Un chercheur en cybersécurité a découvert un vaste référentiel accessible au public contenant des identifiants volés récoltés à partir de dispositifs personnels infectés par des logiciels malveillants. Jeremiah Fowler, un chercheur en sécurité reconnu, a mis en évidence un ensemble de données comprenant environ 149 millions de noms d’utilisateur et mots de passe collectés sur des smartphones et des ordinateurs. Les enregistrements couvrent une gamme de services, notamment des plateformes sociales comme Facebook et Instagram, des services de streaming tels que Netflix, et des comptes liés à la cryptomonnaie associés à l’échange Binance — dont au moins 420 000 identifiants étaient liés à des utilisateurs de Binance. La découverte souligne comment les logiciels malveillants de vol d’identifiants continuent d’infiltrer les appareils du quotidien, exposant les utilisateurs à des attaques de phishing, à la prise de contrôle de comptes et à des abus inter-plateformes.
Principaux enseignements
L’ensemble de données, rapporté par ExpressVPN, représente un dump d’identifiants provenant d’un malware infostealer plutôt qu’une violation des systèmes d’une seule entreprise.
Le nombre d’enregistrements par service est conséquent : 48 millions de comptes Gmail, 4 millions de comptes Yahoo, 17 millions de comptes Facebook, 6,5 millions d’Instagram, 3,4 millions de Netflix et 780 000 TikTok, parmi d’autres.
Binance est nommément mentionné dans le dump, avec au moins 420 000 identifiants associés à ses utilisateurs, ce qui met en évidence le risque pour les comptes de cryptomonnaie traités via des appareils compromis.
Les experts en sécurité soulignent qu’il s’agit d’une exposition au niveau des points d’accès — les identifiants ont été récoltés à partir des appareils des utilisateurs finaux, et non à partir de l’infrastructure interne de Binance.
Les chercheurs avertissent que des comptes liés à des gouvernements et des domaines .gov apparaissent dans l’ensemble de données, ce qui soulève des préoccupations concernant le phishing et l’usurpation d’identité, en plus des risques financiers.
Tickers mentionnés :
Contexte du marché : L’incident s’ajoute à une prise de conscience croissante que le vol d’identifiants reste un vecteur principal pour l’accès non autorisé, en particulier pour les utilisateurs de cryptomonnaie qui réutilisent souvent leurs mots de passe sur plusieurs services ou utilisent des appareils pouvant manquer de contrôles de sécurité robustes.
Sentiment : Neutre
Impact sur le prix : Neutre. Le rapport se concentre sur l’exposition des identifiants plutôt que sur des mouvements immédiats du marché ou des transferts d’actifs, bien qu’il souligne des risques de sécurité plus larges pour les échanges et portefeuilles.
Idée de trading (Pas de conseil financier) : Conserver. L’événement renforce la nécessité de pratiques d’authentification plus solides et d’une hygiène utilisateur renforcée, plutôt que de réagir de manière ad hoc aux fuites d’identifiants.
Contexte du marché : La sécurité des appareils des utilisateurs finaux et l’hygiène des identifiants continuent de façonner le risque dans l’écosystème crypto, avec les échanges et portefeuilles mettant l’accent sur la lutte contre le phishing, l’authentification multi-facteurs et l’éducation des utilisateurs comme lignes de défense essentielles.
Pourquoi cela importe
La divulgation d’un ensemble de données infostealer de 94 gigaoctets — contenant des centaines de millions d’identifiants — sert de rappel brutal que la sécurité périmétrique pour les utilisateurs de cryptomonnaie commence au niveau de l’appareil. La portée de l’ensemble de données est remarquable : des dizaines de millions de comptes Gmail, des millions de connexions sur les réseaux sociaux et des centaines de milliers d’identifiants liés à la cryptomonnaie associés à Binance. Bien que les chercheurs en sécurité insistent sur le fait qu’il ne s’agit pas d’une violation des systèmes de Binance, cette exposition souligne comment les attaquants opèrent dans la nature : en compilant d’immenses collections d’identifiants à partir d’appareils compromis, puis en tentant de réutiliser ces identifiants sur plusieurs sites ou via des campagnes de phishing pour en tirer profit.
Fowler met en avant le risque systémique : les logiciels malveillants de vol d’identifiants prospèrent là où les appareils utilisent des logiciels obsolètes ou une hygiène de sécurité faible. « Ce n’est pas la première fois que je découvre un ensemble de données de ce genre, et cela ne fait que souligner la menace mondiale que représente le malware de vol d’identifiants », a-t-il écrit dans le post d’ExpressVPN. « Les comptes de services financiers, portefeuilles crypto ou comptes de trading, ainsi que les accès bancaires et de cartes de crédit, figuraient également dans l’échantillon limité de données que j’ai examiné. » La diversité des services représentés indique que les attaquants ne cherchent pas seulement à compromettre des comptes sociaux ou de streaming ; ils cherchent toute porte d’entrée pouvant débloquer des actifs financiers ou des données personnelles sensibles.
La composition de l’ensemble de données inclut un mélange de comptes consommateurs (Gmail, Yahoo, Facebook, Instagram, Netflix, TikTok) ainsi que de services financiers et liés à la cryptomonnaie. Pour les utilisateurs de crypto, le risque est double : compromission directe des comptes et potentiel de campagnes de phishing déguisées en communications légitimes de plateformes de confiance. En pratique, un seul compte Gmail ou réseau social compromis peut être exploité pour réinitialiser les mots de passe sur des échanges, portefeuilles ou services liés, permettant des transferts non autorisés ou la collecte d’identifiants à grande échelle. L’exposition met en lumière un thème récurrent dans la sécurité crypto : les attaquants privilégient des voies d’accès peu frictionnelles qui évitent la friction utilisateur, surtout lorsque les appareils restent vulnérables aux infections par malware.
En plus du risque immédiat pour les comptes individuels, le rapport note un nombre préoccupant d’identifiants liés à des domaines gouvernementaux et des adresses .gov. Bien que ces entrées soient peut-être moins directement monétisables que des comptes financiers, elles amplifient le paysage de menace de phishing et d’usurpation d’identité. Les attaquants peuvent usurper l’identité d’agences gouvernementales dans des campagnes d’ingénierie sociale, augmentant la confiance et la probabilité que l’utilisateur se conforme à des demandes frauduleuses. La leçon plus large est claire : la sécurité doit être globale — couvrant les appareils, l’authentification, la sensibilisation des utilisateurs et une réponse rapide aux expositions d’identifiants.
La communauté de la sécurité crypto a tiré la sonnette d’alarme depuis des années concernant les familles de malwares infostealer — logiciels malveillants qui extraient discrètement les identifiants sauvegardés sur des appareils infectés. Un rapport récent de Kaspersky sur une famille plus récente d’infostealers — souvent décrite comme Stealka — illustre comment les attaquants basculent entre la livraison de trojans ciblant les portefeuilles, des extensions de navigateur et des modules de minage crypto, tout en se faisant passer pour des mods ou cracks légitimes. La portée de ces malwares couvre plus de 100 navigateurs et cible des dizaines d’échanges, dont Binance, Coinbase, Crypto.com, SafePal, Trust Wallet, MetaMask, et d’autres. Ces développements soulignent un thème central : à mesure que la surface d’attaque s’élargit, l’impératif pour des défenses robustes au niveau des points d’accès et des pratiques de mot de passe plus sûres devient crucial.
Un site web factice prétendant offrir des scripts Roblox, Source : Kaspersky
Compte tenu de l’ampleur des données et de leur diversité de cibles, les équipes de sécurité insistent sur des approches de prévention avant tout. La réponse de Binance, décrite dans un article de blog de mars 2025, illustre comment les échanges deviennent de plus en plus proactifs : surveillance des discussions sur le dark web pour repérer des identifiants compromis, alertes aux utilisateurs concernés, forçage de la réinitialisation des mots de passe et révocation des sessions compromises. Bien que Binance affirme que cet incident résulte d’un compromis d’appareil utilisateur plutôt que d’une violation de ses systèmes internes, cet épisode renforce un principe clé en cybersécurité : même les défenses les plus solides d’un échange ne sont aussi fortes que le maillon le plus faible — souvent l’appareil et les habitudes de l’utilisateur.
Pour réduire le risque, Fowler et ses collègues chercheurs préconisent une sécurité en couches combinant des outils antivirus et anti-malware robustes, des mises à jour régulières du système, une authentification multi-facteurs basée sur le matériel et une hygiène rigoureuse des mots de passe. L’objectif est de détecter rapidement toute activité suspecte, de bloquer les accès non autorisés et de perturber les workflows des attaquants avant que des fonds ne soient déplacés ou que des comptes ne soient exfiltrés. À mesure que l’écosystème crypto évolue, l’accent sur la sécurité des points d’accès devrait s’intensifier, stimulant la demande pour une meilleure éducation des utilisateurs, des standards d’authentification renforcés et des architectures de portefeuilles et d’échanges plus résilientes.
Ce qu’il faut surveiller ensuite
Suivre toute mise à jour d’ExpressVPN concernant le dataset de 149 millions d’infostealers et toute nouvelle analyse de la composition des données.
Surveiller les confirmations supplémentaires de Binance concernant les conseils aux utilisateurs, les campagnes de réinitialisation de mots de passe et la révocation de sessions en réponse aux fuites d’identifiants.
Analyser les plongées plus approfondies des chercheurs en sécurité sur les détails de l’infographie, y compris les implications inter-services potentielles et les relations entre comptes compromis.
Évaluer l’impact de familles d’infostealers plus récentes comme Stealka sur les portefeuilles crypto et les extensions de navigateur, ainsi que tout changement dans les outils de défense ou les standards de sécurité du marché.
Sources & vérification
Blog d’ExpressVPN : analyse de Jeremiah Fowler sur le dataset de 149 millions d’infostealers et les services affectés.
Blog de sécurité de Binance (mars 2025) : déclarations sur la surveillance des identifiants, alertes aux utilisateurs, campagnes de réinitialisation de mots de passe et révocation de sessions suite à l’incident.
Recherche de Kaspersky : analyse de Stealka et de sa cible sur les portefeuilles, extensions de navigateur et échanges, incluant une large portée sur plusieurs navigateurs et plateformes.
Couverture de Cointelegraph : discussion sur des incidents liés, notamment la violation de SwapNet et d’autres événements de sécurité crypto mentionnés dans la couverture.
Exposition des identifiants et paysage de menace en évolution
L’ensemble de données exposé met en évidence une vulnérabilité persistante : les appareils des consommateurs utilisant des logiciels non patchés et des pratiques de sécurité faibles restent des terrains fertiles pour le vol d’identifiants. La diversité des services représentés permet aux attaquants de tenter des exploits inter-services, des campagnes de phishing et des tactiques d’ingénierie sociale qui atteignent les utilisateurs à travers l’écosystème crypto et Internet traditionnel. Bien que Binance et d’autres plateformes insistent sur la sécurité de leurs systèmes principaux, ces incidents illustrent le risque constant lié aux points d’accès finaux et la nécessité de stratégies de défense en profondeur intégrant sécurité des appareils, renforcement de l’authentification et sensibilisation des utilisateurs.
Ce que cela signifie pour les utilisateurs et les développeurs
Pour les utilisateurs individuels, la leçon est simple mais impactante : réaffirmer l’importance d’utiliser des mots de passe uniques et forts pour chaque service, activer l’authentification multi-facteurs matérielle si possible, et maintenir à jour tous les logiciels de sécurité sur leurs appareils. Pour les développeurs et opérateurs dans l’espace crypto, le message est double : concevoir des flux d’authentification résistants au credential stuffing et à la réutilisation des mots de passe, et investir dans des campagnes d’éducation utilisateur insistant sur l’hygiène des identifiants au-delà de l’écran de connexion. Dans un paysage où les attaquants utilisent de plus en plus des services légitimes comme tremplins, la protection robuste de l’identité devient un élément fondamental de confiance et de résilience dans les écosystèmes crypto.
Cet article a été initialement publié sous le titre 149M Infostealer Data Dump Reveals Crypto Users on Crypto Breaking News – votre source de confiance pour l’actualité crypto, Bitcoin et mises à jour blockchain.
