16 milliards, 50 milliards, 200 milliards

Jouer sur les chiffres de diffusion de données présumées piratées sans se rendre compte que tout ceci n’est que du fake ! Retour sur la présumée fuite de 16 milliards de données Google, Apple, Facebook, Oui-Oui à la plage !

Dernièrement, des posts sur les réseaux sociaux annonçaient le piratage de 16 milliards d’identifiants de connexion. Le communiqué de presse, d’où tout est parti, n’avait pas oublié d’afficher des marques prestigieuses comme Facebook, Gmail, etc. Il n’aura pas fallu longtemps pour voir surgir tous les analystes du dark web expliquant le danger de cette fuite inédite. Inédite ? Loin de là. Les 16 milliards sont l’agglomération de logs offerts sur Telegram (avant la fermeture des channels par les autorités), d’échantillons gratuits diffusés par des groupes tels que Red, Alien, etc.

Par exemple, en début d’année, les données volées par le groupe ALIEN (datant de 2018 à 2025) contenaient plus de 20 milliards d’identifiants de connexion. ZATAZ a repéré, la semaine dernière, la vente d’un « pack » de logs d’infostealers de… 200 milliards de lignes. Bref, ces données proviendraient de malwares voleurs d’informations (infostealers) — des journaux extraits d’ordinateurs infectés, regroupés et brièvement exposés en ligne.

Et non, vous n’avez pas été piraté. Non, les marques citées n’ont pas été infiltrées. Ce sont les internautes qui ont été piégés, et donc leurs données ont été exfiltrées par les infostealers. Des identifiants recyclés : anciennes fuites, listes combinées, doublons ; des entrées manipulées ou inventées pour gonfler les chiffres ; des données anciennes, déjà publiques, comme celles de la fuite ALIEN (23 milliards d’entrées).

En réalité, pour atteindre 16 milliards d’identifiants uniques et récents, il faudrait environ 320 millions d’ordinateurs infectés — ce qui est hautement improbable. Preuve de la méconnaissance totale de ces diffuseurs de posts à la sauce « ALERT ».

Dans les données, il y aurait des accès Telegram. Pour rappel, Telegram utilise des codes SMS à usage unique, pas de mots de passe classiques. Il n’y a donc pas vraiment d’identifiants au sens habituel. Ce sont probablement des tokens de session Telegram ou des liens de connexion volés, mais pas de mots de passe réels.

Si ZATAZ devait vous parler de fuite, il vous montrerait ce lieu de stockage où plus de 4 000 bases de données (de 2017 à 2025) attendent le malveillant. Soit grosso modo 40 000 000 000 milliards de lignes diffusant la vie numérique de personnes inscrites sur les sites piratés.

Le service de veille de ZATAZ pourrait aussi vous montrer ce « bot », un robot accessible sur invitation. Un bot premium de recherche d’identifiants compromis qui donne accès à des données de connexion piratées de milliards d’individus [je vous donne le chiffre effarant dans la vidéo]. Sa base de données est mise à jour quotidiennement avec de nouveaux logs.

Un business découpé en sections par le pirate marketeur : une fonction de vérification (Checker) permet de vérifier des comptes fonctionnels (entre 20 et 250 $). Chaque crédit permet d’obtenir un compte fonctionnel vérifié, tous domaines confondus. L’acquéreur ne reçoit que les 5 premiers résultats d’une recherche. La version « Abonnement Premium » (entre 25 et 90 $) permet aux membres premium de recevoir tous les identifiants correspondants, y compris des logs privés exclusifs.

Dans son infiltration, le service de veille ZATAZ a pu repérer 210 724 316 309 lignes (mise à jour toutes les 5 minutes) ; lignes privées : 6 882 554 171 (mise à jour toutes les heures).

Comment est-ce possible d’avoir autant de données ? Quand un internaute est infiltré par un infostealer, l’outil malveillant va extraire l’ensemble des URL, mots de passe, logins (entre autres). Bilan : imaginez le nombre de données sensibles dans votre machine qui pourraient rejoindre ce genre de base de données pirate : 100, 500, 1 000 ?

À noter que les derniers infostealers repérés par ZATAZ enregistrent de petits audios des machines infiltrées, histoire d’écouter l’environnement. De base, un stealer prend aussi des captures d’écran, comme je vous l’avais montré… il y a une quinzaine d’années.