Un chercheur en cybersécurité a mis la main sur 149 millions d'identifiants volés, accessibles en ligne sans aucune protection. Gmail, Facebook, Netflix, des sites gouvernementaux et même OnlyFans sont touchés.

96 Go de fichiers bruts, sans mot de passe ni chiffrement. À l'intérieur, 149 404 754 combinaisons d'identifiants uniques, chacune accompagnée de l'adresse e-mail ou du nom d'utilisateur, du mot de passe en clair et de l'URL exacte de connexion - ©isak55 / Shutterstock
96 Go de fichiers bruts, sans mot de passe ni chiffrement. À l'intérieur, 149 404 754 combinaisons d'identifiants uniques, chacune accompagnée de l'adresse e-mail ou du nom d'utilisateur, du mot de passe en clair et de l'URL exacte de connexion - ©isak55 / Shutterstock

Jérémie Fowler, chercheur expérimenté en sécurité informatique, est tombé sur une base de données ouverte hébergée sur le cloud. 96 Go de fichiers bruts, sans mot de passe ni chiffrement. À l'intérieur, 149 404 754 combinaisons d'identifiants uniques, chacune accompagnée de l'adresse e-mail ou du nom d'utilisateur, du mot de passe en clair et de l'URL exacte de connexion. Des milliers d'échantillons vérifiés par le chercheur permettent de mesurer les dégâts. Gmail totalise 48 millions de comptes exposés, Facebook 17 millions, Instagram 6,5 millions. Yahoo, Outlook, iCloud, mais aussi Netflix, TikTok, Binance et même des adresses .gov se retrouvent dans le lot. Une vraie caverne d'Ali Baba, sans le mot de passe.

« Cette base de données ressemble à une liste de souhaits pour criminels », explique Jérémie Fowler dans son rapport publié sur ExpressVPN. Le chercheur a signalé la découverte au fournisseur d'hébergement, mais la réponse a tardé. Un mois et plusieurs relances plus tard, l'hébergeur a fini par suspendre le service après avoir invoqué une violation de ses conditions d'utilisation. Entre-temps, le nombre d'entrées avait gonflé, ce qui montre que l'accumulation des données avait continué son petit bonhomme de chemin pendant que la base restait exposée. Personne ne sait combien de personnes ont pu y accéder avant cette découverte.

Ce fichier n'est pas une « fuite » de plateformes, mais l'aboutissement industriel des logiciels de vol d'identifiant

Google a réagi rapidement après la découverte. Un porte-parole a déclaré que les équipes surveillent en permanence ce type de menace externe et que des protections automatisées verrouillent les comptes dès qu'une exposition est détectée, avec réinitialisation forcée du mot de passe. Meta, Microsoft, Apple et Netflix n'ont pas commenté malgré les sollicitations, alors que des millions de comptes liés à leurs services sont potentiellement compromis.

Les 149 millions d'identifiants ne proviennent pas d'un piratage direct des plateformes. Des logiciels malveillants de type infostealer, installés sur des ordinateurs et téléphones infectés, souvent depuis longtemps, les ont collectés. Ces programmes siphonnent mots de passe, cookies de session, jetons d'authentification, URL de connexion et même les frappes clavier. Une fois récoltées, les données sont centralisées dans une base cloud mal configurée, laissée ouverte sans chiffrement.

La base elle-même a été conçue pour l'exploitation industrielle. Les fichiers sont indexés par chemins inversés du type « com.exemple.utilisateur.machine » pour faciliter les recherches automatisées. Chaque ligne de log possède un identifiant haché unique, ce qui évite les doublons et accélère l'exploitation. Allan Liska, analyste chez Recorded Future, souligne que l'économie des infostealers a abaissé drastiquement la barrière d'entrée pour les cybercriminels. « Louer une infrastructure populaire coûte entre 200 et 300 dollars par mois », précise-t-il dans une déclaration reprise par Wired. Pour le prix d'une mensualité de voiture, n'importe qui peut accéder à des centaines de milliers d'identifiants volés chaque mois.

L'affaire ne pointe pas une faille ponctuelle chez un géant de la tech, mais une chaîne de production à grande échelle. Les infostealers se déploient via des pièces jointes malveillantes, de fausses mises à jour logicielles, des extensions de navigateur compromises ou des publicités trompeuses. Une fois installés, ils tournent en silence, transmettent régulièrement leurs récoltes vers des serveurs centralisés. Les volumes augmentent en continu et alimentent un marché noir florissant au sein duquel ces données sont revendues sur des forums clandestins.

Google a été le premier des GAFAM à réagir. Des protections automatisées verrouillent les comptes dès qu'une exposition est détectée, avec réinitialisation forcée du mot de passe - ©Skorzewiak / Shutterstock
Google a été le premier des GAFAM à réagir. Des protections automatisées verrouillent les comptes dès qu'une exposition est détectée, avec réinitialisation forcée du mot de passe - ©Skorzewiak / Shutterstock

L'exposition de ces identifiants crée un risque systémique, bien au-delà des comptes individuels

La gravité de l'incident tient autant au volume qu'à la diversité des comptes concernés. Messageries personnelles et professionnelles, réseaux sociaux, plateformes de streaming, services financiers, portefeuilles crypto, sites de rencontre, et même des domaines gouvernementaux et universitaires (.gov, .edu) composent la liste. Jeremie Fowler a identifié des accès à des comptes de plusieurs pays, ce qui élargit encore le spectre des risques.

D'abord, l'automatisation du bourrage d'identifiants. Cette technique consiste à tester des combinaisons email-mot de passe sur différents services jusqu'à trouver une correspondance. Avec l'URL de connexion fournie directement dans la base, les attaquants peuvent cibler précisément les plateformes et multiplier les tentatives. Ensuite, le phishing devient terriblement crédible car les criminels peuvent envoyer des messages faisant référence à de vrais comptes, ce qui augmente les chances que les victimes mordent à l'hameçon.

Les criminels peuvent vider les comptes bancaires et crypto exposés. Les profils OnlyFans et sites de rencontre, eux, peuvent servir à l'extorsion en menaçant de divulguer des conversations ou images privées. Quant aux accès gouvernementaux, même limités, ils représentent un risque pour la sécurité publique et nationale, comme le compte administratif d'un site WordPress gouvernemental brésilien, visible dans les échantillons vérifiés. « Ces identifiants peuvent être utilisés pour du phishing ciblé, de l'usurpation d'identité ou comme point d'entrée dans des réseaux gouvernementaux », avertit le chercheur.

Sauf que même lorsque les plateformes détectent et verrouillent des comptes compromis, les appareils infectés continuent de voler les nouveaux mots de passe. Un simple changement de code d'accès ne suffit donc pas si le terminal reste contaminé. Le logiciel malveillant capte immédiatement la nouvelle combinaison et la transmet aux serveurs de collecte. Jeremie Fowler insiste sur ce point dans son rapport. « Si l'appareil est infecté, changer de mot de passe ne sert à rien car le nouveau sera aussi volé ».

Seuls 66 % des adultes américains utilisaient un antivirus en 2025, selon un rapport cité par le chercheur. Cela laisse des milliards d'appareils vulnérables à ce type de malware. Les plateformes peuvent durcir leurs protections, imposer l'authentification à deux facteurs et surveiller les connexions suspectes, mais tant que les terminaux restent compromis, le vol d'identifiants se perpétue. Les utilisateurs doivent alors adopter des pratiques de sécurité rigoureuses et installer un antivirus à jour, utiliser des mots de passe uniques via un gestionnaire, activer la double authentification systématique, vérifier régulièrement les extensions de navigateur et les permissions d'applications.

Jeremie Fowler conclut son rapport en rappelant que même les cybercriminels ne sont pas à l'abri des fuites de données, mais que cette ironie ne réduit en rien les risques pour les victimes dont les identifiants circulent désormais sur le dark web.

Source : ExpressVPN