Vol d’identifiants : un infostealer expose 149 millions de comptes

La découverte de cette base de données volumineuse, laissée sans protection sur le web, illustre concrètement l’industrialisation actuelle du vol de données. Plus qu’une simple fuite, cet ensemble de près de 150 millions de lignes confirme l’efficacité des chaînes de collecte automatisées. Elle matérialise la capacité des cybercriminels à agréger massivement des informations d’identification, transformant ces données en produits de consommation courante pour alimenter d’autres attaques informatiques.

Vol d’identifiants : une exposition massive et variée

Le volume de cette brèche concerne une grande diversité de cibles et de secteurs. La base de données contenait des noms d’utilisateurs et des mots de passe accessibles via un simple navigateur web. Si les services de messagerie comme Gmail et Microsoft Outlook constituent une part importante du volume avec respectivement 48 millions et environ 1,5 million d’identifiants, le vol d’identifiants concerne également des services financiers. Comme le rapporte Wired, cette base comportait plus de 400 000 accès à la plateforme de cryptomonnaie Binance ainsi que des informations de connexion pour des comptes bancaires et des cartes de crédit.

L’analyste en sécurité ayant identifié cette base a noté que le volume de données augmentait durant le mois consacré à contacter l’hébergeur. Hébergé par une filiale canadienne d’un groupe mondial, le serveur continuait d’enregistrer de nouvelles entrées. Outre les données financières, la base regroupait des accès à des plateformes comme OnlyFans (100 000 comptes) et TikTok (environ 780 000 profils), ainsi que des accès à des systèmes gouvernementaux de plusieurs pays et 1,4 million de comptes universitaires en « .edu ».

L’infostealer comme outil de collecte industrielle

La structure des données observée renseigne sur la méthode de collecte employée. Les informations étaient organisées par un système d’indexation où chaque journal de connexion recevait un identifiant unique, évitant les doublons et structurant la base. Cette organisation technique pointe vers l’usage d’un infostealer, un logiciel malveillant conçu pour infecter les appareils et exfiltrer les saisies des utilisateurs.

Ces malwares utilisent des techniques d’enregistrement de frappe (keylogging) pour capturer les identifiants lors de la connexion sur des sites légitimes. L’architecture de la base suggère qu’elle était configurée pour permettre le filtrage des informations selon des critères précis, facilitant leur exploitation pour divers types de fraudes ou d’intrusions. L’analyste souligne que le formatage des logs était spécifiquement adapté pour gérer et indexer de grands volumes de données, indiquant une démarche visant à constituer un stock d’identifiants prêt à l’emploi pour le marché cybercriminel.

La démocratisation du vecteur d’accès initial

Ce cas met en évidence le modèle économique du cybercrime actuel, où l’accès aux outils de compromission est standardisé. L’utilisation d’infrastructures de type « infostealer » ne nécessite pas de compétences techniques avancées de la part des opérateurs. Des analystes en renseignement sur les menaces indiquent que la location d’une telle infrastructure coûte entre 200 et 300 dollars par mois. Ce faible coût d’entrée permet à des acteurs malveillants de collecter des centaines de milliers d’identifiants mensuellement.

La fermeture de cette base de données, suite au signalement de la violation des conditions de service, interrompt ce canal spécifique mais ne change pas la dynamique de fond. Ces malwares facilitent l’obtention du premier « accès initial » (Initial Access) dans les systèmes d’information, qu’il s’agisse de réseaux d’entreprise ou de comptes personnels. La simplicité d’automatisation de la collecte garantit une offre constante d’identifiants compromis, alimentant les premières étapes de la chaîne d’attaque cybercriminelle.