Retour au blog

Fuite de 24 milliards de mots de passe : comment fonctionne l'industrie de la substitution de comptes

Le 12 juin 2026, les chercheurs de Cybernews ont trouvé un serveur non protégé de 8,3 To contenant 24 milliards de comptes volés. Nous analysons ce qu'il y a à l'intérieur, comment fonctionne la substitution de comptes via des proxies résidents et mobiles, et pourquoi le marché noir des mots de passe volés impacte même le web scraping légal et le multi-comptes.

📅7 juillet 2026
Fuite de 24 milliards de mots de passe : comment fonctionne l'industrie de la substitution de comptes

24 milliards de logins et mots de passe volés ont été rassemblés en un seul endroit — sur un serveur ouvert auquel n'importe qui pouvait se connecter. La découverte des chercheurs de Cybernews n'est pas simplement une autre « fuite de N millions ». C'est une vitrine d'une industrie entière : les infostilés volent des identifiants, des listes combinées les agrègent, et des armées de bots les testent sur des sites, masquant chaque tentative sous l'apparence d'un utilisateur réel grâce à des proxies résidentiels et mobiles. Analysons ce qui a été trouvé, comment fonctionne le credential stuffing et pourquoi ce marché noir impacte également le scraping web légal et le multi-comptes.

Ce qui s'est passé : 8,3 To et 24 milliards d'enregistrements sur un seul serveur

Le 12 juin 2026, les chercheurs de Cybernews ont découvert un cluster Elasticsearch ouvert d'une capacité de 8,3 téraoctets, contenant 24 milliards d'enregistrements d'identifiants. La base n'était protégée ni par un mot de passe, ni par une quelconque authentification — quiconque connaissait l'adresse pouvait y accéder. Peu après la publication de la découverte, le serveur a été mis hors ligne, donc les chercheurs n'ont pas eu le temps de retrouver le propriétaire.

Ce volume est constitué de 36 sources, et c'est un détail clé. La majeure partie — les soi-disant « collections » (environ 22,6 milliards d'enregistrements), mais la structure du reste est particulièrement révélatrice :

  • plus de 1,7 milliard d'enregistrements ont été directement extraits de canaux Telegram — plus de 30 des 36 sources se sont révélées être des canaux où des données volées sont échangées ouvertement ;
  • environ 260 millions d'enregistrements — provenant de canaux faisant référence à « Darkside » ;
  • environ 150 millions — des dumps locaux de bases de données ;
  • environ 146 millions — des compilations d'anciennes fuites (listes combinées).

À l'intérieur — pas seulement « email et mot de passe ». Une part significative de l'ensemble est constituée de logs d'infostilés : des malwares comme RedLine, Lumma et Vidar, qui extraient tout ce qu'ils peuvent du navigateur infecté. Dans des logs plus complets, on trouve des mots de passe enregistrés, des cookies de session et des tokens — y compris ceux qui permettent de contourner l'authentification à deux facteurs, des données de remplissage automatique, des empreintes d'appareil et parfois des portefeuilles cryptographiques. Chaque enregistrement est généralement accompagné de l'URL du service auquel le mot de passe correspond, — c'est-à-dire une instruction prête à l'emploi « où se connecter ».

Un autre aspect préoccupant : d'après des indices indirects (des liens vers des contenus récents jusqu'en 2026 ont été trouvés dans l'ensemble), il est évident que le propriétaire met à jour régulièrement la base. Ce n'est pas une décharge d'archives, mais un outil vivant et actualisé.

Comment les mots de passe fuités se transforment en argent : le credential stuffing

Une liste « login-mot de passe » est en soi inutile tant qu'elle n'est pas testée sur des sites réels. C'est ce que fait le credential stuffing — le remplissage d'identifiants : des bots automatisés prennent des paires volées et essaient massivement de se connecter à des centaines de services, espérant que les gens utilisent le même mot de passe à plusieurs endroits.

L'ampleur du problème est bien visible dans les données du Verizon DBIR pour 2025. Le credential stuffing représentait en médiane 19 % de toutes les tentatives de connexion quotidiennes dans les logs des fournisseurs SSO, pour les grandes entreprises, cette part atteignait 25 %, et lors du pire jour enregistré — jusqu'à 44 % de tout le trafic de connexions. Les identifiants volés étaient le vecteur initial dans 22 % des violations confirmées. Rien qu'en 2025, environ 2 milliards de paires uniques ont été collectées à partir de listes combinées du dark web — et maintenant, sur un seul serveur, il y avait 24 milliards d'enregistrements.

Et c'est ici que commence la partie qui concerne directement l'industrie des proxies. Pour ne pas se faire repérer dès les premières tentatives, les attaquants font passer les requêtes par des pools de proxies résidentiels et mobiles : chaque tentative de connexion provient d'une nouvelle adresse IP d'un fournisseur réel ou d'un opérateur mobile. Pour le site, cela ne ressemble pas à une seule machine suspecte tentant de se connecter mille fois, mais à mille « utilisateurs ordinaires » différents provenant de différentes villes. La protection classique basée sur la fréquence des requêtes d'une seule IP est presque inutile avec une telle rotation.

Pourquoi cela impacte le scraping légal et le multi-comptes

On pourrait se demander quel rapport cela a avec ceux qui collectent des données de manière honnête, qui automatisent le SMM ou qui gèrent plusieurs comptes pour leur entreprise ? C'est que les systèmes anti-bots ne distinguent pas les intentions — ils distinguent les modèles. Plus les malfaiteurs masquent le credential stuffing sous un trafic réel via des IP résidentielles, plus Cloudflare, Akamai, DataDome et AWS WAF serrent la vis pour tout le monde.

De là découle un déplacement de la détection du niveau IP au niveau de l'identité. Aujourd'hui, les filtres ne se concentrent pas tant sur l'adresse que sur le comportement du client et sur l'apparence de son empreinte réseau :

  • Le fingerprinting TLS et HTTP (JA3/JA4) — si la poignée de main ne correspond pas au navigateur déclaré, le client est marqué comme suspect ;
  • l'analyse comportementale du timing — chez une personne réelle, les pauses entre les actions « varient », tandis que les scripts produisent souvent des intervalles presque identiques ;
  • des anomalies dans le ratio de succès — des connexions réussies rares, étalées sur de nombreux comptes, — une signature caractéristique du stuffing ;
  • des espaces dans les en-têtes et JavaScript — les bots qui ne rendent pas la page dans son intégralité perdent des cookies et des valeurs définies par JS.

C'est pourquoi en 2026, le scraping devient de plus en plus un jeu d'identités, et non une course à la quantité d'IP — nous avons détaillé la mécanique du fingerprinting TLS et JA4 séparément. Pour un projet honnête, la conclusion est simple : la qualité et la « propreté » des proxies sont désormais plus importantes que leur quantité. Une IP qui était utilisée hier pour tester des mots de passe volés est aujourd'hui déjà sur les listes noires des systèmes de réputation — et entraîne votre trafic légal avec elle.

Il y a aussi une dimension réputationnelle. Les scandales autour des botnets de Smart TV piratés et la récente liquidation de réseaux de proxies clandestins ont montré qu'une partie du marché « résidentiel » se nourrit de sources douteuses. Pour les entreprises, c'est un signal pour choisir un fournisseur avec une origine IP transparente et un KYC clair, plutôt que le pool le moins cher de qualité inconnue. Les proxies résidentiels légaux et proxies mobiles provenant de réseaux vérifiés offrent cette « propreté » de réputation pour laquelle tout cela est entrepris, — sans risque de se retrouver dans le même segment que le trafic de credential stuffing.

Que faire dès maintenant

Pour l'utilisateur ordinaire, la principale protection contre de telles fuites n'est pas le mot de passe en tant que tel, mais son unicité. Un infostilé qui a volé votre mot de passe d'un forum est dangereux exactement dans la mesure où ce même mot de passe est utilisé pour votre email et votre banque.

  • Un mot de passe unique pour chaque service et un gestionnaire de mots de passe pour ne pas avoir à les mémoriser. Le credential stuffing vit exclusivement sur la réutilisation.
  • Authentification à deux facteurs ou passkeys sur les comptes critiques — email, banque, magasins, réseaux sociaux. Même avec un mot de passe volé, il est plus difficile de se connecter sans le second facteur.
  • Faites attention aux tokens de session. Les infostilés volent des cookies qui survivent à la saisie du mot de passe et à la 2FA, — donc en cas de suspicion d'infection, il est conseillé non seulement de changer le mot de passe, mais aussi de terminer les sessions actives sur tous les appareils.
  • Ne lancez pas n'importe quoi. Les infostilés se propagent par le biais de publicités malveillantes, de fausses « mises à jour de navigateur », de logiciels piratés, de cheats de jeux, d'extensions suspectes et d'attaques ClickFix, où la victime est persuadée d'exécuter elle-même la commande.

Pour ceux qui automatisent légalement le travail avec des sites, la leçon est différente : séparez les identités et ne les mélangez pas. Un ensemble distinct de comptes — une IP propre distincte, un profil de navigateur distinct avec une empreinte cohérente. C'est ainsi que se construisent les scénarios anti-détection, et c'est pourquoi un pool de proxies « gris » bon marché est aujourd'hui plus dangereux pour un projet que son absence.

Conclusion

24 milliards d'enregistrements sur un serveur non protégé par mot de passe — ce n'est pas un record pour le record, mais un instantané d'une économie fonctionnelle : des infostilés à l'entrée, des listes combinées au milieu, du credential stuffing via des proxies résidentiels à la sortie. Tant que les gens réutilisent des mots de passe, cette chaîne sera rentable, et la protection anti-bots sera de plus en plus stricte. Perdra celui qui ignore l'hygiène : l'utilisateur ordinaire sans mots de passe uniques et 2FA — et l'entreprise qui essaie d'économiser sur la propreté de l'infrastructure. Dans un monde où la détection est basée sur l'identité, et non sur l'IP, parier sur la transparence et la qualité cesse d'être un luxe.