C’est peut-être la plus grande fuite de données de l’histoire d’Internet. Une base regroupant plus de seize milliards d’identifiants et mots de passe a récemment été découverte par les chercheurs en cybersécurité de Cybernews. Cette compilation gigantesque a été repérée à la mi-juin 2025 sur un forum clandestin. Elle contient des informations personnelles issues de précédentes fuites, mais aussi des données fraîches volées à l’aide de logiciels malveillants appelés infostealers.

Ces malwares, capables d’aspirer tout ce qu’un utilisateur tape ou stocke dans son navigateur, sont de plus en plus répandus. Ils ciblent les identifiants, les mots de passe, les cookies de session, les jetons d’accès, mais aussi les adresses IP, les géolocalisations et parfois même les messages privés. Selon les experts, cette base pourrait permettre à n’importe quel cybercriminel de prendre le contrôle de comptes Google, Facebook, Apple, Telegram, ou encore GitHub, y compris ceux utilisés dans le cadre professionnel.

La fuite concerne aussi des services bancaires, des comptes de VPN, des plateformes de commerce en ligne, et même certains accès à des services gouvernementaux. En clair, personne n’est à l’abri. Le volume est tel que les spécialistes parlent d’un tournant dans l’histoire de la cybersécurité.

Cette alerte est d’autant plus sérieuse que les données ne sont pas anciennes : elles sont récentes, organisées, triées par pays, langue et services ciblés. L’une des bases contient par exemple 3,5 milliards de données liées à des utilisateurs lusophones. D’autres visent des cibles plus généralistes, mais toujours avec un niveau de détail qui facilite leur exploitation immédiate.

Ce type de fuite n’est pas une première. En 2021, le piratage de Facebook avait déjà exposé plus de 500 millions de numéros de téléphone. En 2023, l’attaque contre LastPass, un gestionnaire de mots de passe, avait inquiété des millions d’utilisateurs. Mais cette fois, ce n’est pas une faille isolée : c’est une compilation gigantesque de tout ce qui a été volé, collecté, et revendu au fil des années.

Face à ce constat, que peut faire un internaute lambda ? Beaucoup de choses, en réalité. D’abord, éviter d’utiliser le même mot de passe sur plusieurs sites. C’est pourtant ce que font encore 60 % des internautes. Ensuite, activer systématiquement la double authentification (2FA), qui ajoute une étape de vérification même en cas de mot de passe compromis. Enfin, surveiller ses adresses e-mail via des outils comme "Have I Been Pwned" ou "Firefox Monitor", qui indiquent si vos données sont apparues dans une fuite connue.

D’autres pratiques méritent d’être adoptées : ne pas enregistrer ses mots de passe dans le navigateur, éviter de cliquer sur des liens douteux reçus par e-mail ou SMS, mettre à jour régulièrement ses applications, et installer un antivirus efficace. Les plus prudents peuvent aussi passer aux passkeys, un système de connexion sans mot de passe, disponible sur iPhone et de plus en plus de sites web.

Cette fuite géante est aussi un test pour les autorités. Car elle soulève une question cruciale : qui est responsable lorsque nos données circulent sur des forums pirates ? Les entreprises qui les ont mal protégées ? L’utilisateur qui n’a pas changé ses mots de passe ? Ou personne, dans ce monde numérique où la traçabilité est floue et la justice souvent impuissante face aux attaques transnationales ?

En attendant une réponse juridique, chacun doit agir à son échelle. Car les données volées ne sont pas seulement des chiffres : elles ouvrent la porte à l’usurpation d’identité, aux arnaques ciblées, à la perte d’accès à ses services essentiels. Et ce n’est pas un simple risque théorique : c’est une menace bien réelle, déjà en marche.