Un cybercriminel est parvenu à mettre sur pied une base de données comprenant 70 millions d’adresses mail et de mots de passe. Ces informations d’identification permettent d’accéder à des comptes en ligne appartenant à des Français, rapporte Zataz, qui a déniché le répertoire sur le dark web. On y trouve surtout des informations exfiltrées en 2024 ou en 2025. Ce sont donc des données récentes, toujours exploitables dans des cyberattaques, comme des attaques de phishing ou des tentatives d’usurpation d’identité. Elles concernent « 278 132 noms de domaines différents, dont plus de 700 de sensibles », indique le média spécialisé.
À lire aussi : Arnaque Google Drive en cours – ne cliquez pas sur ce mail qui promet de l’espace de stockage pas cher
Phishing, malware et recyclage
Il s’agit d’une compilation de données compromises provenant vraisemblablement de diverses sources. Le pirate est notamment passé par des attaques de phishing ou des infections par des malwares de type infostealer, qui font un ravage depuis quelques années. Il a ensuite enrichi la base de données avec des informations issues des nombreuses fuites ayant frappé la France au cours des derniers mois.
Citons par exemple le piratage de Free, de l’enseigne Kiabi, de Chronopost, de huit fédérations sportives, ou encore de Top Achat. C’est de cette manière qu’il est parvenu à concevoir une gigantesque base de données sur les Français.
Des données qui mettent en danger les Français
Sans surprise, le pirate à l’origine de la compilation de 2 To a mis en vente les données sur un marché noir du dark web. Une fois vendues à des cybercriminels, les informations compromises vont venir accroitre les risques qui pèsent sur les Français. Au fur et à mesure que les fuites de données se multiplient, les Français sont devenus l’une des cibles privilégiées des cybercriminels.
Comme le souligne Zataz, les pirates pourraient d’abord se servir des identifiants pour mener des attaques de credential stuffing. En d’autres termes, les escrocs pourraient utiliser les mots de passe et les adresses mail pour tenter de se connecter à des comptes en ligne, comme des comptes Facebook, Paypal, bancaires ou à des plateformes d’échange de cryptomonnaies. Les criminels sont conscients du fait que de nombreux internautes recyclent le même mot de passe sur une pléthore de services en ligne.
Zataz indique d’ailleurs que plus de 10 millions des mots de passe compromis sont utilisés plusieurs fois. C’est pourquoi une seule paire d’identifiants peut parfois offrir un accès à toute la vie numérique d’un individu… et compromettre des dizaines de comptes. On vous recommande donc chaudement de ne jamais recycler vos mots de passe. Par ailleurs, prenez le temps de choisir un bon mot de passe bien sécurisé, d’activer la double authentification sur tous les comptes compatibles et de garder à jour tous vos logiciels et appareils. Des systèmes dépourvus de mises à jour régulières sont des portes d’entrée pour d’éventuels attaquants.
À lire aussi : 244 millions de mots de passe piratés – êtes-vous touché par cette nouvelle fuite de données ?
Le fléau des mauvais mots de passe
Parmi les mots de passe recensés dans le répertoire, on trouve surtout des codes peu sécurisés, composés uniquement de lettres ou de chiffres. Ce type de mots de passe est facile à deviner pour des logiciels spécialisés employés par les criminels. Moins de 2 % des mots de passe compromis peuvent être considérés comme complexes.
On considère généralement qu’un mot de passe complexe comporte au moins 12 à 16 caractères, et combine des lettres majuscules, des lettres minuscules, des chiffres et des caractères spéciaux. Évitez d’utiliser des informations personnelles faciles à deviner, comme votre nom, votre date de naissance, ou des mots courants. Certains des mots de passe compromis se résumaient malheureusement au prénom du détenteur du compte…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Zataz
