Have I Been Pwned vient de gonfler sa base de données. Près de 2 milliards d’adresses e-mail et 1,3 milliard de mots de passe uniques ont été ajoutés au site web. Ces informations piratées proviennent de malwares voleurs de données et de compilations d’anciennes fuites, réinjectées dans de gigantesques répertoires très prisés des pirates.
Have I Been Pwned, le site open source qui propose aux internautes de vérifier si leurs données personnelles n’ont pas été piratées, vient d’ajouter un nouveau lot d’informations compromises. Comme l’explique le chercheur Troy Hunt, à l’origine du projet, 1,96 milliard d’adresses e-mail et 1,3 milliard de mots de passe uniques ont été récupérés et ajoutés à la base de données.
This has been an extraordinary set of data to process: 1.3B unique passwords, 2B unique email addresses (including mine 😭) and almost 3M of our @haveibeenpwned subscribers in there. It’s been weeks of processing to get this loaded, and finally, it’s done https://t.co/f5okTCYstn
— Troy Hunt (@troyhunt) November 6, 2025
Le chercheur en sécurité précise que 625 millions des mots de passe recensés sont inédits. Ils n’ont jamais encore fait surface sur Internet. Du moins, ils n’ont pas été repérés par Hunt jusqu’à aujourd’hui. Le répertoire fait suite à l’ajout de 183 millions d’adresses mail et de mots de passe piratés sur Have I Been Pwned à la fin du mois dernier.
À lire aussi : 2 millions d’adresses mail et 17 000 identifiants Apple ont été exposés par un logiciel espion
Logiciels malveillants et compilations
Aux origines, les données compromises viennent de logiciels malveillants de type infostealer, ou stealer logs. Il s’agit de malwares qui infectent des ordinateurs pour aspirer toutes les données qu’ils peuvent trouver, comme des mots de passe enregistrés, des cookies, des e-mails et d’autres informations personnelles. Ces données sont extraites et incorporées à des répertoires échangés sur des plateformes criminelles.
Les informations proviennent aussi et surtout de diverses compilations de fuites. Ce sont des répertoires composés de données issues de plusieurs fuites. Dès qu’un email et son mot de passe sont compromis, ils sont ajoutés à des compilations très prisées par les pirates. C’est à l’origine de ce qu’on appelle une attaque de credential stuffing, ou « bourrage d’identifiants » en français. Cette pratique consiste tout simplement à utiliser des identifiants volés sur une plateforme pour tenter d’accéder à d’autres comptes sur d’autres services en ligne. La majorité des internautes réutilisent le même mot de passe sur plusieurs sites, et les cybercriminels le savent.
Des données recyclées et regroupées à l’excès
Ces compilations circulent, s’enrichissent, et finissent par fusionner dans des gigantesques bases de données, comme celle récupérée par Troy Hunt. Il s’agit donc d’anciennes données compromises, déjà massivement relayées sur Internet et sur le dark web. On peut s’attendre à ce que ces informations aient déjà été exploitées dans le cadre de cyberattaques et autres arnaques en ligne.
Certains des identifiants piratés sont très anciens. De facto, il y a beaucoup d’identifiants qui ne sont plus valides. Dans d’autres cas, les adresses mails ne sont pas liées aux bons mots de passe. Il arrive que des combinaisons erronées d’identifiants surviennent lorsque les répertoires sont recyclés et fusionnés à de multiples reprises. À un certain point, des erreurs surviennent. L’exposition des données n’en reste pas moins dangereuse.
Troy Hunt souligne bien qu’il ne s’agit pas d’une fuite chez Google Gmail. L’omniprésence des adresses Gmail dans le répertoire s’explique tout simplement par le fait que Gmail est le service mail le plus utilisé au monde. Il est donc logique que les adresses Gmail soient légion. On compte 394 millions d’adresses e-mail uniques Gmail dans le répertoire.
On vous invite évidemment à vérifier si vos données ont été piratées en vous rendant sur Have I Been Pwned. Saisissez votre adresse e-mail ou votre mot de passe. Si votre adresse n’est liée à aucune fuite, un message vert vous le confirmera. En revanche, si elle a été compromise, un avertissement rouge s’affichera à l’écran avec le détail des violations détectées. En cas de violation, changez immédiatement votre mot de passe et activez la double authentification sur tous vos comptes;
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.