Une base regroupant jusqu’à 16 milliards d’identifiants et de mots de passe volés circule en ligne, selon des informations relayées par le média spécialisé Cybernews et reprises par la CNIL dans une note de prévention datée du 20 juin 2025.
Il ne s’agit pas d’une fuite unique sortie d’un seul service, mais d’une agrégation de fuites plus anciennes, consolidées dans un même ensemble exploitable. Le risque immédiat n’est pas théorique, ces données servent déjà à des tentatives d’usurpation de comptes et à des intrusions, y compris dans des environnements professionnels où des identifiants réutilisés ouvrent la porte à des systèmes sensibles.
Cybernews et la CNIL décrivent une base agrégée de 16 milliards d’identifiants
Les éléments mis en avant par Cybernews pointent une compilation à grande échelle, annoncée à 16 milliards d’entrées, réunissant des couples identifiant et mot de passe issus de multiples incidents. La CNIL insiste sur un point, cette exposition ne signifie pas qu’un nouveau service majeur vient d’être compromis au même moment, mais que des données déjà dérobées circulent de manière plus accessible, structurée et monétisable. L’effet pratique est important, une base unifiée simplifie le travail des acteurs malveillants, qui n’ont plus à collecter des fragments dispersés sur des forums ou des canaux privés.
Dans ce type d’agrégation, la valeur tient moins à la nouveauté qu’à la “réutilisabilité”. Beaucoup d’utilisateurs, y compris en entreprise, continuent d’employer les mêmes secrets sur plusieurs services. Un identifiant compromis sur un site grand public peut devenir une clé d’entrée vers une messagerie professionnelle, un outil SaaS, un extranet client, voire une passerelle VPN si les habitudes de réutilisation se sont propagées au travail. De ce fait, une base volumineuse agit comme un accélérateur d’attaques par essais automatisés.
La logique opérationnelle est connue, les attaquants utilisent des outils de “credential stuffing”, qui testent à grande vitesse des combinaisons déjà volées sur des services cibles. Les protections des sites, limitation de débit, CAPTCHA, détection de bots, réduisent une partie du risque, mais l’industrialisation reste efficace dès que les mots de passe sont réutilisés et que l’authentification forte n’est pas généralisée. Dans les entreprises, la surface d’attaque s’étend aux portails d’accès distant, aux webmails, aux suites bureautiques en ligne et aux outils de support.
La CNIL rappelle que l’existence d’une base massive ne change pas la nature des risques, mais peut les accentuer. L’accélération vient de la facilité d’accès et de tri, par domaine, par service, par pays, parfois par date. Pour les organisations, l’enjeu n’est pas seulement la protection des comptes individuels, mais la prévention d’un enchaînement, compromission d’un compte, accès à des données internes, rebond vers d’autres systèmes, puis extorsion ou sabotage.
Les réseaux d’entreprises sensibles ciblés via l’usurpation de comptes
Une fuite d’identifiants devient dangereuse quand elle permet de franchir un contrôle d’accès et d’atteindre un réseau d’entreprise. Dans de nombreux cas, l’attaquant ne cherche pas un “exploit” complexe, il vise un compte valide, puis se comporte comme un utilisateur légitime. Les environnements sensibles, industrie, santé, services financiers, cabinets d’avocats, sous-traitants de la défense, sont exposés dès qu’un accès distant ou un service cloud accepte un couple identifiant et mot de passe sans barrière supplémentaire. Les identifiants volés servent aussi à contourner des dispositifs de sécurité, car ils réduisent les alertes liées à des tentatives de connexion multiples.
Le scénario le plus fréquent commence par la compromission d’une messagerie. Un accès à un compte e-mail permet de réinitialiser d’autres mots de passe, d’intercepter des codes, de surveiller des échanges et d’envoyer des messages crédibles à des collègues ou partenaires. Une fraude au président, une redirection de factures, ou une demande de virement urgent s’appuie souvent sur une boîte mail compromise plutôt que sur un piratage d’infrastructure. Dans le cas d’un prestataire IT, une seule boîte peut donner la visibilité sur des tickets, des identifiants partagés, des procédures, puis ouvrir la voie à plusieurs clients.
Un autre point de bascule concerne les accès VPN et les portails d’authentification uniques. Quand un compte d’annuaire est compromis, l’attaquant peut tenter d’élargir ses droits. Les entreprises qui ont des comptes à privilèges mal séparés, ou des mots de passe d’administrateurs réutilisés, créent un terrain favorable à l’escalade. Les attaquants combinent souvent identifiants volés et ingénierie sociale, un appel au support, une demande de réinitialisation, ou une validation de nouvelle connexion sur un téléphone d’entreprise obtenu par hameçonnage.
Les réseaux “sensibles” ne sont pas uniquement ceux qui hébergent des secrets industriels. Une PME qui gère la paie, des données RH, des dossiers clients, ou des plans de production, peut subir un impact majeur. Les identifiants exposés facilitent l’entrée, puis l’attaque se déploie, vol de données, chiffrement, extorsion, ou perturbation de la production. Les coûts indirects, arrêt d’activité, restauration, communication de crise, assistance juridique, peuvent dépasser largement le coût d’une mise à niveau de la sécurité.
Dans les enquêtes de terrain, les équipes de réponse à incident constatent régulièrement des intrusions sans “bruit”, une connexion réussie depuis une adresse IP atypique, suivie d’un téléchargement massif ou d’une création de règle de transfert d’e-mails. Les attaquants cherchent la discrétion, car un compte légitime leur offre du temps. La présence d’identifiants dans une base agrégée augmente la probabilité qu’un compte oublié, une ancienne adresse, ou un accès tiers n’ait jamais été durci.
Pourquoi la réutilisation des mots de passe rend l’agrégation plus dangereuse
Le facteur aggravant le plus cité par la CNIL est la réutilisation des secrets. Un mot de passe compromis n’est pas un problème isolé si chaque service possède une combinaison unique. Mais dans la réalité, une part importante des utilisateurs conserve des variantes proches, parfois avec un chiffre ou un symbole, ou réemploie exactement le même mot de passe sur plusieurs sites. De plus, des comptes créés il y a plusieurs années restent actifs, avec des mots de passe jamais changés, et des adresses e-mail encore valides.
Les attaquants exploitent ce comportement avec des campagnes automatisées. Ils prennent une liste, la filtrent par domaine, puis tentent des connexions sur des services très répandus, webmail, suites collaboratives, plateformes RH, outils de gestion commerciale. La difficulté n’est pas de tenter des millions de connexions, mais d’éviter les blocages. Les bots répartissent les tentatives sur de nombreuses adresses IP, utilisent des navigateurs automatisés qui imitent un comportement humain, et ciblent des heures où les équipes de sécurité sont moins présentes. Un faible taux de réussite suffit, car une poignée de comptes ouverts peut générer un accès large.
Dans les entreprises, la réutilisation se combine souvent à des pratiques de contournement, comptes partagés, mots de passe transmis par e-mail, fichiers “passwords. xlsx”, ou notes dans des tickets. Même lorsque des politiques existent, elles ne sont pas toujours appliquées sur les outils SaaS souscrits directement par des équipes métiers. Ce décalage entre gouvernance et réalité accroît l’exposition. De plus, un sous-traitant peut accéder à un portail client avec des identifiants réutilisés, créant un risque de rebond entre organisations.
Les mots de passe anciens ont une autre fragilité, ils peuvent avoir été “craqués” hors ligne après une fuite de base chiffrée. Un hachage faible, une absence de sel, ou un algorithme dépassé, ont parfois permis à des attaquants de reconstituer le mot de passe en clair. Une fois connu, ce mot de passe reste exploitable tant qu’il n’est pas changé. L’agrégation de fuites augmente le nombre de mots de passe en clair disponibles et améliore la capacité des attaquants à tester des variantes.
La réponse n’est pas uniquement de demander des mots de passe plus longs. Les organisations qui imposent des changements fréquents sans accompagnement obtiennent souvent l’effet inverse, des mots de passe prévisibles et des post-it. Une stratégie plus robuste repose sur des mots de passe uniques, longs, gérés par un gestionnaire, et surtout sur l’authentification multifacteur généralisée, en privilégiant des méthodes résistantes au phishing quand c’est possible.
Mesures immédiates pour les entreprises: MFA, rotation ciblée, surveillance des connexions
Face à une base agrégée de cette ampleur, les entreprises cherchent d’abord à savoir si leurs domaines e-mail apparaissent dans des listes compromises. Les équipes de sécurité peuvent recourir à des services de veille, à des solutions de threat intelligence, ou à des procédures internes de vérification. L’objectif est de prioriser, comptes à privilèges, accès distants, administrateurs SaaS, boîtes de support, comptes de direction. Une rotation massive et non ciblée peut saturer le support et générer des contournements, alors qu’une rotation priorisée réduit plus vite le risque.
La mesure la plus efficace à court terme reste l’activation de l’MFA sur les services critiques. Pour les accès distants, une authentification forte sur VPN, webmail et SSO limite l’exploitation d’un mot de passe volé. Les entreprises qui utilisent des codes par SMS doivent mesurer le niveau de risque, car des attaques de type SIM swap existent, mais un MFA même imparfait est souvent préférable à l’absence de second facteur. Lorsque c’est possible, les clés matérielles ou les passkeys offrent une résistance supérieure au phishing.
La surveillance des connexions est l’autre levier immédiat. Les journaux d’authentification permettent de détecter des connexions depuis des pays inhabituels, des appareils inconnus, des horaires atypiques, ou des volumes anormaux. Les règles simples, alerte sur création de règles de transfert d’e-mails, alerte sur ajout d’un nouvel appareil MFA, blocage des authentifications héritées, réduisent des scénarios courants. Un pilotage par indicateurs, nombre de comptes sans MFA, nombre de connexions bloquées, délai de révocation, aide à suivre l’effort.
Les entreprises doivent aussi traiter les comptes “orphelins”, anciens salariés, prestataires, boîtes génériques. Une fuite agrégée rend ces comptes attractifs, car ils sont moins surveillés. La désactivation des comptes inactifs, la revue régulière des droits, et la séparation stricte des comptes administrateurs, limitent l’escalade. Sur les environnements cloud, la réduction des permissions et la mise en place de politiques conditionnelles, device compliance, réseau, géolocalisation, ajoutent une couche de contrôle.
Enfin, la communication interne compte. Les équipes doivent expliquer pourquoi un changement est demandé, comment choisir un mot de passe unique, et comment repérer un hameçonnage. Dans la pratique, une campagne d’attaque suit souvent l’exposition médiatique d’une base, les utilisateurs reçoivent des messages alarmistes invitant à “vérifier son compte”. Un message de la DSI, clair, avec des consignes et des canaux officiels, réduit le risque de voir la réponse se transformer en nouvelle compromission.
Les recommandations CNIL pour limiter l’usurpation et encadrer la réponse
La CNIL rappelle des gestes concrets, qui valent autant pour les particuliers que pour les organisations. Le premier est de changer les mots de passe des comptes concernés, surtout si le même secret est utilisé ailleurs. Le second est d’activer une authentification multifacteur lorsque le service le propose. Le troisième est d’utiliser un gestionnaire de mots de passe pour générer des secrets uniques et longs. Pour une entreprise, ces recommandations doivent être traduites en politiques applicables, avec des outils et des contrôles.
Sur le plan organisationnel, la réponse à une exposition d’identifiants s’inscrit dans une démarche de gestion des risques. Il faut distinguer la présence d’une adresse e-mail dans une base et la compromission d’un système interne. Une adresse peut apparaître sans que l’infrastructure de l’entreprise ait été attaquée, parce que le salarié a utilisé sa boîte professionnelle sur un service tiers. Mais l’impact reste réel, car le couple identifiant et mot de passe peut être testé sur des services internes. La cartographie des accès, quels services acceptent un simple mot de passe, devient un chantier prioritaire.
La CNIL insiste aussi sur la vigilance face aux tentatives d’hameçonnage. Après la circulation de listes, les attaquants envoient des messages personnalisés, parfois avec le nom, l’entreprise, ou des fragments de données, pour gagner en crédibilité. Les entreprises peuvent réduire l’impact en renforçant l’authentification des e-mails, SPF, DKIM, DMARC, et en formant les équipes à vérifier les demandes sensibles via un canal indépendant. Les procédures de validation, double contrôle pour les virements, rappels téléphoniques, réduisent les fraudes.
Du point de vue conformité, une organisation doit aussi se préparer à documenter ses actions. Si une intrusion survient à partir d’identifiants réutilisés, la question de la sécurité des accès et de la gestion des comptes sera examinée. Tenir un registre des décisions, des mesures prises, des dates de déploiement du MFA, des revues de droits, aide à démontrer une démarche de responsabilité. Les secteurs régulés, santé, finance, opérateurs de services essentiels, ont souvent des obligations supplémentaires.
Enfin, la CNIL rappelle que l’existence d’une base massive ne doit pas provoquer de panique, mais une amélioration durable des pratiques. Les entreprises qui investissent uniquement dans une rotation ponctuelle sans corriger la réutilisation et l’absence de MFA risquent de revivre le même problème. La combinaison d’outils, SSO, gestionnaire de mots de passe, MFA, supervision, et d’une hygiène de comptes, désactivation, moindre privilège, constitue le socle le plus concret pour réduire l’usurpation à grande échelle.
Source : Ars Technica
