Piratage XXL : une énorme base de données d'identifiants bancaires et réseaux sociaux laissée à l'air libre

Une gigantesque base de données de 47 Go contenant exactement 184 162 718 identifiants uniques, parmi lesquels des accès bancaires, des comptes Facebook, Microsoft, PayPal ou encore Apple, s'est retrouvée accessible à tous sur Internet, sans le moindre mot de passe ou chiffrement.

C'est Jeremiah Fowler, chercheur en cybersécurité, qui a levé le lièvre et l'information a été repérée par 01net. Au cours d'une vérification de routine, il découvre, stupéfait, cette caverne d'Ali Baba numérique totalement ouverte au public. Habituellement monnayées discrètement sur le "Dark Web", ces précieuses informations étaient accessibles au premier curieux venu, ce qui rend l'affaire particulièrement troublante. Combien de temps cette base de données est-elle restée exposée ? Combien de personnes ont pu en profiter ? Mystère total.

Une fuite massive aux origines floues

Le contenu du fichier est explosif : emails, mots de passe, liens d'authentification vers des plateformes critiques telles que Google, Amazon, Discord, Instagram ou encore Snapchat. Plus inquiétant encore, des accès à des sites gouvernementaux de plusieurs pays, des institutions financières et même des plateformes de santé figuraient au menu. Pour s'assurer de la véracité des données, Fowler a contacté plusieurs utilisateurs concernés, et les réponses ont confirmé ses craintes : les identifiants étaient bien authentiques et actifs.

Quant aux coupables, aucune revendication ni indice solide ne permettent pour l'heure de les identifier clairement. Néanmoins, la piste privilégiée est sans surprise celle des "infostealers", ces logiciels malveillants capables d'aspirer les informations sensibles enregistrées dans les appareils infectés. Ils sont souvent dissimulés dans des emails frauduleux, des applications pirates ou des logiciels vérolés téléchargés par des utilisateurs peu méfiants.

Un risque très concret pour les particuliers et les entreprises

Que peut-il arriver concrètement aux utilisateurs dont les identifiants figurent dans la base ? Le scénario redouté est celui du "credential stuffing". Cette technique automatisée consiste à tester massivement les mêmes combinaisons email/mot de passe sur des centaines de services afin d'accéder à un maximum de comptes. Si vous avez la mauvaise habitude de recycler vos mots de passe sur plusieurs plateformes, les cybercriminels auront alors carte blanche.

Les conséquences peuvent être dramatiques, allant de la perte du contrôle d'un compte Facebook ou Instagram au siphonnage pur et simple d'un compte bancaire. Les institutions gouvernementales ou les entreprises, elles, risquent aussi des dégâts lourds : espionnage industriel, vol de données sensibles, propagation de rançongiciels… la liste est longue.

Comment limiter les risques ?

La priorité est de vérifier rapidement si votre adresse mail ou vos comptes figurent dans cette fuite massive grâce à des outils en ligne tels que "Have I Been Pwned". Si c'est le cas, changez vos mots de passe et activez la double authentification partout où vous le pouvez. Le chercheur Jeremiah Fowler recommande par ailleurs de surveiller étroitement toute connexion suspecte à vos comptes et de se montrer particulièrement vigilant face aux mails étranges, même lorsqu'ils semblent provenir d'expéditeurs légitimes.

Pour prévenir ce genre de mésaventure, il est aussi conseillé de se doter d'un gestionnaire de mots de passe pour créer des identifiants uniques et robustes. Un antivirus régulièrement mis à jour est aussi nécessaire. Il sera capable de détecter les tentatives d'infection par des logiciels malveillants de type infostealer. En tout cas, mieux vaut anticiper que subir.