« On est dans le marketing de la peur » : des experts décryptent la (fausse ?) fuite inédite de 16 milliards d’identifiants
Publié par Numérama dans Cybersécurité · Vendredi 20 Jun 2025 · 4:15
Tags: marketing, de, la, peur, experts, fuite, d’identifiants, sécurité, cybersécurité, données, personnelles, analyse, décryptage, fake, news, confiance, numérique
Tags: marketing, de, la, peur, experts, fuite, d’identifiants, sécurité, cybersécurité, données, personnelles, analyse, décryptage, fake, news, confiance, numérique
La presse mondiale s’est enflammée, le 19 juin 2025 : « 16
milliards de mots de passe en fuite ! » Apple, Google, Facebook, tous
concernés. Les titres alarmistes se sont multipliés, évoquant la « plus
grande fuite de l’Histoire » et appelant à la vigilance extrême. Mais
que s’est-il vraiment passé ? Numerama a interrogé deux experts en
cybersécurité pour démêler le vrai du faux et comprendre comment réagir
face à ce type d’annonce.
Derrière les gros titres, la réalité est moins spectaculaire. Le « leak historique » annoncé le 19 juin 2025 n’est pas une nouvelle brèche. C’est en réalité du réchauffé.
Tout est parti d’une publication de Cybernews,
un site spécialisé, annonçant jeudi en fin de journée l’exposition de
ces données, qui ouvriraient un accès à des comptes Facebook, Google ou
encore Apple.
Ce chiffre astronomique de 16 milliards d’identifiants et mots de
passe fuités résulte en fait de la somme de plusieurs bases de données
piratées au fil des années et rassemblées en une seule. On y trouve des
données volées depuis plus de dix ans, et même des doublons. « Cet
ensemble de données serait constitué d’une agglomération de différentes
fuites de données passées. Cela signifie qu’il ne s’agit pas d’une fuite
de données nouvelle », a indiqué la CNIL (Commission nationale de l’informatique et des libertés) le 20 juin.
Une pratique courante, selon Dr. Martin J. Kraemer, chercheur en cybersécurité chez KnowBe4 : « On retrouve souvent sur le dark web des bases de données déjà fuitées. Les hackers tentent de revendre des données qui ont moins de valeur. »
Mais alors, dans cette affaire, est-ce que tout est à jeter ? Pas si vite.
Interrogé par Numerama, Benoît Grünemwald, expert en cybersécurité chez ESET, confirme : « Ce n’est pas une fuite, c’est un agrégat de différentes fuites antérieures. » Selon lui, l’emballement médiatique n’a pas eu que des mauvais effets : « Le
grand public peut se dire ‘Wow, grosse fuite de données’, et changer
ses mots de passe. Finalement, l’objectif est atteint, pas de la bonne
manière, mais il l’est. »
Car si l’annonce d’une nouvelle brèche s’est révélée fausse, la
menace reste réelle. La plupart des données collectées dans cette
immense base proviennent de logiciels malveillants, appelés
infostealers. Ces malwares
ont explosé ces dernières années, facilitant le vol massif de données
personnelles. La France est d’ailleurs l’un des pays les plus touchés
par ce type de logiciel malveillant. « Ce n’est pas un sujet à
prendre à la légère, surtout quand on voit que la France était en
deuxième position pour le nombre de personnes infectées par certains
stealers », rappelle Benoît Grünemwald.
Ces programmes, une fois installés sur un
ordinateur, aspirent tous les identifiants stockés dans les navigateurs
ou applications, puis les transmettent à des cybercriminels. Ces
derniers organisent puis diffusent ou revendent ces données sensibles
sur des forums du dark web.
L’effet d’annonce : entre sensibilisation et fatigue
Pour les professionnels, ce type d’alerte massive pose un vrai problème : la lassitude. Selon Benoît Grünemwald : « Trop d’alertes tuent l’alerte. C’est comme crier au loup alors qu’il n’y a pas de loup.
» À force de multiplier les annonces anxiogènes, on finit par
désensibiliser le public, qui ne sait plus quand il doit vraiment
s’inquiéter.
Une façon simple de filtrer une actualité cyber ? Comme dans beaucoup de domaines, se méfier des annonces alarmistes. « Quand on met tous les mots-clés, GAFA,
intelligence artificielle, etc., c’est gagnant pour la visibilité,
perdant pour la sensibilisation réelle. (…) On est dans le marketing de
la peur, et ça ne fonctionne pas. On va se retrouver avec des
comportements disproportionnés par rapport à la réalité. »
L’essentiel n’est donc pas tant l’alerte elle-même que les conseils associés. « Nous sommes à un moment charnière », nous explique Dr. Kraemer. « Tout
le monde devrait s’asseoir et prendre un moment pour faire un point sur
son hygiène numérique. (…) On ne devrait pas attendre ce genre
d’alertes pour réaliser cela. »
Mais du coup, que faire ?
Tout d’abord, ne pas céder à la panique. Certaines données datent de
plus de dix ans. Si vous changez régulièrement vos mots de passe, ces
informations sont certainement obsolètes pour vous. Mais si vous
réutilisez les mêmes mots de passe partout, vous restez vulnérable,
quelle que soit la date (ou la véracité) de la fuite.
Pour Dr. Kraemer, l’utilisation d’un gestionnaire de mots de passe est aujourd’hui essentiel « On retrouve encore trop souvent des mots de passe très basiques
lors de fuites de données. (…) Les gestionnaires de mots de passe
permettent une veille constante pour s’assurer que vos identifiants ne
se trouvent pas sur le dark web. »
Benoit Grünemwald rappelle qu’il ne sert à rien de tout changer « par réflexe » : « Ne
changez votre mot de passe que si vous êtes concerné. Il existe même
des outils gratuits pour vérifier si votre login ou mot de passe a
fuité, comme Have I Been Pwned. (…) Pour résumer, utilisez un gestionnaire de mots de passe, privilégiez des mots de passe uniques et complexes, et activez l’authentification à deux facteurs partout où c’est possible. »
Au final, cette affaire est surtout une occasion supplémentaire de
rappeler les bonnes pratiques. C’est d’ailleurs ce qu’a fait la CNIL
dans sa publication ce 20 juin. « Concrètement, l’existence d’une
base aussi massive d’identifiants ne change pas la nature des risques
cyber auxquels sont déjà exposés tous les utilisateurs de services en
ligne. Elle peut toutefois les accentuer. » D’où l’intérêt de limiter les risques.
Il n'y a toujours pas de commentaire.
