Fuite de 16 milliards de mots de passe : ce qu'il faut savoir et comment se protéger

14 juillet 2026
Fuite de 16 milliards de mots de passe : ce qu'il faut savoir et comment se protéger

Mi-juin 2025, une info a circulé partout : des chercheurs avaient repéré 16 milliards de paires identifiant et mot de passe accessibles en ligne. Trente bases de données regroupées, des services connus comme Apple, Google, Facebook ou Telegram dedans. Sur le papier, ça fait froid dans le dos. En réalité, la plupart de ces données viennent de logs d’infostealers, ces malwares qui volent discrètement tout ce que vous avez enregistré dans vos navigateurs. Ce n’est pas un piratage unique et récent de tous ces géants à la fois, mais une grosse compilation de vols déjà réalisés au fil des mois, maintenant rendue plus simple à exploiter.

Le point, c’est que même quand les infos circulaient déjà dans certains milieux, les rassembler comme ça change la donne pour les attaquants. Ils ont désormais un gros catalogue prêt à l’emploi.

Qu’est-ce qu’une fuite de mots de passe concrètement

Une fuite arrive quand des identifiants tombent entre de mauvaises mains. Ça peut venir d’une brèche sur un site que vous utilisez, d’un phishing bien monté, ou le plus souvent aujourd’hui d’un malware installé sur votre machine. Les infostealers s’infiltrent via des pièces jointes douteuses, des logiciels crackés ou des pubs malveillantes. Une fois dedans, ils aspirent les mots de passe sauvegardés, les cookies de session, parfois même les codes 2FA temporaires. Les données partent vers des serveurs de commande puis circulent sur Telegram ou des forums. Parfois elles refont surface dans des dumps publics ou des compilations comme celle des 16 milliards.

Le vrai problème n’est presque jamais la fuite isolée. C’est quand le même mot de passe traîne sur plusieurs comptes.

La compilation des 16 milliards : plus nuancée qu’il n’y paraît

Les chercheurs de Cybernews ont découvert ces bases exposées au début de l’année 2025. Certaines contenaient des centaines de millions d’entrées, d’autres plus de trois milliards. Beaucoup proviennent d’infections par infostealers actives ces derniers mois. Il y a un mélange d’entrées récentes et plus anciennes, avec des chevauchements inévitables. La CNIL a d’ailleurs rappelé que ce n’était pas une nouvelle brèche monstrueuse mais une agrégation de fuites antérieures.

Ce qui rend la chose inquiétante malgré tout, c’est la centralisation. Avant, un cybercriminel devait chercher dans plein d’endroits différents. Maintenant il a une ressource unique et structurée pour lancer des attaques automatisées massives, du type bourrage d’identifiants sur des milliers de sites en même temps.

Et en 2026, le phénomène continue. Des dumps plus petits sortent encore régulièrement. La grosse compilation n’était qu’un moment particulièrement visible.

Les risques réels pour vous

Si vous réutilisez le même mot de passe un peu partout, une seule entrée dans cette compilation peut suffire à compromettre plusieurs comptes. Les attaquants testent les paires volées sur des sites bancaires, des messageries, des boutiques, des espaces pro. Parfois ils arrivent à prendre le contrôle, à changer les coordonnées, à vider des comptes ou à lancer des arnaques en votre nom.

Même avec des mots de passe uniques, un infostealer sur votre ordinateur peut capturer la nouvelle version juste après que vous l’ayez créée. D’où l’importance de combiner plusieurs couches de protection.

Comment vérifier si vos identifiants sont sortis

Le plus fiable reste Have I Been Pwned. Vous entrez votre adresse mail et l’outil vous indique dans quelles bases compromises elle apparaît. Ils proposent aussi une vérification pour les mots de passe eux-mêmes. Google Password Checkup, intégré à Chrome, fait un travail similaire sur les identifiants que vous avez sauvegardés. Mozilla Monitor offre une option comparable si vous êtes dans l’écosystème Firefox.

Évitez les sites qui promettent de scanner « tout le dark web » contre paiement ou en échange de vos données. La CNIL le déconseille : beaucoup de ces outils sont douteux ou carrément des pièges.

Que faire si vous pensez être concerné

Commencez par les comptes qui comptent vraiment : votre messagerie principale, vos accès bancaires, l’espace impôts, les réseaux sociaux pro. Changez les mots de passe tout de suite pour des versions longues, aléatoires et différentes à chaque fois. Un gestionnaire de mots de passe rend ça presque indolore.

Activez l’authentification multifacteur partout où c’est possible. Une appli dédiée (type Google Authenticator ou équivalent) vaut mieux que les SMS. Quand c’est disponible, passez aux passkeys : plus de mot de passe à taper et bien plus dur à phishinguer.

Surveillez les alertes de connexion inhabituelle sur vos comptes importants. Si quelque chose semble bizarre, déconnectez les sessions actives et changez les accès. Et si vous avez téléchargé des trucs louches récemment, scannez votre machine avant de créer de nouveaux mots de passe. Sinon ils risquent de partir directement.

Les habitudes qui limitent vraiment les dégâts

La réutilisation reste le défaut le plus exploité. Un bon gestionnaire change la partie. Bitwarden fait très bien le job gratuitement, en open source, et synchronise tout de manière chiffrée. Des options comme 1Password ou NordPass ajoutent des extras si vous voulez payer pour plus de confort.

Mettez à jour vos systèmes et vos applis régulièrement. Les infostealers adorent les failles non corrigées et les logiciels piratés. Évitez de cliquer sur les liens suspects, même s’ils semblent venir de vos contacts.

Sur les services critiques, les passkeys ou une clé de sécurité physique offrent un niveau de protection que les mots de passe seuls ne donnent plus vraiment aujourd’hui.

Ces grosses compilations nous rappellent juste que les données volées circulent et se réutilisent. On ne peut pas empêcher toutes les brèches, mais on peut faire en sorte que même quand des identifiants sortent, ils restent difficiles à exploiter. C’est là que se joue la différence au quotidien.

Nous sommes une équipe d'experts passionnés, convaincus que la sécurité informatique est devenue un enjeu majeur et stratégique pour toutes les organisations, quels que soient leur taille et leur secteur d'activité.
Partager cet article:
Top