Selon HIBP, la découverte date d’octobre 2025. Elle concerne des identifiants volés au cours de l’année écoulée, compilés par des logiciels malveillants appelés « infostealers ». Google a rapidement réagi pour affirmer qu’il ne s’agit pas d’une faille interne.
À l’origine, une analyse de 3,5 téraoctets de données, soit 23 milliards d’enregistrements, collectés par la société de cybersécurité Synthient. À l’intérieur : des combinaisons de login et mot de passe dérobées lors de multiples infiltrations sur des sites tiers.
Troy Hunt, fondateur de HIBP, indique que 16,4 millions d’enregistrements sont totalement inédits, jamais vus dans d’autres fuites connues. L’effet domino est classique : des malwares installés sur des ordinateurs volent automatiquement les informations saisies par les utilisateurs, puis les revendent.
Gmail apparaît massivement dans la liste, ce qui a semé la panique. Mais Google insiste : « Il ne s’agit pas d’un piratage de Gmail. » Les comptes compromis proviennent d’autres plateformes où les utilisateurs ont réutilisé le même mot de passe.
Cette fuite augmente les risques de : vol de comptes, usurpation d’identité, arnaques, attaques automatisées de « credential stuffing ». Dans ce type d’attaque, les hackers testent des milliers de mots de passe sur divers services pour accéder au plus grand nombre de comptes possible. Les spécialistes rappellent : un mot de passe ne doit jamais être utilisé sur plusieurs sites.
Google recommande immédiatement : changer tout mot de passe exposé, activer la double authentification, utiliser les passkeys, système biométrique sans mot de passe. Les utilisateurs peuvent vérifier si leurs identifiants sont touchés via : HaveIBeenPwned.com, Google Password Manager. De nouvelles révélations pourraient tomber dans les prochains jours, au fur et à mesure de l’analyse des bases de données volées. À suivre de près.