C’est un chiffre qui donne le vertige : 183 millions d’identifiants et de mots de passe ont été versés dans la base de données du site Have I Been Pwned, géré par l’expert en cybersécurité Troy Hunt. Ce service, gratuit et bien connu du grand public, permet de vérifier si ses comptes figurent parmi ceux compromis dans des fuites de données circulant sur le dark web.
Une fuite massive, mais pas une « faille Gmail »
L’ajout du 21 octobre provient de ce que le chercheur décrit comme un mélange de « stealer logs » (données volées par des logiciels espions) et de listes issues d’attaques dites de « credential stuffing », où des pirates testent des identifiants déjà compromis sur d’autres sites. Au total, les fichiers fournis à Have I Been Pwned représentent 3,5 To de données et pas moins de 23 milliards de lignes.
Selon l’analyse de l’entreprise Synthient, à l’origine de la découverte, ces informations ont été collectées pendant près d’un an sur des plateformes d’infostealers. Si 92 % des identifiants étaient déjà connus, 16,4 millions d’adresses s’avèrent inédites dans toute base de données connue. Certaines correspondent à des comptes Gmail confirmés — l’un des utilisateurs contactés par HIBP a reconnu que le mot de passe trouvé était bien le sien.
Face à l’emballement provoqué par la mention de comptes Gmail compromis, Google a réagi rapidement. Le groupe assure qu’il n’existe « aucune faille » dans ses systèmes. « Les informations faisant état d’une “faille” de sécurité de Gmail touchant des millions d’utilisateurs sont entièrement inexactes et incorrectes», indique un porte-parole. « Elles découlent d’une mauvaise interprétation des mises à jour continues des bases de données de vol d’identifiants. » Le géant américain explique que ces vols résultent d’outils utilisés par des pirates pour siphonner les données d’utilisateurs infectés, et non d’une attaque ciblée sur Gmail ou un autre service en particulier.
Pour autant, Google invite chacun à renforcer la sécurité de ses comptes. Activer la vérification en deux étapes reste la meilleure protection, tout comme l’adoption des clés d’accès (passkeys), une méthode d’authentification sans mot de passe jugée plus sûre. L’entreprise précise également disposer d’un processus de réinitialisation automatique des mots de passe lorsqu’elle détecte de grands volumes d’identifiants compromis.
Les internautes peuvent consulter Have I Been Pwned pour savoir si leur adresse e-mail figure dans cette base de données. Les utilisateurs de Chrome peuvent aussi utiliser l’outil intégré de vérification des mots de passe (dans le gestionnaire de mots de passe du navigateur). Si votre compte apparaît dans la liste, changez immédiatement le mot de passe concerné, et évitez de le réutiliser sur plusieurs services. Même si la fuite n’implique pas une brèche directe chez Google, la prudence reste de mise : ces bases de données géantes constituent des mines d’or pour les cybercriminels qui misent sur la négligence des internautes.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
