Une gigantesque base de données volées a été découverte sur le dark web. Le répertoire est composé de six milliards d’identifiants, dont de nombreux mots de passe recyclés par les internautes. On y trouve notamment des données appartenant à des comptes de Français, dont des comptes liés au gouvernement…
Le blog spécialisé Zataz vient de mettre la main sur une base massive de données compromises. Pesant 44 Go, le répertoire se compose de plus de 562 millions d’adresses mail, accompagnées de « plus de 552 millions de paires email mot de passe ». Au total, le fichier contient plus de six milliards d’identifiants, dont 220 826 827 mots de passe uniques.
Le répertoire, actuellement partagé sur le dark web, montre que les utilisateurs continuent de recycler leurs mots de passe. On y trouve en effet 57 514 756 mots de passe réutilisés. Certains codes servent à sécuriser des millions de comptes. Sans surprise, c’est l’indétrônable « 123456 » qui revient le plus souvent. Il est en effet recensé 1 920 430 fois dans le répertoire.
À lire aussi : 6 milliards de mots de passe piratés – les virus voleurs de données ont fait un carnage en 2025
Une compilation de données
La base de données ne concerne évidemment pas un service en particulier et ne provient pas d’une fuite bien précise. Il s’agit d’une compilation d’une montagne d’informations compromises au fil des ans, tout comme le répertoire de 149 millions de mots de passe qui a été épinglé récemment. Damien Bancal, expert en sécurité du blog Zataz, parle « d’une agrégation industrielle de données issues de violations multiples, collectées, normalisées et stockées dans un format exploitable ». En clair, des pirates ont combiné toutes les informations en leur possession pour croiser les données en vue d’activités illégales.
Une partie des données analysées par Zataz concerne les Français. En effet, près de 27,5 millions d’adresses appartiennent à des internautes qui viennent de France. Le fichier contient notamment 6 588 adresses en .gouv.fr, dont 5 496 uniques, qui correspondent à des comptes liés à l’administration gouvernementale. C’est une porte d’entrée potentielle dans les systèmes de l’État français, déjà fragilisé par de nombreuses attaques à l’encontre de ses ministères.
À lire aussi : Cette tactique pirate explique l’explosion des cyberattaques en France
Du pain béni pour le bourrage d’identifiants
Ces gigantesques bases de données continuent d’alimenter les cyberattaques, en particulier les attaques de credential stuffing, ou « bourrage d’identifiants » en français. Cette pratique répandue consiste tout simplement à utiliser des identifiants volés sur une plateforme pour tenter d’accéder à d’autres comptes sur d’autres services en ligne. Les pirates savent en effet que la plupart des internautes font l’erreur de recycler leurs mots de passe.
Selon une étude de Bitdefender, 66 % des personnes réutilisent au moins certains de leurs mots de passe sur plusieurs sites. En parallèle, Cloudflare estime qu’environ 41% des intrusions réussies impliquent des identifiants déjà compromis. C’est bien la preuve qu’il faut impérativement cesser de recycler vos mots de passe. Optez pour un code unique d’au moins 12 à 14 caractères, composé de minuscules, majuscules, chiffres et de caractères spéciaux, sans mot du dictionnaire, date de naissance, prénom, ni nom d’animal. Pour éviter les oublis, passez par un gestionnaire de mots de passe.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Zataz