Netcrook Logo
👤 CIPHERWARDEN
🗓️ 07 Nov 2025   🗂️ Threats    

Un milliard de raisons de plus de s’inquiéter : l’énorme collecte de mots de passe de Have I Been Pwned

Un milliard de nouveaux mots de passe ont atterri dans la base de données de Have I Been Pwned, révélant l’ampleur et la persistance du vol de mots de passe à l’échelle mondiale.

En Bref

  • Have I Been Pwned (HIBP) a ajouté 1,3 milliard de nouveaux mots de passe issus de la base de données Synthient.
  • Les nouvelles données incluent des paires identifiant/mot de passe provenant de fuites, affectant 2 milliards de comptes.
  • La plupart des identifiants volés ont été collectés par des malwares infostealer depuis des groupes Telegram et des stockages cloud publics.
  • HIBP permet à chacun de vérifier gratuitement si son email ou mot de passe a été compromis lors d’une fuite connue.
  • Les experts recommandent de changer les mots de passe compromis et d’activer l’authentification à deux facteurs.

Le dernier butin du monde souterrain numérique

Imaginez un vaste bazar numérique où les secrets volés s’échangent comme des pièces de monnaie. Cette semaine, le chien de garde de la cybersécurité, Have I Been Pwned (HIBP), a ajouté un milliard de jetons supplémentaires à son registre - 1,3 milliard de mots de passe uniques, pour être précis. Il ne s’agit pas d’un casse dans un seul coffre-fort, mais d’une fuite tentaculaire provenant d’innombrables recoins d’Internet, désormais cataloguée pour que chacun puisse vérifier si ses clés numériques ont été dérobées.

Comment un milliard de mots de passe ont-ils disparu ?

Le dernier lot provient de la base de données dite Synthient, une vaste collection d’identifiants siphonnés depuis une multitude de sources : groupes de discussion Telegram, espaces de stockage cloud mal configurés, et la moisson obscure des malwares infostealer. Les infostealers, une catégorie de logiciels malveillants, rôdent discrètement sur les appareils infectés, capturant identifiants et mots de passe au fur et à mesure que les utilisateurs les saisissent. Les données ainsi dérobées sont ensuite envoyées vers des serveurs criminels, parfois laissées exposées à quiconque connaît la bonne adresse.

Le créateur de HIBP, Troy Hunt, importe régulièrement de telles collections dans le service, transformant le chaos des marchés souterrains en une ressource d’utilité publique. Ce nouvel ajout signifie que HIBP suit désormais des milliards d’identifiants, certains anciens, d’autres alarmants de fraîcheur.

Vivre avec la fuite : risques et réponses

Qu’est-ce que cela signifie pour l’utilisateur lambda ? Même si votre email n’est pas lié à une fuite active, la réutilisation des mots de passe entre différents sites est une bombe à retardement. Les attaquants testent régulièrement d’anciens identifiants sur des services populaires, espérant une correspondance. C’est le moteur du credential stuffing - une forme d’attaque par force brute alimentée par des mots de passe recyclés.

Les experts en sécurité recommandent d’agir immédiatement : changez tout mot de passe compromis, évitez de les réutiliser, et activez l’authentification à deux facteurs partout où c’est possible. Des gestionnaires de mots de passe comme KeePass peuvent vous aider à vérifier l’ensemble de votre coffre-fort par rapport à la liste croissante de HIBP. Pour les plus prévoyants, les passkeys - l’authentification sans mot de passe - émergent, même si elles ne sont pas encore largement prises en charge.

À noter : les milliards d’entrées de la nouvelle base de données ne précisent pas toujours quel service a été compromis. Parfois, tout ce que l’on sait, c’est qu’un mot de passe a fuité, soulignant à quel point nos vies numériques sont devenues poreuses.

Une perspective plus large : les mots de passe en péril

Ce n’est pas la première fois que le monde se réveille face à une fuite massive de mots de passe. De la fuite LinkedIn de 2012 aux compilations comme “Collection #1” en 2019, des milliards d’identifiants ont été exposés et recyclés par les cybercriminels. Le marché des identifiants volés est mondial, lucratif et en pleine croissance - avec des implications géopolitiques, alors que des syndicats du crime et des acteurs étatiques exploitent ces bases de données.

La dernière mise à jour de HIBP est un rappel brutal : nos identités numériques ne sont aussi solides que notre mot de passe le plus faible. Dans un monde où les données circulent sans fin et où les fuites sont inévitables, la vigilance - et un mot de passe long et unique - restent notre meilleure défense.

À mesure que la marée numérique monte, le coût de la complaisance augmente. Un milliard de nouveaux mots de passe perdus, c’est un milliard de nouvelles failles dans l’armure numérique du monde - il est temps de colmater la vôtre avant que quelqu’un d’autre ne s’y engouffre.

WIKICROOK

  • Infostealer : Un infostealer est un logiciel malveillant conçu pour voler des données sensibles - comme des mots de passe, cartes bancaires ou documents - sur des ordinateurs infectés à l’insu de l’utilisateur.
  • Credential stuffing : Le credential stuffing consiste à utiliser des identifiants volés sur un site pour tenter d’accéder à des comptes sur d’autres sites.
  • Two : L’authentification à deux facteurs (2FA) est une méthode de sécurité qui exige deux types d’identification différents pour accéder à un compte, rendant le piratage plus difficile.
  • Password manager : Un gestionnaire de mots de passe est une application qui stocke vos mots de passe de façon sécurisée et ne les saisit que sur des sites vérifiés et légitimes pour éviter le vol.
  • Passkey : Une passkey est un identifiant numérique utilisant des clés cryptographiques, stockées sur votre appareil, pour vérifier votre identité de façon sécurisée sans mot de passe traditionnel.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news