La fuite du siècle : des hackers divulguent 16 milliards d’identifiants provenant des réseaux sociaux, VPN et services gouvernementaux

Des chercheurs ont découvert l'une des plus grandes fuites de données de l'histoire : 16 milliards de noms d'utilisateur et de mots de passe issus de dizaines de services – de Google et Telegram jusqu'aux portails gouvernementaux – ont été rendus publics.

Olga Demidenko 16:26, 19.06.2025

Hacker, image illustrative
Photo : pixabay.com

Une équipe de chercheurs de Cybernews a identifié l'une des plus vastes fuites de données jamais enregistrées : plus de 16 milliards d'identifiants et mots de passe ont été rendus accessibles en ligne.

Depuis début 2024, les experts ont analysé 30 bases de données différentes, contenant chacune entre plusieurs dizaines de millions et 3,5 milliards d’enregistrements. La fuite concerne des services populaires comme Google, Facebook, Telegram, GitHub, Apple, ainsi que des plateformes d'entreprises et d’administrations publiques.

La source de ces données est un type de logiciel malveillant appelé infostealer, conçu pour voler les identifiants des appareils infectés.

La majorité des fichiers ont été trouvés sur des stockages cloud non sécurisés ou des instances Elasticsearch mal configurées.

Ces fuites représentent une menace sérieuse : elles contiennent non seulement des mots de passe, mais aussi des jetons d’authentification, des cookies et des métadonnées pouvant servir à des attaques de phishing, des vols d'identité et des prises de contrôle de comptes.

MOAB (2024) – 26 milliards d’enregistrements

En 2024, les chercheurs ont également découvert la plus grande compilation de données compromises à ce jour : MOAB, contenant 26 milliards d’enregistrements répartis dans des milliers de dossiers.

Elle regroupait les données d’utilisateurs de X, Telegram, VK et d'autres plateformes. Une partie provenait de fuites antérieures, mais des données inédites figuraient aussi dans la base.

Une telle base peut être exploitée pour des attaques informatiques, des campagnes de phishing ou l’usurpation de comptes personnels sur divers services.

Lisez également

Au Danemark, l’avion électrique ALIA a effectué son premier vol sans carburant

Le Danemark a réalisé le premier vol de l’avion électrique ALIA, qui ne consomme pas de carburant, se recharge en une demi-heure et se prépare déjà à des vols cargo en Norvège.

RockYou2024

Toujours en 2024, la base RockYou2024 a été rendue publique : une gigantesque compilation de mots de passe regroupant près de 10 milliards d’entrées, principalement issues de fuites antérieures comme RockYou2021.

Selon les chercheurs, 83 % des mots de passe peuvent être craqués en moins d’une heure par des algorithmes, tandis que seulement 4 % sont considérés comme réellement sûrs.