24 milliards d’identifiants volés : comment savoir si vous êtes concerné et que faire maintenant

Image d'illustration - 24 milliards d'identifiants volés dans la fuite Cybernews de juin 2026

Le 17 juin 2026, les chercheurs de Cybernews ont publié une découverte qui dépasse tout ce que nous avons documenté jusqu’ici : une base de données contenant 24 milliards d’identifiants et de mots de passe en clair, amassés par des infostealers depuis plusieurs années. Cette mégafuite touche, en théorie, un service ou un compte en ligne sur deux accessible depuis la France. Voici ce qu’il faut savoir pour vérifier votre exposition et réagir efficacement.

🚨

L’essentiel en 30 secondes

  • Volume : 24 milliards d’identifiants exposés dans une seule base, découverte le 17 juin 2026 par les chercheurs de Cybernews.
  • Origine : accumulation de données volées par des infostealers (RedLine, Raccoon, StealC, LummaC2) sur les postes de particuliers et d’entreprises depuis plusieurs années.
  • Risque : réutilisation automatique via credential stuffing, prise de contrôle de comptes, fraude bancaire, usurpation d’identité.
  • Que faire : vérifier sur HaveIBeenPwned, Cybernews Check et Mozilla Monitor, changer les mots de passe réutilisés, activer une clé d’accès (passkey) ou une MFA.

Comment 24 milliards d’identifiants ont-ils pu s’accumuler ?

La base documentée par Cybernews n’est pas le fruit d’une seule attaque. Elle résulte de presque une décennie de vols silencieux, automatisés, à très grande échelle, par des logiciels malveillants appelés infostealers. Ces programmes s’installent sur un ordinateur, souvent via un logiciel piraté, une fausse mise à jour de navigateur ou une pièce jointe, puis extraient silencieusement tout ce que le navigateur a stocké : cookies, mots de passe enregistrés, données de formulaires, historiques.

Les chercheurs ont reconstitué une base unique d’environ 24 milliards d’identifiants uniques (adresse e-mail + mot de passe), accompagnés du service d’origine (URL où ils ont été volés) et parfois de l’adresse IP de la machine infectée. Cette base est exploitée par des groupes criminels pour des attaques par credential stuffing, c’est-à-dire des tentatives automatisées de connexion sur des milliers de sites avec des couples e-mail / mot de passe recyclés.

L’ampleur de la fuite tient en partie à une mécanique simple : la majorité des particuliers réutilisent le même mot de passe (ou une variante) sur plusieurs dizaines de services. Selon une étude de LastPass publiée en 2025, 65 % des utilisateurs déclarent réutiliser au moins partiellement leurs mots de passe, et un particulier moyen gère plus de 240 comptes en ligne. Un identifiant volé sur un site marginal peut donc compromettre une messagerie, un compte bancaire ou un accès professionnel.

⚠️ Vigilance : votre mot de passe est probablement dans cette base

Si vous utilisez le même mot de passe depuis plus de deux ans, ou si vous l’avez enregistré dans le navigateur d’un poste professionnel partagé, considérez qu’il a fuité. Ne testez pas votre mot de passe sur un site que vous ne connaissez pas : utilisez uniquement les trois outils de vérification reconnus détaillés plus bas.

En cas de doute, ouvrez un nouvel onglet, tapez vous-même l’adresse du service dans votre navigateur et changez votre mot de passe depuis votre espace personnel sécurisé.

Que trouve-t-on exactement dans cette base de données ?

Le chercheur en chef de Cybernews, Mantas Sasnauskas, a confirmé que la base contient 24 milliards d’enregistrements actifs, soit environ 9 à 10 fois le nombre d’internautes dans le monde (estimé à 5,5 milliards en 2026 selon l’UIT). Cette différence s’explique par la présence de comptes anciens, désactivés, ou créés pour un usage unique. Les doublons ont été retirés : il s’agit bien de couples adresse e-mail / mot de passe effectivement valides au moment du vol.

🔴 Données compromises

  • Adresse e-mail : point d’entrée principal des attaques par credential stuffing.
  • Mot de passe : en clair, immédiatement réutilisable sur tout service où vous l’auriez aussi utilisé.
  • URL d’origine : le service depuis lequel le couple a été volé (messagerie, e-commerce, VPN, etc.).
  • Adresse IP de la machine infectée : permet de comprendre quand et où le vol a eu lieu.

✅ Données restées en sécurité

  • Numéros de carte bancaire : les infostealers n’agrègent pas les données de paiement saisies dans les formulaires.
  • RIB et identifiants fiscaux : stockés dans des applications distinctes, rarement infectées.
  • Mots de passe générés et stockés dans un gestionnaire (Bitwarden, KeePass, Proton Pass) : non extraits par les infostealers, qui visent le navigateur.

Comment savoir si vos identifiants sont concernés ?

Trois services de référence permettent de vérifier gratuitement si votre adresse e-mail figure dans des bases de données compromises. Nous vous recommandons de tester les trois, car leurs sources de données ne sont pas strictement identiques : un résultat négatif sur l’un n’exclut pas une exposition enregistrée par un autre.

  1. HaveIBeenPwned (haveibeenpwned.com) : le service historique, créé par le chercheur australien Troy Hunt en 2013. Il recense plus de 900 incidents de sécurité documentés et alimente les navigateurs Firefox et 1Password.
  2. Cybernews Personal Data Leak Check (cybernews.com/personal-data-leak-check) : le moteur de recherche dédié à la mégafuite 24 milliards, accessible gratuitement depuis le 18 juin 2026.
  3. Mozilla Monitor (monitor.mozilla.org) : la version Mozilla de HaveIBeenPwned, intégrée au navigateur Firefox, avec des recommandations de remédiation pas à pas.

Saisissez votre adresse e-mail principale, puis toutes les adresses secondaires que vous utilisez (professionnelle, alias, ancienne adresse Free / Orange). Si l’un des services renvoie un résultat, ne paniquez pas : lisez l’incident concerné, la date de l’exposition, et concentrez-vous sur la modification des mots de passe associés. Notre guide pour vérifier si votre adresse e-mail a fuité sur le dark web détaille la marche à suivre complète.

Chronologie de la mégafuite 24 milliards : comment en est-on arrivé là ?

La découverte de Cybernews s’inscrit dans une trajectoire de fuites massives initiée en 2017. Voici les principales étapes qui ont conduit à la constitution d’une base de 24 milliards d’identifiants.

Date Événement
2017 Premières bases d’identifiants massives issues d’infostealers (RedLine), vendues sur des forums russophones.
Janvier 2019 Collection #1, soit 773 millions d’identifiants, fuite librement sur Mega. Premier signal d’alerte mondial.
2020 – 2021 Explosion du modèle “Malware-as-a-Service” : Raccoon, StealC, Vidar loués à 100 – 200 dollars par mois.
Mars 2022 Première base agrégée à 1,5 milliard d’identifiants documentée par Group-IB.
Juin 2025 Découverte de Searcher, 1,2 milliard de données de Français exposés, dont 950 000 empreintes.
17 juin 2026 Cybernews publie sa base de 24 milliards d’identifiants, la plus importante jamais documentée.

La France particulièrement exposée par rapport au reste du monde ?

La France figure parmi les pays européens les plus présents dans les bases d’identifiants, et ce pour trois raisons documentées : une forte digitalisation des services publics (FranceConnect, impots.gouv.fr, Ameli), un taux élevé de comptes e-commerce créés sur des plateformes internationales, et une moyenne d’âge d’équipement numérique qui laisse une proportion importante d’utilisateurs équipés de postes non maintenus à jour.

🔍 Cartographie du risque : les fuites majeures qui touchent la France en 2025-2026

Searcher (juin 2025) 1,2 milliard de données

Découverte par ZATAZ, 950 000 empreintes de cartes SIM et 550 000 adresses postales de Français exposées sur un serveur non protégé.

France Travail (mars 2024) 43 millions de comptes

Fuite massive de données personnelles de demandeurs d’emploi, issue d’une compromission d’un compte administrateur.

JeVeuxAider.gouv.fr (juin 2026) 550 000 comptes

Vol de comptes de bénévoles via une vulnérabilité applicative corrigée sous 48 heures après la découverte.

Mégafuite Cybernews (juin 2026) 24 milliards d’identifiants

Agrégation de 9 ans de vols par infostealers, touchant potentiellement un internaute français sur deux.

Quelles mesures concrètes adopter dans les 24 prochaines heures ?

Si l’ampleur de la fuite peut sembler décourageante, la marche à suivre concrète se résume en cinq étapes priorisées. Nous estimons qu’un particulier équipé peut réaliser l’ensemble en moins d’une heure, à condition de procéder dans l’ordre.

  1. Vérifier l’exposition de toutes vos adresses e-mail sur HaveIBeenPwned, Cybernews Check et Mozilla Monitor. Notez les services mentionnés dans les incidents.
  2. Changer le mot de passe de votre messagerie principale (Gmail, Outlook, ProtonMail) en priorité, et activer la double authentification. Si un attaquant prend le contrôle de votre messagerie, il peut réinitialiser tous vos autres comptes.
  3. Changer le mot de passe des comptes sensibles : banque, administrations, achats, réseaux sociaux. Générez un mot de passe unique par compte à l’aide d’un gestionnaire de mots de passe.
  4. Activer une clé d’accès (passkey) sur les services qui la supportent : Apple, Google, Microsoft, GitHub, PayPal. Une passkey remplace le mot de passe par une clé cryptographique liée à votre appareil, invulnérable au phishing.
  5. Surveiller vos relevés bancaires pendant 90 jours : si un paiement inconnu apparaît, contestez-le auprès de votre banque sous 13 mois, délai maximal de rétrofacturation CB.

Le point 3 mérite un développement : la majorité des utilisateurs craignent de gérer 240 mots de passe uniques, mais un gestionnaire moderne (Bitwarden, Proton Pass, KeePass) génère, retient et remplit automatiquement ces identifiants. Vous n’avez qu’à mémoriser un mot de passe maître fort, idéalement une phrase longue de 6 mots non liée à votre vie, comme “le-chat-dore-mange-six-poireaux”.

Pourquoi les mots de passe traditionnels ont-ils atteint leurs limites ?

Notre article dédié au credential stuffing explique en détail la mécanique du recyclage des mots de passe. En synthèse : un attaquant qui possède 24 milliards d’identifiants peut tester 1 000 couples e-mail / mot de passe par seconde sur les sites les plus populaires. Le succès est quasi garanti pour les comptes où le mot de passe a été réutilisé, ce qui représente la majorité.

Pour les organisations, l’enjeu est désormais d’imposer une authentification multifacteur (MFA) systématique, voire de basculer vers l’authentification sans mot de passe via les passkeys standardisées par le FIDO Alliance (normes FIDO2 / WebAuthn). Ces clés cryptographiques ne sont jamais transmises au serveur : même en cas de fuite de base utilisateurs, l’attaquant ne dispose d’aucun secret à exploiter.

Que faire si votre adresse e-mail est dans la base 24 milliards ?

Si l’un des trois services de vérification confirme votre exposition, voici l’ordre des actions à mener, par priorité décroissante.

Priorité Action
1 – Critique Messagerie principale (Gmail, Outlook, ProtonMail, Yahoo) : changer mot de passe + activer double authentification.
2 – Élevée Comptes bancaires et PayPal : vérifier l’historique de connexion, activer les notifications par SMS, changer le mot de passe.
3 – Élevée Administrations (impots.gouv.fr, Ameli, FranceConnect) : changer le mot de passe, vérifier l’absence de connexion inhabituelle.
4 – Moyenne Comptes e-commerce (Amazon, Fnac, Cdiscount) : supprimer les moyens de paiement enregistrés, changer le mot de passe.
5 – Moyenne Réseaux sociaux (Facebook, Instagram, LinkedIn, X) : changer le mot de passe, révoquer les applications tierces.
6 – Basse Comptes secondaires (forums, jeux, abonnements) : changer le mot de passe si le service le permet, sinon supprimer le compte.

Quel est le rôle des forces de l’ordre et de la CNIL ?

La CNIL, gendarme français des données personnelles, a annoncé qu’elle coordonne son action avec l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et la plateforme THESEE du ministère de l’Intérieur, qui reçoit les plaintes pour atteintes aux systèmes de traitement automatisé de données (article 323-1 et suivants du code pénal).

Si vous constatez une utilisation frauduleuse de vos identifiants (commande passée, compte piraté, demande de prêt à votre nom), nous vous recommandons de déposer plainte sur THESEE (menace-risque.cyber.gouv.fr) et de notifier l’incident à la CNIL dans les 72 heures si vous êtes responsable d’un service touché. Pour un particulier, la marche à suivre est documentée par le dispositif national d’assistance Cybermalveillance.gouv.fr.

Les entreprises doivent-elles reconsidérer leur politique d’authentification ?

La mégafuite 24 milliards pousse les directions des systèmes d’information à accélérer deux chantiers déjà amorcés en 2025 : la migration vers les passkeys pour les comptes à privilèges, et la mise en place de politiques de passwordless sur les applications métier internes.

Pour les organisations confrontées à un risque immédiat, l’ANSSI recommande trois mesures applicables en moins d’une semaine : l’activation systématique de la MFA sur tous les comptes (y compris les comptes de service), la mise en place d’une politique de mots de passe vérifiée contre HaveIBeenPwned au moment de la création, et la surveillance active des listes de credential stuffing partagées sur les forums cybercriminels.

La base 24 milliards contient-elle vraiment 24 milliards de comptes distincts ?

Cybernews a documenté 24 milliards d’enregistrements uniques après dédoublonnage. La base dépasse largement le nombre d’internautes dans le monde (5,5 milliards) car elle cumule 9 ans de données volées, avec des comptes créés pour un usage unique, des comptes abandonnés et des doublons d’adresses e-mail. Un même internaute peut apparaître des dizaines de fois avec des mots de passe différents.

Les mots de passe volés sont-ils chiffrés ou en clair ?

Les infostealers extraient les mots de passe depuis le navigateur, où ils sont stockés en clair sur le poste de la victime (et chiffrés à la sortie du navigateur). Le pirate récupère donc le mot de passe en clair. C’est ce qui rend la base aussi dangereuse : elle est immédiatement exploitable, sans étape de cassage.

Mes données bancaires sont-elles dans cette base ?

Non. Les infostealers ciblent les données du navigateur (cookies, mots de passe enregistrés, données de formulaires d’authentification), pas les numéros de carte saisis dans les formulaires de paiement. Les RIB, identifiants fiscaux et données biométriques ne figurent pas non plus dans la base. Le risque principal reste la prise de contrôle de comptes et la fraude au virement.

Changer mon mot de passe suffit-il à me protéger ?

Changer le mot de passe d’un compte dont l’identifiant a fuité est indispensable, mais ne suffit pas. Si vous avez réutilisé le même mot de passe sur un autre service qui n’a jamais été compromis, l’attaquant peut toujours le tester. La seule protection durable consiste à utiliser un mot de passe unique par compte, idéalement via un gestionnaire de mots de passe, et à activer une double authentification ou une passkey.

Qu’est-ce qu’une passkey et pourquoi est-elle plus sûre ?

Une passkey est une clé cryptographique générée par votre appareil, qui remplace le couple identifiant / mot de passe. La clé privée ne quitte jamais votre téléphone ou votre ordinateur : elle n’est jamais transmise au serveur, ce qui la rend invulnérable au phishing et à la fuite de base de données. Les services Apple, Google, Microsoft, GitHub, PayPal et les grandes banques françaises supportent désormais les passkeys FIDO2.

Combien de temps faut-il pour traiter l’ensemble de ses comptes ?

Pour un particulier gérant une centaine de comptes, la vérification initiale prend 15 minutes (trois outils à tester), le changement de priorité 1 (messagerie + banque) prend 20 minutes, et le déploiement d’un gestionnaire de mots de passe avec réinitialisation des comptes sensibles prend une à deux heures. La majorité des particuliers peuvent donc traiter l’urgence en moins d’une demi-journée.

Conclusion : traiter cette fuite comme un changement d’hygiène durable

La mégafuite 24 milliards n’est pas un événement isolé : c’est le point culminant d’une tendance de fond, où la compromission silencieuse d’un poste personnel peut se transformer en catastrophe collective. La bonne nouvelle est que les outils de protection ont eux aussi progressé : gestionnaires de mots de passe gratuits, passkeys FIDO2, authentification biométrique locale, vérifications publiques systématiques.

Si nous ne devions retenir qu’une seule action de cet article, ce serait celle-ci : installez un gestionnaire de mots de passe cette semaine. Le reste des bonnes pratiques découle mécaniquement de cet outil, qui devient l’infrastructure de base de votre sécurité numérique. Une heure investie aujourd’hui vous évitera des semaines de démarches le jour où l’un de vos comptes critiques sera pris pour cible.

Alexi Tauzin
Alexi Tauzin 🛡️ Éditeur & Expert Cyber

Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.

En savoir plus ➔

Avez-vous déjà lu ces articles ?

TPM 2.0 et Secure Enclave : ce que les entreprises françaises ignorent encore sur la racine de confiance matérielle

Laisser un commentaire

Contactez la rédaction pour toute demande

Partenariat, rédaction et publication d'articles sponsorisés

NOUS CONTACTER

COPYRIGHT ALEXITAUZIN.COM 2026

Mentions légales - Politique de confidentialité - Affiliation