Icône de Facebook Icône de X Icône de TikTok Icône de YouTube Icône d'Instagram
Fraudes & arnaques

Google, Microsoft, Facebook: 149 millions de mots de passe fuitent

Publié le 27 janvier 2026

À peine quelques mois après la validation d'une fuite de 183 millions d'identifiants en octobre 2025, une nouvelle alerte majeure vient de tomber. Un chercheur en cybersécurité a découvert une base de données non protégée contenant 149 millions d’identifiants et mots de passe uniques, Des comptes Google, Gmail, Microsoft, Facebook, de cryptomonnaie et même de gouvernements ont été exposés.

Google, Microsoft, Facebook: 149 millions de mots de passe fuitent
Une importante fuite de données compromet des millions de comptes. - francoischarron.com avec ChatGPT.

En mai 2025, le chercheur en cybersécurité, Jeremiah Fowler, avait fait une première grande découverte.

Il avait mis la main sur une base de données massive qui contenait 184 162 718 identifiants et mots de passe uniques.

Ce qui rendait cette situation particulièrement dangereuse, c'était que cette base de données n'était pas protégée par un mot de passe et n'était pas chiffrée. Elle était donc accessible publiquement.

À peine un an plus tard, ce même Jeremiah Fowler a fait une découverte similaire.

Cette fois, ce sont 149 404 754 identifiants et mots de passe uniques qu'il a découverts sur une autre base de données non protégée.

Une fuite de données de grande ampleur

C'est ce qu'on apprend dans son rapport publié sur le site de ExpressVPN.

Les données de la fuite semblent avoir été récoltées par des pirates via ce qu'on appelle des infostealers ainsi que du credential stuffing.

Un infostealer est un type de logiciel malveillant spécialement conçu pour dérober des informations sensibles sur un ordinateur infecté. 

Ces malwares ciblent généralement les informations de connexion stockées dans les navigateurs web, les clients de comptes courriels et les applications de messagerie.

Les cybercriminels déploient ces logiciels malveillants souvent cachés dans des courriels d'hameçonnage, des sites web frauduleux ou des logiciels piratés.

Une fois les données volées, elles peuvent circuler sur les marchés noirs du web (dark web) ou être utilisées directement pour commettre des fraudes, des vols d'identité ou lancer d'autres cyberattaques.

Le credential stuffing de son côté, c'est de tester tous ces mots de passe sur plusieurs plateformes et sites dans l'espoir que les mots de passe sont réutilisés.

Après sa découverte, le chercheur a rapidement signalé la base de données à l'hébergeur, et l'accès public a été restreint peu de temps après.

Cependant, on ne sait pas depuis combien de temps la base de données était exposée ni si d'autres personnes y ont eu accès.

Quelles sont les données compromises?

La portée de cette fuite est immense et très variée. Les documents exposés contenaient des courriels, des noms d'utilisateur, des mots de passe et même les liens URL permettant de se connecter aux comptes concernés.

On y a trouvé des informations de connexion pour une très large gamme de services et d'applications, incluant:

  • Des fournisseurs de courriels.
  • Des produits Microsoft.
  • Des plateformes populaires comme Facebook, Instagram, Snapchat, et Roblox.
  • Mais aussi, et c'est particulièrement inquiétant, des comptes bancaires et financiers, des plateformes de santé et des portails gouvernementaux de nombreux pays.

Plus précisément, voici une estimation de la répartition des comptes compromis dans cette nouvelle fuite:

  • Gmail: 48 millions de comptes
  • Facebook: 17 millions de comptes
  • Instagram: 6,5 millions de comptes
  • Yahoo: 4 millions de comptes
  • Netflix: 3,4 millions de comptes
  • Outlook: 1,5 million de comptes
  • iCloud: 900 000 comptes
  • Tik Tok: 780 000 comptes
  • Binance: 400 000 comptes
  • OnlyFans: 100 000 comptes

Détail troublant, Jeremiah Fowler a noté que le nombre de dossiers dans la base de données continuait d'augmenter entre le moment de sa découverte et celui de sa fermeture, suggérant que des appareils infectés continuaient d'y envoyer des données en temps réel.

Ces données peuvent être exploitées de multiples façons, notamment pour :

  • Des attaques par remplissage d'identifiants ("Credential Stuffing"): comme beaucoup de gens réutilisent les mêmes mots de passe sur plusieurs comptes, les criminels peuvent tester ces combinaisons courriel/mot de passe sur des centaines de sites.
  • Des prises de contrôle de compte ("Account Takeovers" ou ATO): sans double authentification, un simple identifiant et mot de passe suffit pour prendre le contrôle d'un compte et accéder à toutes les informations personnelles, pouvant mener à des vols d'identité ou des fraudes financières.
  • De l'espionnage d'entreprise: des informations de connexion professionnelles ont été trouvées, offrant la possibilité d'accéder aux réseaux internes des entreprises pour voler des données.
  • Des risques pour les gouvernements: des comptes avec des extensions .gov ont été repérés, ce qui pourrait poser un risque sérieux si ces comptes avaient accès à des zones sensibles.
  • L'hameçonnage et l'ingénierie sociale: même si un mot de passe exposé est ancien, le simple fait de connaître le courriel et un ancien mot de passe peut rendre les tentatives d'hameçonnage beaucoup plus convaincantes. De quoi nourrir une fraude de type: ingénierie sociale.

Comment se protéger face à une telle fuite?

Il n'existe pas de solution miracle pour inverser la situation d'une fuite de données. C'est comme quand la pâte à dents sort du tube... Mais on doit absolument être vigilant!

Étant donné l'ampleur de cette brèche, il est plus important que jamais de revoir vos propres mesures de sécurité personnelles.

Voici des recommandations pour protéger ses comptes:

Changez vos mots de passe régulièrement

Changer ses mots de passe régulièrement peut aider à protéger nos comptes si l'ancien mot de passe a été exposé dans une fuite connue ou inconnue.

Utilisez des mots de passe uniques et difficiles à deviner pour chaque compte

Il ne faut jamais réutiliser le même mot de passe pour différents services. C'est une règle de base qui, si elle n'est pas respectée, permet aux criminels de compromettre plusieurs comptes à la fois avec le credential stuffing que nous avons expliqué précédemment.

D'où l'idée et l'importance de se munir d'un bon gestionnaire de mots de passe. Non seulement celui-ci va nous aider à générer des mots de passe forts. Mais surtout, on va pouvoir s'assurer que tous nos comptes ont des mots de passe diversifiés et forts.

Nos recommandations de gestionnaire de mots de passe

Vous ne savez pas comment utiliser un gestionnaire de mots de passe? Pas de panique! On offre justement un cours en ligne gratuit sur l'académie francoischarron.com pour vous aider à comprendre et à utiliser cet outil indispensable!

Formation gratuite | Mots de passe

Formation gratuite | Mots de passe

Cours en ligne avec François Charron pour apprendre à utiliser un gestionnaire de mots de passe.

Étiquette

Je m'inscris!
Je m'inscris!

Activez l'authentification à deux facteurs (2FA)

C'est une couche de sécurité supplémentaire cruciale. Si un site ou une plateforme l'offre, on a tout intérêt à l'activer. 

Même si un pirate obtient notre mot de passe, il se heurtera à cette protection supplémentaire.

Il est d'ailleurs fortement recommandé d'utiliser une application 2FA, car elle est plus sécuritaire que les codes reçus par texto.

C'est un petit effort supplémentaire lors de la connexion, mais c'est le prix à payer pour la sécurité.

Vérifiez si vos informations d'identification ont été exposées

Utilisez des services réputés, comme Have I Been Pwned, pour voir si notre courriel apparaît dans des fuites connues.

Il s'agit d'aller sur le site, puis d'entrer son adresse courriel. Le site va alors nous afficher si des comptes associés à cette adresse ont été compromis.

Attention cependant, même si le site ne détecte pas d'exposition, cela ne garantit pas que notre compte n'a pas été potentiellement compromis. 

C'est pourquoi changer ses mots de passe occasionnellement reste une bonne idée.

De plus, les bons antivirus, VPN ou gestionnaire de mots de passe peuvent vous alerter quand vos données sont sur le dark web.

Comment savoir si vos données personnelles ont fuité pour éviter une fraude

Surveillez vos comptes

Si nos comptes le proposent, on a intérêt à activer les notifications de connexion ou les alertes d'activité suspecte.

Pouvoir voir les lieux de connexion peut aussi vous aider à identifier un accès non autorisé.

Se munir un bon antivirus 

Un logiciel antivirus peut aider à détecter et supprimer les malwares infostealers s'ils sont connus et inclus dans sa base de données de virus.

Également, ça va aider à identifier les courriels d'hameçonnage ou les communications avec des liens malveillants.

Enfin, il est primordial de toujours faire la mise à jour de nos appareils et de nos applications pour recevoir les correctifs de sécurité.

Nos recommandations d'antivirus pour mobile

Nos recommandations d'antivirus pour ordinateur

Faire effacer ses données chez les courtiers de données

Une dernière mesure que l'on peut entreprendre, c'est de faire supprimer nos informations auprès des courtiers de données.

Ces entreprises collectent nos données par tous les moyens possibles à des fins publicitaires.

Si ces entreprises sont elles même victime d'une fuite, c'est nous qui écopons.

Il existe des services comme Incogni qui agissent comme nos avocats pour faire supprimer nos informations auprès de ces entreprises.

On peut même l'utiliser pour faire supprimer nos informations sur un site précis de notre choix.

Le kit pour se protéger
Ce logiciel s’assure que nos données personnelles ne circulent plus sur le web
Lire plus
Meilleurs antivirus et suites de protection: Nos suggestions pour ordinateur
Lire plus
Protégez vos appareils Android et iOS: Meilleurs antivirus
Lire plus
Nos comparatifs et suggestions des meilleurs gestionnaires de mot de passe
Lire plus
Économiser en ligne

Les meilleurs rabais sur le Web de francoischarron.com

Logiciels de sécurité

Quel VPN choisir? Avis et comparatifs des meilleurs VPN sur le marché

Logiciels de sécurité

Meilleurs antivirus et suites de protection: Nos suggestions pour ordinateur

Logiciels de sécurité

Nos comparatifs et suggestions des meilleurs gestionnaires de mot de passe