations s'y cache, il capturerait immédiatement vos nouveaux mots de passe.
Une fois votre système assaini, direction HaveIBeenPwned.com pour vérifier si vos identifiants figurent dans des fuites connues. Ce service gratuit et fiable vous alertera si votre adresse e-mail apparaît dans des bases de données compromises, même si les mises à jour peuvent prendre quelques jours.
C'est en tout cas une très bonne occasion pour adopter définitivement les bonnes pratiques : un gestionnaire de mots de passe pour créer des identifiants uniques, une authentification à deux facteurs via une application dédiée (évitez les SMS), et une surveillance régulière de l'activité de vos comptes sensibles. Ces mesures transformeront ce genre de « fuite » en simple désagrément, plutôt qu'en catastrophe personnelle.
