149 millions d’identifiants, mots de passe et emails retrouvés librement accessibles sur Internet, sans aucun mot de passe ni sécurité, la fuite qui touche Google, Facebook ou encore OnlyFans vient d’être révélée : l’alerte fait déjà froid dans le dos.
Sommaire
149 millions de comptes en accès libre découverts sur un serveur non protégé
Ce chercheur en cybersécurité, Jeremiah Fowler, a détecté une base de données de 96 Go contenant des identifiants et mots de passe de 149 404 754 comptes du monde entier.
Adresse Gmail, Facebook, LinkedIn, Netflix, OnlyFans, mais aussi des emails gouvernementaux ou bancaires… Toutes ces informations étaient accessibles à n’importe qui, sans barrière ni chiffrement, pendant près d’un mois.
Comment la faille a-t-elle vu le jour ?
Les données ont été aspirées via des malwares baptisés infostealers. Ces logiciels espion s’installent dans l’ombre sur PC ou mobile, captent toutes les informations saisies sur le clavier et exfiltrent les identifiants sur des serveurs non protégés.
La base contenant :
- 48 millions de comptes Gmail
- 17 millions Facebook
- 4 millions Yahoo
- 1,5 million Outlook
- 3,4 millions Netflix
- 900 000 iCloud
- 780 000 TikTok
- 100 000 OnlyFans
- 420 000 Binance
a circulé sans aucun contrôle.
Des comptes de services bancaires, des portefeuilles crypto, du trading et même des identifiants officiels de domaines gouvernementaux (.gov) de plusieurs pays sont inclus dans la fuite, laissant craindre le pire sur la sécurité des infrastructures et de la vie privée.
L’hébergeur accuse le coup, les géants du web silencieux
Malgré l’alerte lancée par Jeremiah Fowler*, il a fallu attendre quatre semaines d’inaction de l’hébergeur pour que l’accès à la base soit enfin coupé.
Ni Google, ni Meta (Facebook), ni les autres plateformes directement impactées, n’ont communiqué sur le sujet. Aucune réponse publique, une opacité totale, alors que la fuite est qualifiée comme l’une des plus grosses jamais enregistrées pour autant de services d’envergure.
« Impossible de savoir qui a déjà téléchargé ou exploité ces données. Ce fichier était une boîte de Pandore. »
Quels risques et réactions ?
Les victimes potentielles se comptent par millions dans le monde. Les cybercriminels peuvent tenter le credential stuffing (essayer des couples email/mot de passe sur d’autres sites), ouvrir la voie à des usurpations d’identité ou déclencher des fraudes financières massives.
Difficile aussi de prévenir tous les impacts quand l’origine exacte des fuites demeure inconnue.
Cette nouvelle faille illustre à quel point, comme dans le cas où la faille Global-e expose les clients Ledger à un risque de phishing massif, la cybersécurité reste un défi majeur.
Cette nouvelle fuite massive nous rappelle l’importance de protéger ses données face aux menaces numériques, comme celles évoquées dans les 107 failles Android listées par Google.
Cette nouvelle faille de sécurité rappelle des précédents inquiétants, comme le piratage massif chez MédecinDirect : 285 000 patients concernés par une fuite de données sensibles.
Des agences de cybersécurité enquêtent pour mesurer l’ampleur du scandale et limiter les répercussions mais le mal est fait : jamais autant de profils n’avaient été ainsi ouverts aux quatre vents.
Des zones d’ombre et la question cruciale de la responsabilité
L’enquête se poursuit pour identifier les responsables de la fuite, tandis que le débat enfle autour de la responsabilité des hébergeurs et des géants du numérique dans la protection des données sensibles. Faut-il des sanctions, des lois plus strictes ? Pour l’instant, aucune sanction n’a été annoncée.
Vous sentez-vous concerné par cette exposition massive ? Modifiez-vous vos habitudes en ligne après ce genre d’alerte ? Faites tourner autour de vous, l’ampleur du risque concerne peut-être aussi vos proches tech…
*Les personnes interrogées ont souhaité conserver l’anonymat.
