Une nouvelle alerte majeure secoue l’écosystème numérique mondial. Près de 150 millions d’identifiants et de mots de passe appartenant à des utilisateurs de services comme Gmail, Apple, Facebook, Netflix, TikTok ou encore Binance ont été découverts en libre accès sur Internet. Cette base de données, non protégée et non chiffrée, contenait des informations permettant d’accéder directement à des comptes personnels, parfois même à des données bancaires ou à des services administratifs sensibles.
La découverte a été faite par le chercheur en cybersécurité Jeremiah Fowler, qui a identifié un serveur cloud exposé publiquement, accessible sans aucune protection. Les données qu’il contenait étaient organisées de manière claire, associant identifiants et mots de passe, rendant leur exploitation immédiate pour quiconque tombait sur le répertoire. En l’absence de double authentification, de nombreux comptes étaient donc directement vulnérables.
Les chiffres donnent la mesure du danger. On y retrouvait environ 48 millions de comptes Gmail, 17 millions de comptes Facebook, plus de 6 millions de comptes Instagram, 3,4 millions de comptes Netflix, près de 800 000 comptes TikTok et plus de 400 000 comptes Binance. D’autres services, comme iCloud, Yahoo, Outlook, Disney+, Roblox ou encore des plateformes pour adultes, figuraient également dans la base. Les utilisateurs concernés proviennent de tous les continents, ce qui confirme l’ampleur mondiale de cette fuite.
Selon les analyses menées par le chercheur, l’origine de ces données serait liée à des malwares spécialisés appelés infostealers. Ces virus, souvent installés à l’insu des victimes via des logiciels piratés, de faux installateurs ou des pièces jointes piégées, sont capables de collecter tout ce qui transite sur un appareil : mots de passe enregistrés, cookies de navigation, historiques, informations bancaires, et parfois même frappes clavier. Chaque année, ces logiciels seraient responsables du vol de plusieurs milliards de mots de passe dans le monde.
Une fois collectées, ces données sont généralement stockées sur des serveurs temporaires, souvent mal sécurisés. Dans ce cas précis, les cybercriminels n’auraient même pas pris la peine de protéger leur butin. Cette négligence, paradoxalement fréquente, a permis la découverte de la base, mais aussi sa diffusion potentielle sur d’autres serveurs et sur le dark web avant sa suppression.
Le serveur a depuis été suspendu à la demande du chercheur, mais le mal est déjà fait. Rien ne permet aujourd’hui d’affirmer que ces informations n’ont pas été copiées, revendues ou utilisées dans des campagnes de piratage ciblées. Le risque principal reste celui du credential stuffing, une technique qui consiste à tester automatiquement des paires identifiant-mot de passe sur des milliers de services, en partant du principe que de nombreux utilisateurs réutilisent les mêmes mots de passe sur plusieurs plateformes.
Cette affaire met en lumière une réalité persistante : malgré les alertes répétées, une large partie des internautes continue d’utiliser des mots de passe faibles, identiques ou anciens. Dans un environnement où les données circulent à grande vitesse, cette habitude transforme chaque fuite en menace systémique.
La protection reste pourtant simple, mais encore trop rarement appliquée. Utiliser des mots de passe uniques pour chaque service, activer systématiquement l’authentification à deux facteurs, éviter les logiciels piratés et surveiller régulièrement les connexions à ses comptes sont aujourd’hui des gestes élémentaires de survie numérique. À l’échelle individuelle comme collective, la cybersécurité n’est plus une option : elle est devenue une condition minimale de la vie connectée.
