« 184 millions d’enregistrements » : une BDD avec des mots de passe était en accès libre

Mouais, MOAB c’est 140x plus !

184 millions… près de trois fois la population française. C’est le nombre d’enregistrements (avec des identifiants et mots de passe) qui étaient librement accessibles sur Internet. L’accès à la base de données a été supprimé, mais le mystère reste entier sur sa provenance.

Sébastien Gavois

Le 23 mai à 17h18

5 min

Sécurité

Hier, sur Website Planet, le chercheur en cybersécurité Jeremiah Fowler expliquait avoir découvert une base de données de 47,42 Go en accès libre. Elle n’était pas chiffrée et « contenait 184 162 718 identifiants et mots de passe uniques ». De quoi reléguer en deuxième division la récente fuite des SMS de double authentification de Steam.

Steam confirme une fuite de données : des SMS pour la 2FA

Il y en a pour tous les gouts et tous les .gov

Il explique avoir analysé un échantillon et découvert « des milliers de fichiers qui comprenaient des e-mails, des noms d'utilisateur, des mots de passe et des liens vers la page de connexion ou d'autorisation des comptes ». Les comptes en question étaient aussi divers que variés : Amazon, Apple, Facebook, Instagram, Microsoft, Roblox, Spotify, Snapchat, etc.

Comme si ce n’était pas déjà pas assez, il rajoute une couche : « J’ai également vu des informations d’identification pour des comptes bancaires et financiers, des plateformes de santé et des portails gouvernementaux de nombreux pays, ce qui pourrait mettre les personnes exposées en danger ».

Selon Wired, qui s’en est entretenu avec l’expert, l’échantillon de 10 000 enregistrements contenait « 220 adresses e-mail avec des domaines en .gov, d’au moins 29 pays dont les États-Unis, l’Australie, le Canada, la Chine, l’Inde, Israël, la Nouvelle-Zélande, l’Arabie saoudite et le Royaume-Uni ».

Dans ces 10 000 enregistrements, il y avait également 479 comptes Facebook, 475 Google, 240 Instagram, 227 Roblox, 209 Discord ainsi que plus de 100 à chaque fois pour Microsoft, Netflix, PayPal… Nos confrères signalent aussi la présence de comptes Amazon, Apple, Nintendo, Snapchat, Spotify, Twitter, WordPress et Yahoo. N’en jetez plus !

Jeremiah Fowler a contacté certaines des personnes dont les données étaient présentes dans la base, qui lui ont « confirmé que la base de données contenaient leurs mots de passe exacts et valides ».

184 millions d’enregistrements, ça veut dire quoi ?

Quoi qu’il en soit, cela ne signifie pas qu’il s’agisse d’une nouvelle fuite de données, ni que les données sont récentes. Il faut également bien comprendre ce que signifie 184 millions d’enregistrements : ce sont en gros 184 millions de lignes dans la base de données, pas 184 millions de personnes ni 184 millions de comptes. Il peut y avoir des doublons, des ratés, etc…

Nous sommes encore très loin des sommets en la matière. Début 2024, MOAB pour « mother of all breaches » faisait parler d’elle avec 24 milliards d’enregistrements.

« MOAB », la compilation gargantuesque de fuites aux 26 milliards d’enregistrements

World Host Group coopère « pleinement avec les autorités »

Jeremiah Fowler affirme avoir contacté l’hébergeur – World Host Group selon Wired – où se trouvait la base de données. Rapidement, elle n’était plus accessible. Le chercheur précise qu’il ne sait pas depuis combien de temps elle était en ligne ni si d’autres personnes ont pu y accéder.

À nos confrères, Seb de Lemos (CEO de World Host Group) précise que la base de données était sur un serveur hébergé par sa société, mais « non géré » par son entreprise. En clair, il est entièrement contrôlé par un de ses clients. « Il semble qu’un utilisateur malveillant se soit connecté et a téléchargé du contenu illégal sur le serveur », ajoute le dirigeant.

L’équipe juridique de World Host Group examine maintenant les informations à sa disposition et les suites à donner. L’hébergeur se dit prêt à coopérer « pleinement avec les autorités […] et, le cas échéant, à partager toutes les données pertinentes des clients avec elles ».

D’où viennent les données ? La piste de l’infostealer privilégiée

Aucune piste n’est privilégiée ou écartée concernant les origines de cette base de données. Elle pouvait évidemment être utilisée pour des activités criminelles, mais il pourrait aussi s’agir d’« informations recueillies à des fins de recherche légitimes et ensuite exposées en raison d’une erreur ».

Le chercheur en cybersécurité semble privilégier la première piste car « les enregistrements présentent de multiples signes » qui indiqueraient que les données ont été récupérées par un logiciel malveillant de type infostealer. « Il est fort possible qu’il s’agisse d’un cybercriminel […] C’est la seule chose qui a du sens, car je ne vois pas d’autre moyen d’obtenir autant d’identifiants et de mots de passe pour autant de services dans le monde ».

Rappel : soyez prudent !

Comme toujours, la prudence est maintenant de mise. C’est d’ailleurs un conseil valable même s’il n’y a pas de fuite, il faut toujours être un minimum sur ses gardes. Activez autant que possible la double authentification et pensez à bien utiliser un mot de passe différent par service.

Prenez également garde aux alertes de connexion… en étant tout de même attentif à ne pas tomber dans le piège d’un faux email qui s'avérerait être une tentative de phishing. Le meilleur conseil est généralement de ne pas agir sans réfléchir, dans la précipitation.

Commentaires (10)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Idiogène

Le 23/05/2025 à 21h42

On peut ajouter : changer de mot de passe tous les ans avec des outils de gestion de mot de passe.

Mais quelques autres déflagrations de cet ordre en sus de la novlang des teletubbies et le papier va revenir à la mode.

Gorom

Le 24/05/2025 à 09h46

Juste pour bien comprendre, tu changes tous tes mots de passe chaque année ?

Timanu69

Le 24/05/2025 à 09h26

Marrant qu'on ai pas la $date d'écriture du fichier ni le $user sur le $file :-/
Et il est où le .torrent du .rar ?

lansing Abonné

Le 24/05/2025 à 09h53

La double authentification c'est bien.... quand elle existe. Par exemple rien sur laposte.net a priori.

Soriatane Abonné

Le 24/05/2025 à 10h03

+1
Je suis consterné de la faible part de webmails qui propose par le 2FA. À mon avis, cela devrait automatique pour tous services de courriels, voir une obligation légale.
Et non, le SMS n'est pas du 2FA.
Le 2FA c'est de l'OTP ou bien une clé physique comme la yubikey.

fdorin Abonné

Le 24/05/2025 à 12h27

Si je chipote (ce qui ne m'arrive absolument JAMAIS

), le 2FA par SMS c'est de l'OTP. Je suppose donc que tu souhaites parler de l'usage d'une application d'authentification basé sur un protocole genre TOTP (comme les authenticators Google, Microsoft, mais aussi tiers).

Quoi qu'il en soit, le SMS est, par définition, du 2FA. Mais ce n'est pas une authentification forte (car oui, il ne faut pas confondre authentification forte et MFA, qui sont bien deux concepts disctincts !!).

Je terminerai juste que le SMS, bien que présentant des failles de sécurité, c'est toujours mieux que pas de 2FA tout court. Et surtout, cela nécessite des attaques ciblées. Les attaques en masse et automatisées sont inopérantes avec l'usage d'un 2FA par SMS (ce qui reste quand même la très très grande majorité des attaques).

potn Abonné

Le 24/05/2025 à 13h48

Après, pour les services de courriers, il faut aussi mettre à leur décharge que mettre du 2FA nécessite AUSSI de mettre en place un système d'authentification adapté aux clients mails via SMTP/IMAP/POP et ça, c'est pas si simple...
Le système de mot de pzsse d'application est une bonne première approche, mais les mots de passe générés sont généralement assez courts, et surtout ça ne protège pas en cas de fuite du MDP (ce qui est le but premier du 2FA).

SebGF Abonné

Le 24/05/2025 à 11h32

La quantité d'acteurs défaillants sur le Web à ce niveau est atrocement élevée. Quand je vois qu'il faut se batailler pour trouver l'option sur Amazon (qui fait le SMS par défaut, soit un moyen inefficace), c'est là que je vois qu'il ne s'agit pas que d'une question de moyens financiers.

AnoNyMeuh

Le 24/05/2025 à 15h48

Dans le même genre on a aussi la blague de Paypal, qui autorise les yubikeys... mais une seule. Ce qui est totalement contraire au principe (toujours au strict minium 2 clés pour parer à la perte/casse/vol).

SebGF Abonné

Le 24/05/2025 à 18h12

Oui, aussi, c'est stupide... Je suis obligé de passer en OTP quand j'ai pas celle qui a été associée.