Le 20 juin 2025, une révélation majeure secoue le monde numérique : 16 milliards de combinaisons identifiants-mots de passe viennent d’être exposées en ligne (source: Journal de Montréal). Cette base, surnommée “RockYou2024” par les chercheurs de Cybernews, est bien plus qu’un simple recyclage de fuites antérieures. Elle contient des identifiants encore actifs en provenance de Google, Apple, Facebook, X (Twitter), Telegram et GitHub.
Cette fuite s’inscrit dans un contexte de hausse record des vols de données à des fins de chantage, d’espionnage industriel ou d’intrusion dans les systèmes d’entreprises. Avec 16 milliards de mots de passe exposés, elle place les professionnels, les organisations publiques et les PME sur le même pied de vulnérabilité.
Pourquoi cette fuite change la donne ?
Des données réutilisables à grande échelle
Avec des outils automatisés, les cybercriminels peuvent tester en masse ces identifiants sur des milliers de services. C’est ce qu’on appelle le credential stuffing : une méthode simple, mais redoutable qui tire parti de la réutilisation massive des mots de passe (94 % des utilisateurs).
Une surface d’attaque démultipliée
Ces données permettent de cibler des comptes professionnels à partir d’identifiants personnels. Un gestionnaire TI qui utilise le même mot de passe sur un site de loisir et sur son outil de gestion interne devient une porte d’entrée.
Un levier pour le phishing avancé
Ces informations permettent également de nourrir des campagnes de phishing ultra-ciblées, capables d’abuser de la confiance ou de simuler des communications internes crédibles.
Des attaques facilitées par les infostealers
La prolifération des malwares voleurs de données (infostealers) explique en grande partie la fraîcheur de ces identifiants parmi les 16 milliards de mots de passe exposés. Des outils comme RedLine ou Raccoon, souvent installés à l’insu des utilisateurs via des sites piratés ou logiciels gratuits, aspirent automatiquement les mots de passe enregistrés sur un appareil.
Les cybercriminels vendent ensuite ces fichiers sur le dark web à des prix modiques, ou les combinent en mégabases comme celle dévoilée récemment.
Quelles actions concrètes mettre en place dès aujourd’hui
1. Éliminer les mots de passe : adopter le login sans mot de passe (passwordless)
Quand il n’y a pas de mot de passe, il n’y a rien à voler. C’est la meilleure défense possible en 2025.
2. Utiliser des clés de sécurité physiques
Ces clés sont les plus sécurisées du marché. Elles ne peuvent être utilisées qu’en présence physique et ne laissent pas de trace exploitable à distance.
3. Mettre en place des passkeys partageables
Stockées de façon sécurisée dans vos appareils, les passkeys offrent une alternative pratique et beaucoup plus sûre qu’un mot de passe traditionnel.
4. Si les mots de passe sont encore nécessaires : utiliser un gestionnaire sécurisé
Optez pour un gestionnaire de mots de passe professionnel capable d’injecter directement les credentials sans copier/coller. Cela réduit fortement les risques de vol.
5. En dernier recours : créer des passphrases robustes
Si vous devez absolument utiliser un mot de passe, créez une phrase unique, facile à retenir mais difficile à deviner. Et surtout, ne jamais la noter de façon numérique (fichier texte, Excel, navigateur).
Attention : ne jamais utiliser le gestionnaire intégré au navigateur
Ces gestionnaires sont facilement exploitables par des logiciels malveillants. Préférez des solutions tierces reconnues et conçues pour un usage professionnel.
Cette fuite massive confirme ce que les experts pressentaient : le modèle du mot de passe seul est dépassé. Dans un contexte où 16 milliards de mots de passe sont exposés, la question pour les entreprises n’est plus « Est-ce que mes identifiants sont dans une fuite ? » mais « Combien de fois ? »
Cette brèche de 16 milliards de comptes pourrait paraître lointaine… jusqu’à ce qu’un courriel suspect arrive dans la boîte de votre directeur financier, ou qu’un accès soit ouvert à distance depuis un appareil inconnu.
Si vous avez reconnu certains risques dans cet article, sachez que les experts de Mon Technicien peuvent vous aider à mieux vous protéger. Notre équipe accompagne déjà de nombreuses organisations au Québec pour renforcer leurs accès numériques.
