184 millions de mots de passe dans la nature : Google, Amazon, Instagram et bien d’autres services sont concernés

Un chercheur en cybersécurité a découvert une immense base de données contenant 184 millions d'identifiants et de mots de passe. De très nombreux services en ligne sont touchés.

Les vols de donnée personnelles sont malheureusement de plus en plus fréquents. On se souvient de la fin d'année 2024 avec les fuites de données massives concernant les abonnés de l'opérateur Free. Chaque fois, ce sont des millions de personnes qui doivent redoubler de prudence maintenant que leur adresse mail voire leur numéro de téléphone sont à disposition de personnes mal intentionnées. Et ce n'est visiblement pas près de s'arrêter.

Le chercheur en cybersécurité Jeremiah Fowler a fait une découverte pour le moins inquiétante : un fichier de presque 48 Go contenant plus de 184 millions d'informations privées. L'homme ne l'a pas téléchargé en entier, mais a récupéré un échantillon de 10 000 entrées pour voir ce qu'il en était. Le résultat fait froid dans le dos. Des emails, des identifiants, des mots de passe… Le tout concernant des dizaines de services en ligne très utilisés.

Une base de données contenant 184 millions d'identifiants et mots de passe a été découverte

Rien que sur son échantillon, Fowler a trouvé des données privées de comptes Facebook, Google, Amazon, Instagram, Discord, Netflix, PayPal, Apple, Spotify ou encore Microsoft. Et la liste n'est pas exhaustive. Des banques sont également présentes, ainsi que des sites gouvernementaux ou en lien avec la santé. Pas de jaloux : les infos concernent “le monde entier“. Certes, la France n'est pas nommée explicitement, mais mieux vaut être prudent.

Dans le meilleur des cas, il faut donc s'attendre dans les prochaines semaines au lancement de campagnes de phishing ciblées se servant des données récoltées. Dans le pire des cas, à des fraudes bancaires et des vols d'identité. Nous vous conseillons de changer vos sésames les plus importants, si possible en passant par un gestionnaire de mots de passe.

Le plus étrange dans tout ça, c'est que Jeremiah Fowler n'a pas pu identifier d'où vient la base de données. Son adresse IP est liée à deux noms de domaine. Le premier est parqué (non utilisé), mais indisponible à l'achat, le second n'est pas enregistré et en vente. L'expert a cependant pu envoyer une alerte à l'hébergeur du fichier qui l'a rapidement mis hors ligne.