Une vaste base de données non sécurisée contenant des identifiants volés a récemment été découverte par des chercheurs en cybersécurité. Plus de 149 millions de couples noms d’utilisateur et mots de passe étaient accessibles librement en ligne, dont près de 900 000 comptes Apple iCloud. Cette fuite massive ne résulte pas d’un piratage direct des serveurs des grandes plateformes mais bien plutôt de l’activité croissante de logiciels malveillants spécialisés dans le vol d’informations.

Des identifiants provenant de services majeurs

Les données exposées concernaient un large éventail de services numériques. Parmi les plus touchés figuraient environ 48 millions de comptes Gmail, 17 millions de profils Facebook et plus de 6 millions d’identifiants Instagram. Des accès à des plateformes comme Outlook, Yahoo, Netflix, TikTok, Binance, Roblox ou encore des services bancaires étaient également présents.

Des comptes rattachés à des domaines gouvernementaux ont aussi été détectés. Même si tous ne donnent pas accès à des systèmes critiques, ils peuvent servir à des campagnes d’usurpation d’identité, de phishing ciblé ou à des intrusions plus complexes.

Comment les malwares infostealers collectent les mots de passe

Les experts attribuent cette fuite à des logiciels dits « infostealers », conçus pour infecter des ordinateurs ou smartphones et intercepter discrètement les données sensibles. Ces outils exploitent notamment la saisie au clavier, les navigateurs web, le presse-papiers ou les jetons de session pour collecter des identifiants valides. La structure même de la base de données — organisée pour faciliter la recherche automatisée — confirme une collecte industrielle et continue plutôt qu’un simple vol ponctuel.

Ces malwares séduisent les cybercriminels par leur faible coût, leur déploiement rapide et leur capacité à passer inaperçus. Même après la suppression de bases de données exposées, les informations compromises sont souvent copiées et revendues sur des marchés clandestins, où elles peuvent circuler pendant des années.

Les bonnes pratiques pour sécuriser ses comptes

Il est pratiquement impossible de vérifier si un compte précis figure dans cette fuite. La meilleure approche reste donc la prévention : utiliser des mots de passe uniques pour chaque service, activer l’authentification à deux facteurs et privilégier, lorsque c’est possible, les passkeys, qui remplacent les mots de passe par des clés cryptographiques impossibles à intercepter.

Maintenir ses appareils et logiciels à jour, supprimer les extensions inconnues et analyser régulièrement son système sont également essentiels. Cette nouvelle affaire rappelle que la majorité des compromissions modernes commencent par l’infection d’un appareil personnel, et non par une attaque directe contre les infrastructures des grandes entreprises technologiques.