LEBIGDATA.FR I.A, Cloud & Cybersécurité
Les 183 millions d’identifiants Gmail piratés, issus de malwares et non d’une faille directe de Google, sont désormais vérifiables sur Have I Been Pwned. Changez vos mots de passe et activez la 2FA pour sécuriser votre compte.
Des adresses mail et des mots de passe ont circulé librement sur une plateforme en ligne anonyme. Les informations, issues d’ordinateurs infectés par des logiciels malveillants, concernaient des comptes Gmail, mais aussi Apple, Facebook et Instagram. L’incident, révélé le 28 octobre par Forbes et confirmé par l’expert australien Troy Hunt, a mis en lumière l’ampleur de la menace que représentent les “infostealers”.
Une fuite massive aux origines complexes
L’alerte a été lancée le 21 octobre 2025. Date après l’ajout d’un nouveau corpus de données à la base du site Have I Been Pwned (HIBP), référence mondiale du suivi des fuites de données.
Les 3,5 téraoctets d’informations découverts renfermaient 183 millions de comptes uniques, dont 16,4 millions d’adresses jamais exposées auparavant.
Selon Synthient, la plateforme de cybersécurité à l’origine de la découverte, ces données provenaient d’une année entière d’observation de forums et de marchés clandestins où circulent les journaux de voleurs d’informations.
Cette fuite résulte d’une agrégation de milliers de vols isolés. Des logiciels tels que RedLine ou Vidar ont collecté les identifiants stockés sur des ordinateurs compromis avant de les compiler dans un gigantesque fichier.
Ces stealer logs contiennent les adresses e-mail, les mots de passe et parfois les URL exactes où ces identifiants ont été utilisés.
Pas de faille chez Google, mais des données compromises
Face à l’ampleur de la panique, Google a tenu à clarifier la situation. Dans un communiqué, l’entreprise a nié toute brèche dans ses systèmes : « Les informations évoquant une faille de sécurité de Gmail sont inexactes. Il s’agit d’une mauvaise interprétation des activités liées aux bases de données issues de vols d’identifiants », a indiqué un porte-parole.
Autrement dit, Gmail n’a pas été piraté. Les comptes compromis le sont à cause d’infections locales ou de la réutilisation de mots de passe déjà volés ailleurs.
L’incident ne provient donc pas d’une faille interne. Cela résulte d’une négligence collective des utilisateurs et de la propagation continue des identifiants volés.
Malgré cette précision, la découverte d’autant de comptes Gmail dans la base piratée suscite l’inquiétude. Selon Troy Hunt, « Gmail figure toujours en tête des services concernés, simplement parce qu’il est le plus utilisé ».
Les experts alertent sur les risques de credential stuffing, une technique consistant à tester automatiquement un même couple e-mail/mot de passe sur plusieurs sites jusqu’à obtenir un accès valide.
Comment savoir si votre compte Gmail a été piraté ?
La première étape consiste à vérifier son adresse sur Have I Been Pwned. En saisissant son e-mail, chacun peut découvrir si ses identifiants figurent dans une fuite connue. Le service, gratuit et fiable, couvre désormais la nouvelle base des 183 millions de comptes.
Si votre adresse apparaît, le réflexe doit être immédiat : changer le mot de passe concerné, ainsi que tous ceux qui lui ressemblent.
Même si votre compte Gmail n’a pas été piraté, la prudence reste essentielle. Les spécialistes recommandent d’éviter les mots de passe identiques sur plusieurs plateformes. En outre, il vaut mieux privilégier les gestionnaires de mots de passe intégrés à Chrome, Safari ou Firefox.
Google conseille vivement d’activer la double authentification (2FA). Cette protection ajoute une étape — souvent un code envoyé sur smartphone — avant d’autoriser la connexion.
Les experts recommandent également de modifier régulièrement ses identifiants et d’éviter les connexions sur des réseaux Wi-Fi publics sans VPN. Il est préférable d’utiliser des mots de passe longs — au moins 16 caractères — combinant majuscules, chiffres et symboles.
Enfin, il faut surveiller les alertes de connexion inhabituelles sur Gmail et autres services.Comme le souligne le chercheur Graham Cluley, « on ne peut plus mémoriser tous ses mots de passe complexes ; il faut déléguer cette tâche à un gestionnaire sécurisé ».
Restez à la pointe de l'information avec LEBIGDATA.FR !
- Partager l'article :
