Des millions d’adresses e-mail et de mots de passe ont été rendus publics dans le cadre d’une opération policière internationale. BEE SECURE explique les circonstances, les risques potentiels, et les mesures à prendre pour protéger vos comptes.

Que s’est-il passé?

Dans le cadre de la coopération policière internationale « Operation Endgame 2.0 », plusieurs réseaux cybercriminels ont été démantelés. Ces groupes diffusaient des logiciels malveillants destinés à collecter des adresses e-mail, mots de passe et autres données personnelles à partir d’appareils infectés.

Plus de 15 millions d’adresses e-mail et 43 millions de mots de passe ont été récupérés. Les données ont été intégrées à la plateforme Have I Been Pwned (HIBP), sur laquelle les internautes peuvent vérifier si leurs propres données sont concernées.

Comment ces données tombent-elles entre de mauvaises mains?

Dans ce cas, les données volées proviennent d’ordinateurs infectés par un malware. Ce dernier peut être installé par le biais de pièces jointes dans des e-mails préparés ou des téléchargements depuis des liens frauduleux. Une fois actif, il recherche des identifiants enregistrés, cookies et autres données sensibles sur l’ordinateur de la victime, puis les transmet à des cybercriminels, qui les exploitent ou les revendent.

En général, les mots de passes peuvent également être volées par des e-mails de phishing, qui se font passer pour des e-mail authentiques invitant l’utilisateur à visiter un site qui demandera son mot de passe.

Finalement, des fuites peuvent aussi provenir de serveurs piratés, lorsque des services en ligne sont la cible d’attaques. Ces incidents peuvent exposer des bases complètes de données utilisateurs, contenant e-mails, mots de passe, numéros de téléphone, voire informations de paiement.

Quels sont les risques liés à ces fuites?

• Accès non autorisé à vos comptes en ligne

Les criminels utilisent les identifiants divulgués pour tenter d’accéder à des comptes – notamment si le même mot de passe est utilisé sur plusieurs sites. Cela peut entraîner des vols de données, des usages abusifs de comptes ou des pertes financières

• Phishing et Smishing

Les adresses e-mail et numéros de téléphone figurant dans les fuites sont souvent utilisés pour envoyer des messages de phishing ou des SMS frauduleux (smishing). Ces messages imitent des services connus et incitent à cliquer sur des liens ou à fournir des informations confidentielles.

Si seule votre adresse e-mail ou votre numéro de téléphone est concerné, il n’est pas possible de les retirer des bases compromises. La présence de votre adresse e-mail dans une base compromise n’est pas en soi dramatique.
Il faut s’attendre à recevoir davantage de messages frauduleux, spams ou appels indésirables à l’avenir.

• Usurpation d’identité et fraude

Des informations personnelles comme le nom, l’adresse ou l’e-mail peuvent être utilisées pour créer de faux profils, tromper des contacts ou commettre des escroqueries en votre nom.

Comment se protéger?

1. Vérifier votre adresse e-mail sur Have I Been Pwned

Rendez-vous sur www.haveibeenpwned.com pour vérifier si votre adresse e-mail figure dans une fuite connue – y compris celle de l’opération Endgame. Le site permet aux internautes de vérifier si leur adresse e-mail figure dans des fuites de données connues. Il est également possible d’y contrôler si des mots de passe spécifiques ont été compromis – toutefois, cette vérification se fait à vos propres risques. BEE SECURE ne peut garantir la sécurité de ce service externe.

2. Activer les notifications

La fonction « Notify Me » vous alerte si votre e-mail apparaît dans une future fuite.

3. Modifier les mots de passe – si votre mot de passe a été compromis

Si un mot de passe vous concernant figure dans une fuite, changez-le immédiatement, surtout s’il est encore utilisé. Malheureusement, de nombreuses personnes utilisent le même mot de passe sur plusieurs plateformes.
Dans ce cas, il est essentiel de le changer partout où il est utilisé. Pour créer des mots de passe sûrs et uniques, consultez les conseils de BEE SECURE : https://www.bee-secure.lu/fr/golden-rules//#n1-utiliser-un-mot-de-passe-sur

4. Activer l’authentification à deux facteurs (2FA)

Avec la double authentification, même si un mot de passe est volé, l’accès reste bloqué sans un code supplémentaire ou une validation via une app.

5. Utiliser des Passkeys

Les Passkeys représentent une alternative moderne et sécurisée aux mots de passe.
Ils sont nettement plus résistants aux attaques de phishing ou de vol d’identifiants.

Cependant, aucune méthode n’est totalement infaillible.
Il est donc important de rester vigilant et de combiner plusieurs mesures de sécurité (appareils sécurisés, mises à jour, 2FA, etc.).

BEE SECURE propose aussi une série d’astuces pratiques pour mieux protéger votre vie numérique, vos appareils et vos données contre les arnaques et les dangers en ligne au quotidien : www.bee-secure.lu/fr/kyss

En cas de doute, ou si vous pensez être victime d’un vol de données ou d’une tentative de fraude, la BEE SECURE Helpline vous conseille de manière confidentielle et gratuite au 8002 1234 ou via le formulaire en ligne.