184 millions de mots de passe exposés : anatomie d’une catastrophe numérique

Quand la négligence devient une bombe à retardement juridique

En mai 2025, le chercheur en cybersécurité Jeremiah Fowler a fait une découverte qui donne froid dans le dos : une base de données contenant plus de 184 millions d’identifiants de connexion — noms d’utilisateurs, adresses courriel et mots de passe — totalement accessible sur Internet. Sans aucune protection. Sans mot de passe. Rien.

Cette fuite massive ne résulte pas d’une attaque sophistiquée. Elle illustre plutôt une réalité troublante : des quantités astronomiques de données personnelles circulent dans l’ombre du web, souvent mal protégées, attendant d’être découvertes — ou exploitées. Pour les professionnels du droit et les entreprises, cette affaire soulève des questions cruciales sur la responsabilité, la traçabilité et la preuve numérique.

Les faits : 47 gigaoctets de données sensibles à la portée de tous

La base de données découverte par Fowler contenait exactement 184 162 718 enregistrements, représentant plus de 47 gigaoctets de données brutes. Hébergée sur une plateforme Elastic non sécurisée chez World Host Group, elle regroupait des identifiants provenant d’une impressionnante variété de services :

• Réseaux sociaux : Facebook, Instagram, Snapchat, Twitter, Discord
• Géants technologiques : Apple, Google, Microsoft, Amazon
• Plateformes de divertissement : Netflix, Spotify, Roblox, Nintendo
• Services financiers : PayPal et diverses institutions bancaires
• Portails gouvernementaux : 220 adresses courriel en .gov provenant de 29 pays

Parmi les pays touchés figurent les États-Unis, le Canada, l’Australie, le Royaume-Uni, la Chine, l’Inde et Israël. La dimension internationale de cette fuite en fait un cauchemar juridictionnel potentiel.

Un détail technique révélateur : le champ contenant les mots de passe était libellé « Senha » — le mot portugais pour « mot de passe ». Un indice sur l’origine géographique des responsables, mais insuffisant pour les identifier formellement.

L’origine probable : les infostealers, ces voleurs silencieux

Contrairement aux fuites traditionnelles causées par le piratage d’une entreprise spécifique, cette base de données présente toutes les caractéristiques d’une compilation réalisée par des logiciels malveillants appelés infostealers.

Ces programmes malicieux s’infiltrent discrètement dans les ordinateurs des victimes — souvent via des courriels d’hameçonnage, des sites web compromis ou des logiciels piratés — et extraient méthodiquement :

• Les mots de passe enregistrés dans les navigateurs
• Les données de remplissage automatique des formulaires
• Les témoins de connexion (cookies)
• Les captures d’écran et les frappes au clavier
• Les informations des portefeuilles de cryptomonnaies

« C’est probablement l’une des découvertes les plus étranges que j’ai faites en de nombreuses années. Du point de vue du risque, c’est bien plus important que la plupart de mes trouvailles, car il s’agit d’un accès direct aux comptes individuels. C’est la liste de travail rêvée d’un cybercriminel. »

— Jeremiah Fowler, chercheur en cybersécurité (WIRED)

Le maliciel Lumma Stealer, dont l’infrastructure a récemment été perturbée par les autorités, illustre la sophistication croissante de ces outils. Malheureusement, des dizaines d’autres variants tout aussi dangereux restent actifs.

Les implications juridiques : un terrain miné pour les entreprises

Cette affaire soulève plusieurs questions juridiques fondamentales que les avocats et les entreprises doivent prendre au sérieux.

La responsabilité de l’hébergeur

World Host Group, l’hébergeur de la base de données, a rapidement réagi après avoir été contacté par Fowler. Selon Seb de Lemos, PDG de l’entreprise, il s’agissait d’un « serveur non géré » contrôlé entièrement par un client. « Il semble qu’un utilisateur frauduleux se soit inscrit et ait téléchargé du contenu illégal sur son serveur », a-t-il déclaré.

Cette distinction entre serveur « géré » et « non géré » pourrait s’avérer cruciale dans d’éventuelles poursuites. Jusqu’où s’étend la responsabilité d’un hébergeur quant au contenu stocké par ses clients?

Le défi de la traçabilité

L’anonymat du propriétaire de la base de données complique considérablement toute action judiciaire. Sans identification claire du responsable, les victimes peinent à obtenir réparation. C’est ici que l’expertise forensique informatique prend toute son importance.

Un expert en investigation numérique peut analyser les métadonnées, les journaux de connexion, les signatures techniques et d’autres indices numériques pour :

• Retracer l’origine des données
• Établir une chronologie des événements
• Identifier les méthodes d’intrusion utilisées
• Préserver les preuves dans un format recevable en cour

L’effet domino de la réutilisation des mots de passe

Selon les recherches de Bitdefender, jusqu’à 60 % des utilisateurs réutilisent leurs mots de passe sur plusieurs comptes. Cette pratique transforme chaque fuite de données en une menace exponentielle : un seul mot de passe compromis peut ouvrir la porte à des dizaines de comptes.

Pour les entreprises victimes d’un accès non autorisé suite à cette fuite, démontrer que la compromission origine de la négligence d’un employé — plutôt que d’une faille dans leurs propres systèmes — nécessitera une analyse forensique rigoureuse.

Que retenir de cette affaire?

Pour les individus

• Changez vos mots de passe régulièrement et n’utilisez jamais le même pour plusieurs services
• Activez l’authentification à deux facteurs partout où c’est possible
• Méfiez-vous des courriels suspects et ne téléchargez jamais de logiciels de sources douteuses
• Auditez votre boîte courriel : trop de gens y conservent des documents sensibles pendant des années

Pour les entreprises

• Formez vos employés aux risques des infostealers et de l’hameçonnage
• Imposez des politiques de mots de passe robustes avec gestionnaire dédié
• Surveillez les accès suspects à vos systèmes
• Préparez un plan de réponse aux incidents incluant le recours à des experts forensiques

Pour les professionnels du droit

Cette affaire rappelle que la preuve numérique exige une expertise spécialisée. Les données brutes ne parlent pas d’elles-mêmes : il faut savoir les interpréter, les authentifier et les présenter de manière recevable devant un tribunal.

Lorsqu’un litige implique des accès non autorisés, des fuites de données ou des cyberattaques, l’expert en forensique informatique devient un allié indispensable. Il peut établir les faits techniques, éclairer la cour sur des concepts complexes et fournir une opinion impartiale sur les responsabilités en jeu.

Conclusion

La découverte de cette base de données de 184 millions d’identifiants n’est pas un événement isolé. Elle révèle l’ampleur d’un écosystème criminel où les données personnelles sont collectées, compilées et échangées à une échelle industrielle.

Pour les entreprises et les particuliers, la vigilance n’est plus optionnelle. Pour les professionnels du droit, maîtriser les enjeux de la preuve numérique devient une compétence essentielle. Et pour tous, cette affaire rappelle une vérité inconfortable : dans le monde numérique, ce qui n’est pas protégé finit toujours par être trouvé.

---

Sources

1. WIRED – « Mysterious Database of 184 Million Records Exposes Vast Array of Login Credentials » (22 mai 2025)
2. Bitdefender – « Database with 184 Million Logins and Passwords Accessible Online with No Password » (mai 2025)
3. Malwarebytes – « 184 million logins for Instagram, Roblox, Facebook, Snapchat, and more exposed online » (mai 2025)