Un fichier issu d’infostealers agrège 8 293 990 couples login-mot de passe et associe, pour chaque entrée, le site de connexion correspondant. Un instantané brut des habitudes numériques et des angles morts découverts par le Service de Veille ZATAZ.
Une liste pirate attribuée à une collecte via infostealers regroupe 8 293 990 identifiants de connexion avec, pour chaque couple, le site de login associé. Le fichier pèse 535 463 359 octets et contient 7 362 208 mots de passe détectés, dont 2 847 803 distincts. Les adresses se concentrent surtout sur des domaines en .fr (194 119 occurrences), loin devant .ca (34 654), .be (18 139), .ch (7 805) et .lu (761). Les fournisseurs de mail dominent, avec hotmail.fr, yahoo.fr, outlook.fr, orange.fr ou live.fr. Des portails de services en ligne apparaissent aussi, signe d’un risque concret de compromission par réutilisation.
Le fichier pirate affiche 8 293 990 cibles potentielles avec les identifiants de connexion.
News & Réseaux Sociaux ZATAZ
Chaque vendredi midi, recevez gratuitement les actualités de la semaine.
Une cartographie brute des comptes visés
Le chiffre frappe d’abord par sa masse : 8 293 990 identifiants, et un fichier qui atteint 535 463 359 octets de données collectées via un infostealer. Mais l’élément le plus opérationnel est ailleurs : la présence, aux côtés des logins et mots de passe, du site de connexion associé. Autrement dit, la liste ne se contente pas d’aligner des adresses et des secrets, elle pointe directement vers l’interface où ces secrets peuvent être testés. Dans une logique de cybercriminalité, ce couplage réduit les frictions et accélère l’industrialisation des tentatives d’accès.
Les indicateurs fournis décrivent aussi la qualité du matériau. Sur 7 362 208 mots de passe détectés, 2 847 803 sont distincts. Le calcul est simple : la différence, 7 362 208 moins 2 847 803, donne 4 514 405 occurrences de doublons, signe d’une forte réutilisation ou de choix identiques répétés. Ce n’est pas une preuve d’accès réussi, mais c’est un multiplicateur de risque : un même mot de passe, croisé avec plusieurs services, devient un passe-partout potentiel.
La répartition par extensions renforce la lecture géographique : 194 119 occurrences en .fr, puis .ca à 34 654, .be à 18 139, .ch à 7 805 et .lu à 761. Ces volumes ne décrivent pas « qui” » a volé, mais « où » les comptes semblent rattachés par domaines, et donc quels écosystèmes linguistiques et administratifs peuvent être davantage exposés dans les campagnes de vérification automatisée.
Le haut du tableau est sans surprise dominé par les boîtes mail grand public, avec hotmail.fr (29 097), yahoo.fr (16 731), outlook.fr (12 700), orange.fr (10 931), live.fr (9 210), free.fr (8 889) ou sfr.fr (5 993). Le mail est souvent la clé de réinitialisation des autres comptes. Quand une messagerie est compromise, l’attaquant n’a plus seulement un accès, il peut tenter de reconstruire un portefeuille d’identités numériques, service après service, grâce aux liens de récupération.
Parmi les sites français les plus présents dans le document pirate.
Des portails sensibles, et la banalité des mots de passe
Au-delà des fournisseurs mail, la liste découverte par le Servide veille zataz cite des sites de connexion précis, dont plusieurs renvoient à des usages du quotidien. Parmi les occurrences, on voit notamment cfspart.impots.gouv.fr (1 006) et idp.impots.gouv.fr (581), auth.leboncoin.fr (987), authentification-candidat.pole-emploi.fr (924), assure.ameli.fr (916) et fc.assure.ameli.fr (546), login.orange.fr (882), subscribe.free.fr (864), doctolib.fr (786), mon-compte.bouyguestelecom.fr (764), mobile.free.fr (653), tf1.fr (631), signin.ebay.fr (575), pastel.diplomatie.gouv.fr (451), educonnect.education.gouv.fr (448) et idp.messervices.etudiant.gouv.fr (431). Pris ensemble, ces intitulés racontent un scénario crédible : des identifiants volés sur un poste infecté, puis réassemblés dans une liste prête à l’emploi, où l’attaquant n’a plus qu’à cibler les pages d’authentification correspondantes.
L’autre signal d’alerte tient dans les mots de passe les plus fréquents. Le podium est occupé par 123456 (7 636), 12345678 (4 820) et 123456789 (3 618) – No comment ! On retrouve aussi admin (1 410), password (1 367), 1234 (1 299) et 12345 (1 174). Même sans extrapoler au-delà des chiffres fournis, l’image est nette : une part non négligeable des comptes repose sur des secrets triviaux, donc testables à grande échelle. L’apparition d’un mot de passe non générique comme Elis**** (3 203) illustre, elle, un autre risque : des chaînes « personnelles » qui se répètent d’un service à l’autre, parce qu’elles sont faciles à retenir, donc faciles à recycler.
Ce type de fuite ne vaut pas seulement par les données exposées, mais par la mécanique de renseignement qu’elle offre : lier des identifiants à leurs portails de connexion transforme une simple collecte en liste d’attaque, et révèle, en creux, les habitudes de réutilisation qui font gagner du temps à l’adversaire.
