Voyage

2 milliards de comptes piratés : vérifiez immédiatement si vos identifiants sont exposés !

Alexis

Un record historique de données indexées sur Have I Been Pwned

Le service Have I Been Pwned (HIBP), bien connu des internautes pour surveiller les fuites de données, vient d’annoncer l’indexation d’un ensemble de plus de deux milliards d’adresses e-mail et d’un milliard de mots de passe compromettant. Baptisé « Synthient Credential Stuffing Threat Data », ce lot de données constitue la plus grande violation jamais prise en charge par la plateforme, multipliant par trois le précédent record.

Une opération titanesque côté back-end

Pour traiter un volume aussi colossal, l’équipe technique de HIBP a dû optimiser ses bases de données SQL Server et scaler ses ressources cloud pendant près de deux semaines. Malgré cet effort, les autres services de la plateforme sont restés pleinement opérationnels, informant toujours les 5,9 millions d’abonnés de la moindre compromission. Parmi ces abonnés, 2,9 millions d’adresses figuraient déjà dans l’ensemble de données fraîchement indexé.

Origines variées : credential stuffing et logs de malwares

Le « Synthient Credential Stuffing Threat Data » regroupe essentiellement deux types de fuites :

  • Listes de credential stuffing : des campagnes automatisées où des bots tentent massivement de se connecter à des sites avec des combinaisons identifiants/mots de passe achetées ou récupérées.
  • Logs de stealer malware : des informations piratées sur des machines infectées, incluant non seulement des identifiants, mais aussi des données financières et des détails système.

Des mots de passe anciens, actifs… et même réputés forts

Avant de rendre ces données publiques, Troy Hunt, fondateur de HIBP, a vérifié avec ses propres anciennes informations. Il a ainsi retrouvé un de ses anciens e-mails et la mot de passe associée, heureusement obsolète. Plus surprenant : le lot contient aussi des mots de passe dits « forts » – respectant les critères classiques (majuscules, minuscules, chiffres, caractères spéciaux) – qui étaient pourtant actifs sur certains comptes.

Pas une faille Gmail : 32 millions de domaines concernés

Pour éviter toute mauvaise interprétation, HIBP souligne que cette violation n’est pas liée à une brèche chez Google ou Gmail. Le jeu de données comprend 32 millions de domaines de messagerie différents. Statistiquement, seulement 20 % des adresses indiquées sont issues de Gmail, les 80 % restants proviennent d’abonnés à d’autres services mail ou de logins volés via malwares.

Pourquoi le réemploi de mots de passe est un danger majeur

L’une des leçons à retenir de cette fuite colossale, c’est la fréquence préoccupante du réemploi de mots de passe. Un pirate en possession de données volées peut ainsi tester ces mêmes identifiants sur :

  • Des comptes de boutiques en ligne.
  • Des réseaux sociaux.
  • D’autres boîtes mail ou services personnels.

En croisant des adresses e-mail et des listes de mots de passe, un cybercriminel automatisé pourrait prendre le contrôle de plusieurs services à la fois.

Comment vérifier si vos identifiants ont été compromis

Tous les internautes peuvent dès maintenant consulter cette nouvelle indexation en se rendant sur la page de recherche de HIBP. Il suffit de saisir votre adresse e-mail pour savoir si elle figure parmi les deux milliards de comptes compromises. Si votre e-mail est présent, vous recevrez aussi des détails sur les mots de passe associés.

Les bonnes pratiques pour renforcer votre sécurité

Face à cette situation, quelques réflexes simples vous aideront à limiter les risques :

  • Changez régulièrement vos mots de passe et ne conservez plus de réemploi entre plusieurs comptes.
  • Optez pour un gestionnaire de mots de passe : il génère des mots de passe uniques et complexes pour chaque service.
  • Déployez l’authentification à deux facteurs (2FA) ou, mieux, passez aux passkeys si le service le permet.
  • Surveillez vos e-mails pour détecter toute activité suspecte ou notification de connexion non autorisée.

En combinant ces recommandations, vous réduisez drastiquement la probabilité qu’un pirate exploite vos identifiants volés pour prendre le contrôle de vos comptes en ligne.

Articles Similaires

Violation massive : plus de 2 milliards de comptes piratés, êtes-vous concernés ? Meta débarque en Europe avec Vibes : le tout premier réseau social 100 % IA ! Votre Xiaomi est-il sur la liste ? HyperOS 3 (Android 15) arrive sur ces modèles ! Iliad passe enfin en mode sombre : découvrez pourquoi c’est une révolution pour vos yeux !

Violation massive : plus de 2 milliards de comptes piratés, êtes-vous concernés ? Meta débarque en Europe avec Vibes : le tout premier réseau social 100 % IA ! Votre Xiaomi est-il sur la liste ? HyperOS 3 (Android 15) arrive sur ces modèles ! Iliad passe enfin en mode sombre : découvrez pourquoi c’est une révolution pour vos yeux !

Alexis
L’application officielle d’Iliad s’enrichit d’un nouveau visage pour s’adapter à vos yeux et à vos habitudes : la Dark Mode...