Forum ThiWeb.com

Près de 150 millions d’identifiants et de mots de passe ont été piratés par des malwares. Laissés en libre-service sur Internet, ils permettent d’accéder à des comptes Gmail, Facebook, Apple, Netflix ou encore Binance. Des coordonnées bancaires sont également concernées.

(...)

Au sein du répertoire, le chercheur a déniché 149 404 754 millions d’identifiants compromis, accompagnés de leur mot de passe. Avec les identifiants et les mots de passe, il est possible de se connecter au compte concerné, pour peu que la double authentification n’ait pas été configurée par le propriétaire en amont.

48 millions de comptes Gmail vulnérables

Une grande variété de services en ligne est touchée. Le chercheur a débusqué des identifiants de comptes Gmail (48 millions), Yahoo (4 millions), Outlook (1,5 million), iCloud (900 000), Facebook (17 millions), Instagram (6,5 millions), TikTok (780 000), Netflix (3,4 millions), OnlyFans (100 000), et Binance (420 000). HBO Max, Disney+, Roblox font aussi partie des services évoqués dans le répertoire.

Les identifiants appartiennent à des internautes en provenance du monde entier. Par ailleurs, la base de données contient également des identifiants bancaires, ainsi que des données donnant accès aux services en ligne de plusieurs administrations publiques. La « base de données étant accessible à tous, quiconque la découvrait pouvait potentiellement accéder aux identifiants de millions de personnes », regrette le chercheur à l’origine de l’enquête.

(...)

Ce n’est pas la première fois que Jeremiah Fowler met la main sur des bases de données exposées sur Internet. L’an dernier, le chercheur a découvert 2,7 milliards de mots de passe Wi-Fi et d’adresses IP, suivis par 184 millions de mots de passe piratés quelques mois plus tard.

Les risques d’une attaque de « credential stuffing »

Comme l’explique le chercheur, les identifiants volés pourraient aboutir à une attaque de « credential stuffing », ou « bourrage d’identifiants » en français. Cette tactique criminelle de plus en plus répandue consiste à employer des paires d’identifiants (noms d’utilisateur et mots de passe) volées lors de violations de données antérieures pour tenter d’accéder frauduleusement à des comptes sur des services en ligne. Le procédé est à l’origine d’une partie des fuites de données enregistrées en France ces dernières années. Avec des identifiants relatifs à Facebook ou iCloud, des pirates pourraient tenter de se connecter à un compte Binance, PayPal ou Gmail. Les cybercriminels sont bien conscients que de nombreux internautes continuent de recycler leurs mots de passe, au grand dam des chercheurs en sécurité. Pour commencer, cessez donc de réutiliser les mots de passe d’un compte sur un autre.

Pour vous protéger contre l’exploitation de ces identifiants compromis, on vous recommande aussi chaudement d’activer la double authentification sur tous vos comptes. L’authentification multifactorielle est susceptible de bloquer un pirate qui tenterait de pénétrer dans votre compte avec vos identifiants.

Source

M'en fout, 2FA partout.

ThiWeb

Effectivement, c'est la base.

Et depuis cet été (avec le hack de Bouygues) je mets des adresses de contact spécifiquement dediées pour les FAI exclusivement.

Ils peuvent se faire hacker autant qu'ils veulent, ça m'évitera de (re)demenager certains (heureusement pas tous) contacts que j'ai cru utile d'associer (par confort/flemme précédemment)...

J'ai même une neuf.fr de 2004 qui tient toujours (propre) et jamais "tremblée" lol

C’est un rappel brutal mais nécessaire : tant qu’on continuera à réutiliser les mêmes mots de passe partout, ce genre de fuite fera des dégâts massifs.
On parle ici de 149 millions d’identifiants siphonnés par des malwares, puis laissés en libre‑service. Gmail, Facebook, Apple, Netflix, Binance… rien n’y échappe. Et le pire, c’est que la base contenait aussi des accès bancaires et administratifs.

Le vrai problème, ce n’est pas seulement la fuite :
c’est que ces données alimentent des attaques de credential stuffing à la chaîne.
Les pirates n’ont même plus besoin d’être bons : ils testent vos identifiants volés partout, en espérant que vous ayez recyclé le même mot de passe. Et vu les chiffres, ils ont raison d’essayer.

Deux règles simples pour éviter de finir dans la prochaine vague :

Un mot de passe unique par service.
Un gestionnaire de mots de passe règle 99 % du problème.

Activez la double authentification.
Même si votre mot de passe traîne dans une base pirate, un code 2FA bloque l’accès.

Ce genre de fuite va continuer, mais l’impact dépend entièrement de nos pratiques.
Ce n’est pas la fuite qui ouvre la porte : c’est la réutilisation des clés.

C'est quoi cette denguerie !