Fuite de données : Vous pensiez avoir tout vu en matière de cybersécurité ? Détrompez-vous. En juin 2025, des chercheurs de Cybernews et SecurityDiscovery sont tombés sur une véritable bombe : une base de données colossale contenant plus de 16 milliards d’identifiants volés a été exposée en ligne. Oui, milliards, avec un “B”. Et non, ce n’est pas (que) du recyclé. Bienvenue dans la plus grande brocante de mots de passe de l’histoire numérique.
đź“… Contexte : qui, quand, oĂą ?
La découverte date de mi-juin 2025. C’est une équipe conjointe de chercheurs en sécurité de Cybernews et SecurityDiscovery (dirigée par Bob Diachenko) qui a mis la main sur l’archive. Cette base, surnommée “Mother of All Breaches” (MOAB) par la communauté (non sans ironie), était publiquement accessible depuis un serveur mal configuré. Oui, en 2025, on laisse encore traîner des dumps massifs sans mot de passe.
đź’¬ “Il s’agit d’un amalgame de fuites anciennes, mais aussi de donnĂ©es très rĂ©centes collectĂ©es par infostealers comme RedLine ou Raccoon Stealer. Et certaines informations sont encore actives.” — Bob Diachenko
Les chercheurs travaillent actuellement à identifier les victimes, à prévenir les CERT et à cartographier l’origine des données, qui proviennent d’au moins 30 bases compromises distinctes.
đź’Ł Une giga fuite au menu : identifiants, cookies, tokens, lardons et oignons
16 milliards de paires login + mot de passe, ça commence Ă peser lourd. Cette montagne de donnĂ©es provient d’un cocktail toxique d’infostealers, de bases de donnĂ©es exposĂ©es (merci les Elasticsearch en mode “open bar”), et de nĂ©gligences en cascade. Cerise sur le gâteau ? Les informations sont bien organisĂ©es, avec tokens d’authentification, cookies de session, URLs de login… de quoi ravir tous les cybercriminels, du stagiaire script kiddie au gang sponsorisĂ© par un État.
Et non, ce n’est pas juste un énième dump du dark web recyclé depuis 2015. On parle de fuites fraîches, bien juteuses, collectées entre 2021 et 2024.
🕵️ Qu’est-ce qui a fuité exactement ?
- Des identifiants de réseaux sociaux (Facebook, X, Instagram…)
- Des accès à des comptes bancaires, Google, Apple, GitHub, Amazon…
- Des credentials pour VPN, outils pro (Zoom, Teams, Slack), services cloud…
- Des tokens d’authentification valides, parfaits pour bypasser un mot de passe (et même parfois la double authent !)
- Des cookies de session qui permettent de se connecter sans rien taper
Bref, un vrai buffet à volonté pour les attaquants.
📉 Pourquoi c’est grave (spoiler : parce que tu réutilises toujours le même mot de passe)
Tu crois que ça ne te concerne pas ? Tu as sûrement tort.
- RĂ©utilisation des mots de passe : si ton bon vieux
JeanMarc1982!est présent dans cette base, et que tu l’utilises aussi pour ta boîte mail, ton admin WordPress, ton compte LinkedIn et ta banque, tu es un cadeau. - Absence de 2FA : beaucoup d’utilisateurs (et d’entreprises…) n’activent pas la double authent. Résultat : accès direct pour l’attaquant.
- Tokens valides + cookies = session hijacking. MĂŞme sans mot de passe, il suffit de copier une session pour se faire passer pour toi.
- Comptes dormants non surveillés : tu n’as pas ouvert ce compte depuis 2019 ? Un attaquant pourrait le réactiver et l’utiliser pour faire rebond.
👨‍💻 Qui est visé ? (Indice : tout le monde)
Les fuites concernent :
- Des particuliers lambda
- Des employés de grandes entreprises
- Des comptes administrateurs système et développeurs
- Des adresses .gouv, .mil, .edu…
Donc, si tu bosses dans l’IT ou que tu penses que “de toute façon, j’ai rien à cacher”, revois tes classiques.
🧠Leçons à tirer (ou comment éviter d’être le prochain sujet d’un article)
Voici le kit de survie post-apocalypse numérique :
- Change tes mots de passe importants maintenant. Pas dans 3 jours, maintenant.
- N’utilise jamais deux fois le même mot de passe. C’est comme réutiliser un préservatif : une mauvaise idée.
- Passe à un gestionnaire de mots de passe (Bitwarden, KeePass, 1Password). Tu n’es pas censé te souvenir de 124 mots de passe.
- Active la double authentification partout. Code SMS, appli, clé Yubikey… peu importe, mais active-la.
- Mets en place des passkeys si c’est possible. C’est l’avenir, et c’est bien plus résistant qu’un mot de passe.
- Scanne ton adresse sur haveibeenpwned.com. Si tu es listé, ce n’est pas une prédiction, c’est une confirmation.
- Méfie-toi des e-mails, SMS ou appels qui t’invitent à cliquer dans l’urgence. Les hackers adorent le social engineering.
🤡 Comment on en est arrivé là ? (Petit blâme collectif)
Soyons honnĂŞtes :
- Les utilisateurs ont la flemme.
- Les admins laissent traîner des dumps sur des buckets S3 publics.
- Les infostealers sont devenus des SaaS (Stealer-as-a-Service, c’est légalement flou mais techniquement impressionnant).
- Les entreprises sous-estiment la valeur du cookie. Un cookie volé, c’est un ticket d’entrée sans carte d’identité.
- Et côté DevOps, la sécurité des backups ou des logs… c’est souvent “on verra plus tard”.
📉 Ce n’est pas qu’un record, c’est un symptôme
Cette fuite historique n’est pas juste un accident : c’est le reflet d’un écosystème malade, où :
- Les mots de passe sont mal gérés,
- La sécurité est vue comme un coût,
- Et où l’on préfère patcher une fois que ça a pété.
Le pire dans tout ça ? C’est probablement déjà trop tard pour de nombreux comptes. Les données sont sûrement déjà exploitées. Alors autant se mettre à jour avant d’avoir un appel de la DSI.
🎯 En conclusion : tu es peut-être déjà compromis
On ne parle pas d’une alerte de sécurité pour “les autres” : si tu existes sur Internet depuis plus de 3 ans, tu es probablement dedans.
Alors fais ce qu’il faut : mets ton hygiène numérique au niveau. Parce que sinon, c’est ton compte Google, ton site WordPress ou ta session VPN qui finira par se retrouver dans la prochaine fuite.
Et la prochaine fois que tu entends parler de “16 milliards de credentials dans la nature”, rappelle-toi : la nature, elle, au moins, recycle proprement.
