Le chercheur en cybersécurité Jeremiah Fowler a découvert le 22 mai 2025 qu'une base de données non protégée par mot de passe contenait 184162718 informations de connexion et mots de passe, et a signalé cela à Website Planet, un média de cybersécurité à l'étranger.
La capacité de la base de données atteint 47,42 Go et il est supposé qu'elle a été collectée par le logiciel malveillant InfoStealer (malware de vol d'informations).
Détails des données divulguées et portée de l'impact
Source : Website Planet
types d'informations d'authentification incluses
La base de données publiée contenait des informations d'identification pour une large gamme de services. Des informations de compte pour des plateformes de médias sociaux majeures telles que les fournisseurs de messagerie et les produits Microsoft, ainsi que Facebook, Instagram, Snapchat et Roblox, ont été confirmées.
Cela inclut des informations d'accès aux comptes bancaires et aux institutions financières de plusieurs pays, aux plateformes médicales et aux portails des organismes gouvernementaux, exposant ainsi les individus ou organisations dont les données ont été divulguées à des risques graves.
M. Fowler a contacté plusieurs adresses e-mail enregistrées dans la base de données et a vérifié que les mots de passe étaient précis et valides dans les enregistrements. La base de données était connectée à deux noms de domaine, mais il n'a pas pu identifier le propriétaire.
caractéristiques du malware InfoStealer
InfoStealer est un terme générique désignant un logiciel malveillant spécialisé dans l’exfiltration d’informations sensibles à partir de systèmes infectés. Il cible principalement les informations d’identification stockées dans les navigateurs Web, les clients de messagerie et les applications de messagerie, mais vole également les données de remplissage automatique, les cookies et les informations de portefeuille de crypto-monnaies. Certaines variantes ont également la capacité de capturer des captures d’écran et d’enregistrer les frappes au clavier.
Actuellement, la voie de collecte de données dans cette affaire n'est pas encore déterminée, mais il est nécessaire de faire attention car les cybercriminels distribuent souvent des logiciels malveillants via des e-mails de phishing, des sites web malveillants et des logiciels piratés.
Risques de sécurité majeurs envisagés
attaque de remplissage d'identifiants
L'attaque de credential stuffing est une méthode d'attaque automatisée qui tente d'accéder de manière non autorisée à plusieurs services en ligne en utilisant des informations d'identification volées.
Exploitant l’habitude de nombreux utilisateurs de réutiliser le même mot de passe sur plusieurs services, ils utilisent des botnets pour effectuer des milliers de tentatives de connexion par seconde. À l’aide des 184 millions d’identifiants divulgués, les attaquants peuvent tenter de se connecter à n’importe quel service en ligne, y compris les banques, les médias sociaux, les sites de commerce électronique et les systèmes d’entreprise.
Le taux de réussite est généralement estimé entre 0,1 et 2 %, mais à cette échelle, des centaines de milliers à des millions de comptes pourraient être compromis.
prise de contrôle de compte (ATO)
Le vol de compte (Account Takeover : ATO) est une attaque qui vise à prendre complètement le contrôle du compte d'un utilisateur en utilisant des informations d'identification légitimes.
Les comptes qui n'ont pas mis en place l'authentification à deux facteurs (2FA) sont exposés à un risque très élevé, car ils peuvent être compromis uniquement avec l'ID de connexion et le mot de passe. Une fois qu'un attaquant a pris le contrôle d'un compte, il a accès à toutes les données stockées, telles que les informations personnelles identifiables (PII), les informations sur les cartes de crédit, l'historique des achats, la liste de contacts, etc.
De plus, il existe un risque que des dommages secondaires se produisent en chaîne, tels que l'envoi de courriels de phishing ciblant des amis, des membres de la famille et des partenaires commerciaux en se faisant passer pour la victime, des transferts d'argent non autorisés, et des verrouillages dus à des modifications des paramètres du compte.
Impact sur les entreprises et les administrations gouvernementales
Il a été confirmé que les données divulguées cette fois-ci contiennent de nombreux comptes d'entreprises et des comptes d'agences gouvernementales de différents pays (.gov). Si les informations d'identification des entreprises sont compromises, les attaquants peuvent pénétrer dans le réseau interne, voler des données commerciales confidentielles, mener des activités d'espionnage industriel et même exécuter des attaques par ransomware.
Ce qui suscite particulièrement des inquiétudes, ce sont les comptes des agences gouvernementales. Si parmi ceux-ci se trouvent des comptes ayant des droits d'accès à des infrastructures nationales critiques ou à des informations sensibles, cela constitue une menace grave pour la sécurité nationale. De plus, ils pourraient également être exploités comme point de départ d'attaques sur la chaîne d'approvisionnement, avec un risque qu'une seule violation s'étende de manière en chaîne.
risques liés aux actifs cryptographiques
Les sous-types de logiciels malveillants InfoStealer ciblent non seulement les comptes d'échange, mais aussi les clés secrètes et les phrases de récupération des portefeuilles basés sur des extensions de navigateur.
Ces menaces sont en augmentation, par exemple, le "StilachiRAT" alerté par Microsoft en mars 2025 cible plus de 20 types de portefeuilles, tels que MetaMask, Trust Wallet et Phantom, et vole les informations d'identification via le registre Windows.
Si les informations d'identification divulguées incluent des comptes d'échanges de cryptomonnaies, des transferts non autorisés pourraient être exécutés immédiatement sur les comptes sans 2FA configuré.
Les transactions en crypto-actifs sont irréversibles, il est donc extrêmement difficile de récupérer des fonds une fois qu'ils ont été envoyés. De plus, certains des derniers logiciels malveillants disposent de la capacité de surveiller le presse-papiers et de détecter et voler automatiquement des adresses et des clés privées, ce qui constitue une menace continue pour les détenteurs de crypto-actifs.
Mesures de sécurité que les utilisateurs doivent prendre
Cette importante fuite de données constitue une occasion cruciale de revoir les mots de passe et les mesures de sécurité personnelles. Afin de prévenir l'extension des dommages, il est nécessaire que tous les utilisateurs mettent rapidement en œuvre des mesures.
Les principales mesures que l'utilisateur doit mettre en œuvre sont les suivantes. En combinant ces mesures, cela constituera un moyen de se protéger contre les fuites d'informations.
Gestion des mots de passe
Changement régulier une fois par an, utilisation de mots de passe complexes et uniques pour tous les comptes. L'utilisation d'un gestionnaire de mots de passe est recommandée.
2FA (authentification à deux facteurs)
Particulièrement nécessaire pour les institutions financières, les plateformes d'échange de crypto-actifs et les comptes importants.
Surveillance de compte
Vérifiez les fuites sur Have I Been Pwned (HIBP), utilisez les notifications de connexion et les alertes d'activité.
Protection des actifs cryptographiques
Une grande quantité d'actifs est gérée par un portefeuille matériel.
Logiciel de sécurité
Installez un logiciel antivirus fiable et maintenez-le toujours à jour. Envisagez une solution EDR pour une protection avancée.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
1 million 840 thousand informations de connexion ont été divulguées, collectées par malware = rapport
La capacité de la base de données atteint 47,42 Go et il est supposé qu'elle a été collectée par le logiciel malveillant InfoStealer (malware de vol d'informations).
Détails des données divulguées et portée de l'impact
types d'informations d'authentification incluses
La base de données publiée contenait des informations d'identification pour une large gamme de services. Des informations de compte pour des plateformes de médias sociaux majeures telles que les fournisseurs de messagerie et les produits Microsoft, ainsi que Facebook, Instagram, Snapchat et Roblox, ont été confirmées.
Cela inclut des informations d'accès aux comptes bancaires et aux institutions financières de plusieurs pays, aux plateformes médicales et aux portails des organismes gouvernementaux, exposant ainsi les individus ou organisations dont les données ont été divulguées à des risques graves.
M. Fowler a contacté plusieurs adresses e-mail enregistrées dans la base de données et a vérifié que les mots de passe étaient précis et valides dans les enregistrements. La base de données était connectée à deux noms de domaine, mais il n'a pas pu identifier le propriétaire.
caractéristiques du malware InfoStealer
InfoStealer est un terme générique désignant un logiciel malveillant spécialisé dans l’exfiltration d’informations sensibles à partir de systèmes infectés. Il cible principalement les informations d’identification stockées dans les navigateurs Web, les clients de messagerie et les applications de messagerie, mais vole également les données de remplissage automatique, les cookies et les informations de portefeuille de crypto-monnaies. Certaines variantes ont également la capacité de capturer des captures d’écran et d’enregistrer les frappes au clavier.
Actuellement, la voie de collecte de données dans cette affaire n'est pas encore déterminée, mais il est nécessaire de faire attention car les cybercriminels distribuent souvent des logiciels malveillants via des e-mails de phishing, des sites web malveillants et des logiciels piratés.
Risques de sécurité majeurs envisagés
attaque de remplissage d'identifiants
L'attaque de credential stuffing est une méthode d'attaque automatisée qui tente d'accéder de manière non autorisée à plusieurs services en ligne en utilisant des informations d'identification volées.
Exploitant l’habitude de nombreux utilisateurs de réutiliser le même mot de passe sur plusieurs services, ils utilisent des botnets pour effectuer des milliers de tentatives de connexion par seconde. À l’aide des 184 millions d’identifiants divulgués, les attaquants peuvent tenter de se connecter à n’importe quel service en ligne, y compris les banques, les médias sociaux, les sites de commerce électronique et les systèmes d’entreprise.
Le taux de réussite est généralement estimé entre 0,1 et 2 %, mais à cette échelle, des centaines de milliers à des millions de comptes pourraient être compromis.
prise de contrôle de compte (ATO)
Le vol de compte (Account Takeover : ATO) est une attaque qui vise à prendre complètement le contrôle du compte d'un utilisateur en utilisant des informations d'identification légitimes.
Les comptes qui n'ont pas mis en place l'authentification à deux facteurs (2FA) sont exposés à un risque très élevé, car ils peuvent être compromis uniquement avec l'ID de connexion et le mot de passe. Une fois qu'un attaquant a pris le contrôle d'un compte, il a accès à toutes les données stockées, telles que les informations personnelles identifiables (PII), les informations sur les cartes de crédit, l'historique des achats, la liste de contacts, etc.
De plus, il existe un risque que des dommages secondaires se produisent en chaîne, tels que l'envoi de courriels de phishing ciblant des amis, des membres de la famille et des partenaires commerciaux en se faisant passer pour la victime, des transferts d'argent non autorisés, et des verrouillages dus à des modifications des paramètres du compte.
Impact sur les entreprises et les administrations gouvernementales
Il a été confirmé que les données divulguées cette fois-ci contiennent de nombreux comptes d'entreprises et des comptes d'agences gouvernementales de différents pays (.gov). Si les informations d'identification des entreprises sont compromises, les attaquants peuvent pénétrer dans le réseau interne, voler des données commerciales confidentielles, mener des activités d'espionnage industriel et même exécuter des attaques par ransomware.
Ce qui suscite particulièrement des inquiétudes, ce sont les comptes des agences gouvernementales. Si parmi ceux-ci se trouvent des comptes ayant des droits d'accès à des infrastructures nationales critiques ou à des informations sensibles, cela constitue une menace grave pour la sécurité nationale. De plus, ils pourraient également être exploités comme point de départ d'attaques sur la chaîne d'approvisionnement, avec un risque qu'une seule violation s'étende de manière en chaîne.
risques liés aux actifs cryptographiques
Les sous-types de logiciels malveillants InfoStealer ciblent non seulement les comptes d'échange, mais aussi les clés secrètes et les phrases de récupération des portefeuilles basés sur des extensions de navigateur.
Ces menaces sont en augmentation, par exemple, le "StilachiRAT" alerté par Microsoft en mars 2025 cible plus de 20 types de portefeuilles, tels que MetaMask, Trust Wallet et Phantom, et vole les informations d'identification via le registre Windows.
Si les informations d'identification divulguées incluent des comptes d'échanges de cryptomonnaies, des transferts non autorisés pourraient être exécutés immédiatement sur les comptes sans 2FA configuré.
Les transactions en crypto-actifs sont irréversibles, il est donc extrêmement difficile de récupérer des fonds une fois qu'ils ont été envoyés. De plus, certains des derniers logiciels malveillants disposent de la capacité de surveiller le presse-papiers et de détecter et voler automatiquement des adresses et des clés privées, ce qui constitue une menace continue pour les détenteurs de crypto-actifs.
Mesures de sécurité que les utilisateurs doivent prendre
Cette importante fuite de données constitue une occasion cruciale de revoir les mots de passe et les mesures de sécurité personnelles. Afin de prévenir l'extension des dommages, il est nécessaire que tous les utilisateurs mettent rapidement en œuvre des mesures.
Les principales mesures que l'utilisateur doit mettre en œuvre sont les suivantes. En combinant ces mesures, cela constituera un moyen de se protéger contre les fuites d'informations.
Changement régulier une fois par an, utilisation de mots de passe complexes et uniques pour tous les comptes. L'utilisation d'un gestionnaire de mots de passe est recommandée.
Particulièrement nécessaire pour les institutions financières, les plateformes d'échange de crypto-actifs et les comptes importants.
Vérifiez les fuites sur Have I Been Pwned (HIBP), utilisez les notifications de connexion et les alertes d'activité.
Une grande quantité d'actifs est gérée par un portefeuille matériel.