Le 21 juin 2025, le site spécialisé Cybernews a révélé l'existence d'un ensemble de données contenant près de 16 milliards d'identifiants (noms d'utilisateur, mot de passe et URL associés). Cette gigantesque base de données a été repérée par le chercheur en sécurité Bob Diachencko, connu pour ses découvertes régulières de serveurs exposés.
Trentaine de bases de données
Ces données proviennent d'une trentaine de bases distinctes, collectées au fil du temps. Il ne s'agit donc pas d'une nouvelle violation de données mais d'un regroupement d'informations issues de fuites antérieures, dont certaines déjà connues du public. La base découverte était hébergée sur un serveur ouvert et non protégée par un mot de passe.
Dans le détail, chaque ligne contient au minimum une URL, un nom d’utilisateur, et un mot de passe (en clair dans de nombreux cas), souvent extraits par des malwares de type infostealer, installés à l’insu des victimes. Les identifiants retrouvés font référence à des services variés, tels que Google, Apple, Facebook, Telegram, GitHub, Microsoft, TikTok, X, eBay, Steam, Amazon ou encore des sites gouvernementaux.
Il est important de préciser qu'il n'y a aucune preuve que ces entreprises aient été victimes d'une attaque ou d'une fuite interne. Leur nom apparaît uniquement parce que les utilisateurs y ont saisi leurs identifiants sur des appareils compromis.
La Cnil alerte sur les risques
Face à l'ampleur de cette découverte, la Commission nationale de l'informatique et des libertés (Cnil) a souligné que la mise à disposition publique de ce volume inédit de données peut accentuer les risques, notamment en facilitant les attaques par credential stuffing (tentatives automatisées de connexion à partir de combinaisons connues).
L'autorité française a donc recommandé de surveiller l'activité sur leurs comptes les plus sensibles ainsi que d'être attentifs à toute notification de connexion inhabituelle, de changement de mot de passe ou d'information personnelle. En cas de doute, les utilisateurs doivent immédiatement changer de mot de passe. De façon générale, elle préconise l'utilisation de mots de passe uniques et robustes, stockés si besoin dans un gestionnaire de mots de passe, et d'activer l'authentification multifacteur partout où cela est proposé.
A l'heure actuelle, aucune information judiciaire n'a été ouverte.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
