Cybersécurité

149 millions d’identifiants exposés : ce que révèle la base « infostealer »

Une base de données massive expose 149 millions d'identifiants volés par des malwares, menaçant réseaux sociaux, finances et comptes gouvernementaux.

Sophie Laurent
Par
Sophie Laurent
Sophie Laurent
ParSophie Laurent
Auteure et journaliste sur Linformatique.org, Sophie Laurent écrit sur les usages numériques avec une plume accessible, en transformant les idées en repères concrets et en conseils...
Illustration symbolisant une fuite massive de données avec un écran brisé laissant échapper des flux de codes binaires rouges et bleus.
Cette fuite massive de 149 millions d'identifiants provient de malwares installés sur les appareils des utilisateurs.

Une base de données de 96 Go, laissée en libre accès, a exposé plus de 149 millions de combinaisons d’emails et de mots de passe. Révélée le 23 janvier 2026 par le chercheur Jeremiah Fowler, cette découverte met en lumière un vaste écosystème de collecte par malwares. Loin d’un piratage direct des géants du web, elle souligne la menace persistante des « infostealers » installés sur les appareils des utilisateurs.

Sommaire

L’essentiel

  • Volumétrie : 149 404 754 identifiants uniques exposés dans une base non chiffrée de 96 Go.
  • Origine : Les données proviennent de malwares infostealers aspirant les informations sur des terminaux infectés, et non d’une brèche chez Google ou Facebook.
  • Risque étendu : Des comptes gouvernementaux (.gov) et financiers figurent dans l’échantillon, facilitant le spear-phishing.
  • Action prioritaire : Changer son mot de passe est inutile si l’appareil reste infecté ; l’assainissement du terminal est le prérequis absolu.

La fuite ne ressemble pas à un cambriolage classique, mais plutôt à la découverte d’un entrepôt de recel à ciel ouvert. Une base de données massive, dépourvue de tout mot de passe, offrait un accès direct à des millions de vies numériques. Le rapport, publié par ExpressVPN, détaille comment ces informations ont été agrégées, stockées et laissées à la merci de n’importe quel internaute curieux ou malveillant.

Une agrégation industrielle, pas un piratage de plateforme

Il est crucial de comprendre la nuance technique de cet incident : Google, Facebook ou Netflix n’ont pas été piratés. Les identifiants présents dans la base ont été dérobés directement chez les utilisateurs, via des logiciels malveillants de type infostealer ou keylogger.

Comme le souligne une analyse de Tom’s Guide, l’attaquant n’a pas « cassé » les serveurs des plateformes, mais a récolté les mots de passe au moment où les victimes les saisissaient sur leurs propres machines compromises. Cette distinction change tout : l’absence d’annonce officielle de brèche de sécurité par un service ne signifie pas que votre compte est hors de danger.

La mécanique de la fuite : URL et indexation

L’analyse de l’échantillon par Jeremiah Fowler révèle une structure organisée pour l’efficacité criminelle. Les enregistrements contiennent l’email, le mot de passe, mais surtout l’URL précise de connexion.

Des indices techniques trahissent l’automatisation du processus :

  • Chemins inversés : Les logs utilisent un format host_reversed (ex: com.exemple.utilisateur.machine), permettant de trier les données par victime et par source.
  • Identifiants uniques : L’usage de « line hash » assure l’unicité des entrées pour éviter les doublons dans cette gigantesque collection.

Cette structuration transforme la base en une liste de courses prête à l’emploi pour les cybercriminels, une tendance à l’industrialisation de la fraude également observée par Wired dans son analyse du marché des identifiants volés.

Des cibles critiques : gouvernement et finance

Au-delà des réseaux sociaux, la présence d’adresses en .gov et d’accès financiers inquiète les experts. Même si un identifiant gouvernemental ne donne pas nécessairement accès à des secrets d’État, il offre une légitimité redoutable pour mener des attaques par ingénierie sociale ou hameçonnage ciblé (spear-phishing).

De même, les traces de portefeuilles crypto et de comptes bancaires rappellent qu’un mot de passe réutilisé entre un forum de discussion et une banque en ligne transforme une négligence mineure en risque financier majeur.

L’ordre des actions : assainir avant de changer

C’est le point le plus contre-intuitif de la gestion de cet incident : si votre appareil est infecté par un infostealer, changer votre mot de passe immédiatement est inefficace, car le nouveau code sera instantanément capturé par le malware.

La procédure recommandée suit un ordre strict :

  1. Assainir l’appareil : Mise à jour du système, scan antivirus complet et suppression des extensions de navigateur suspectes.
  2. Sécuriser les comptes : Une fois la machine propre, changer les mots de passe (email principal en priorité).
  3. Renforcer l’accès : Activer la double authentification (2FA) et révoquer les sessions actives.

Malheureusement, la première ligne de défense reste fragile. Une étude récente de Security.org estime que seuls 66 % des adultes américains utilisent un antivirus, laissant un tiers des usagers particulièrement vulnérables à ce type de collecte silencieuse.

FAQ

Comment savoir si je suis concerné ?

Il n’existe pas de méthode officielle pour vérifier sa présence dans cette base spécifique tant qu’elle n’est pas indexée par des tiers de confiance. Surveillez les alertes de connexion inhabituelle et les demandes de réinitialisation de mot de passe que vous n’avez pas sollicitées.

Pourquoi l’URL de connexion est-elle incluse dans la fuite ?

L’URL ne donne pas de droits supplémentaires à l’attaquant, mais elle lui mâche le travail. Elle permet aux scripts automatisés de savoir exactement où tester le couple identifiant/mot de passe (le credential stuffing) sans avoir à deviner le service associé.

La double authentification (2FA) protège-t-elle totalement ?

Elle est essentielle mais pas infaillible face aux infostealers modernes. Certains malwares sophistiqués peuvent voler les « cookies de session » en plus du mot de passe, permettant à un attaquant d’accéder au compte sans avoir à ressaisir le code 2FA. L’hygiène de l’appareil reste donc primordiale.

À lire aussi sur linformatique.org
  1. Gmail dément une faille après la fuite de 183 millions d’identifiants
  2. Qu’est ce qu’une base de données bien construite ?
  3. Qu’est ce qu’un index dans une base de données ?
Suivez linformatique.org sur Google Actualités pour rester informé chaque jour de l’essentiel du numérique, de l’innovation et des enjeux technologiques.
TAGGED :
Sophie Laurent
ParSophie Laurent
Auteure et journaliste sur Linformatique.org, Sophie Laurent écrit sur les usages numériques avec une plume accessible, en transformant les idées en repères concrets et en conseils faciles à appliquer.
Article précédent iPhone tenu en main dans un Apple Store affichant une publicité pour l'iPhone Air avec logo Apple en superposition iPhone 18 Pro : Dynamic Island réduite et écran plus lumineux, la rupture se précise
Article suivant utilisateur travaillant sur un ordinateur portable pour sécuriser ses données lors de la navigation en ligne Comment sécuriser vos données lorsque vous naviguez en ligne
Aucun commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Microsoft Windows 11 Licence à vie

Microsoft Windows 11
Licence à vie
⭐⭐⭐⭐⭐
Windows 11, plus rapide, plus sûr, plus fluide. Copilot est intégré pour une expérience intuitive.
199,00 $9.97 $
Obtenir cette offre