Les chercheurs en cybersécurité de Synthient ont découvert une collection de 183 millions de mots de passe de messagerie, dont des millions provenant de comptes Gmail, exposés via des campagnes de logiciels malveillants infostealer. Les données sont apparues dans la base de données Have I Been Pwned le 21 octobre 2025, en raison de la surveillance des canaux souterrains, marquant l’une des plus grandes fuites d’informations d’identification de l’année. Google a abordé publiquement l’incident, rejetant les allégations d’une violation directe de la sécurité de Gmail. Dans une déclaration sur les réseaux sociaux, la société a déclaré que « les informations faisant état d’une « faille de sécurité de Gmail affectant des millions d’utilisateurs » sont fausses. Les responsables ont souligné que les informations d’identification compromises provenaient d’infections par des logiciels malveillants sur les appareils des utilisateurs individuels, et non d’une quelconque vulnérabilité de l’infrastructure du serveur de Gmail. Cette distinction met en évidence la manière dont les données ont été collectées via des menaces persistantes ciblant les systèmes des utilisateurs finaux plutôt que par des pannes de services centralisés. L’ensemble de données résulte de près d’un an de surveillance intensive par Synthient, une société de cybersécurité axée sur le suivi des activités des voleurs d’informations. Les chercheurs ont observé que les informations d’identification étaient partagées et vendues sur des plateformes telles que Telegram, divers sites de médias sociaux et forums du Dark Web. Ces réseaux souterrains servent de plaques tournantes où les cybercriminels échangent des informations volées obtenues sur des machines infectées dans le monde entier. Troy Hunt, le créateur et responsable du service Have I Been Pwned, analysé la soumission et a confirmé son ampleur, notant qu’elle comprend 3,5 téraoctets de données englobant 23 milliards d’enregistrements au total. Pour authentifier le contenu, Hunt a contacté les utilisateurs répertoriés dans la fuite. Un abonné concerné a répondu par l’affirmative, déclarant que les informations divulguées correspondaient à « un mot de passe précis pour mon compte Gmail ». Ce processus de vérification impliquait de recouper les détails avec les violations connues et les rapports des utilisateurs, garantissant ainsi la légitimité de l’ensemble de données. Les enregistrements eux-mêmes sont constitués d’éléments spécifiques capturés lors des interactions des utilisateurs : les URL des sites Web sur lesquels les connexions ont eu lieu, les adresses e-mail associées et les mots de passe correspondants saisis sur ces sites. Toutes ces informations ont été collectées automatiquement à partir d’appareils déjà compromis par des logiciels malveillants, souvent lors d’activités en ligne de routine comme la vérification de leurs e-mails ou l’accès à des portails bancaires. L’analyse de l’ensemble de données révèle des tendances dans l’historique d’exposition. Précisément 91 % des informations d’identification avaient fait surface lors de précédentes violations de données documentées ailleurs. En revanche, environ 16,4 millions d’adresses e-mail représentaient des entrées entièrement nouvelles, jamais identifiées auparavant dans aucun enregistrement de violation. L’inclusion de mots de passe actuellement actifs augmente le risque d’attaques de type credential stuffing, où les attaquants utilisent ces combinaisons valides pour tenter un accès non autorisé sur de nombreuses plates-formes, exploitant la réutilisation des informations de connexion sur tous les services. Les logiciels malveillants Infostealer ont proliféré et constituent un vecteur de menace majeur. Les chercheurs ont enregistré une augmentation de 800 % des informations d’identification volées au cours des seuls six premiers mois de 2025. Ces programmes fonctionnent secrètement sur les systèmes infectés, extrayant méthodiquement les données sensibles, notamment les informations de connexion, les informations stockées sur le navigateur et les jetons de session active, sans déclencher d’alertes évidentes. Benjamin Brundage, chercheur chez Synthient, a détaillé comment leurs outils de surveillance ont capturé des pics allant jusqu’à 600 millions d’identifiants volés traités en une seule journée pendant les périodes d’activité accrue des logiciels malveillants. Le malware se diffuse principalement via des canaux trompeurs. Les vecteurs courants incluent les e-mails de phishing qui incitent les destinataires à ouvrir des pièces jointes ou des liens malveillants, les téléchargements de logiciels apparemment légitimes contenant du code nuisible et les extensions de navigateur qui ont été falsifiées pour inclure des portes dérobées. Dans de nombreux cas, les infections persistent sans être détectées pendant de longues périodes, permettant une exfiltration prolongée des données alors que les utilisateurs continuent d’utiliser normalement leur appareil. En réponse, Google recommande des mesures de protection spécifiques pour les utilisateurs à risque. L’activation de la vérification en deux étapes ajoute une couche de sécurité supplémentaire au-delà des mots de passe, nécessitant une deuxième forme d’authentification comme un code mobile. La société présente également les mots de passe comme une alternative robuste aux mots de passe conventionnels, en tirant parti des normes cryptographiques pour une protection renforcée contre le phishing et le vol. Les individus peuvent vérifier si leurs adresses e-mail ou leurs informations d’identification sont incluses dans cette fuite en effectuant une recherche sur le site Web Have I Been Pwned. Ceux qui trouvent des correspondances doivent rapidement mettre à jour leurs mots de passe vers des versions uniques et solides et activer l’authentification multifacteur sur tous les comptes concernés afin d’atténuer les risques supplémentaires.
