Ressources
chevron blanc pointant vers la droite
Cybersécurité et RGPD

Fuite de 16 milliards d'identifiants : les limites du RGPD face aux infostealers

L'exposition de 16 milliards d'identifiants par des infostealers révèle les limites du RGPD face aux logiciels malveillants qui ciblent directement les utilisateurs finaux. Décryptage des défis juridiques et des réponses technologiques.

Publié par
Emma Hanoun
.
08 Jan 2026

16 milliards d'identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

L'exposition de 16 milliards d'identifiants de connexion, révélée par l'équipe de recherche de Cybernews en juin 2025, constitue l'une des plus importantes fuites de données personnelles jamais documentées1. Cette méga-fuite, fruit de l'activité proliférante des logiciels malveillants de type infostealer (voleur d'information), questionne l'efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelle se succèdent

Face à la sophistication croissante des cyberattaques et à l'évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko2, et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB3 de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.

Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour l'exfiltration silencieuse de données, en infectant directement les terminaux des utilisateurs. Une fois installés (généralement via un faux document, une application piégée ou un logiciel piraté), ils aspirent tout ce qui est stocké localement : URL de connexion, identifiants, mots de passe sauvegardés, données de formulaires auto-complétés, cookies de session, tokens d’authentification, données bancaires ou portefeuilles de cryptomonnaie, etc. Contrairement aux ransomwares (en français, rançongiciels) qui paralysent les systèmes, le mode opératoire de ces attaquants repose sur l'ingénierie sociale et l'exploitation de vulnérabilités humaines : diffusion via des logiciels piratés, documents PDF infectés, modifications de jeux vidéo ou applications factices.

La présence de cookies de session et de tokens d'authentification permet aux pirates de contourner les protections habituelles telles que la double authentification. Par exemple, grâce à ces métadonnées volées, un pirate peut se connecter à un compte bancaire, à une messagerie (Gmail, Outlook, …), ou à une plateforme de paiement (de type PayPal) sans avoir à saisir le mot de passe ni à franchir une authentification à deux facteurs. Il se fait passer pour l’utilisateur légitime, car il dispose des « clés » de session actives. Au surplus, la fraîcheur des données qui, contrairement aux compilations historiques recyclant d'anciennes fuites, proviennent d'activités récentes, confère une valeur exploitable immédiate aux cybercriminels. La démocratisation de ces outils sur les forums du dark web, avec l'émergence de plateformes de « Malware-as-a-Service » (MaaS) et des solutions clés en main comme RedLine, Raccoon ou Vidar, a considérablement abaissé les barrières techniques d'entrée pour les cybercriminels, permettant à des acteurs moins techniques de mener des campagnes sophistiquées.

Responsabilité : le défi de la territorialité

Cette accessibilité explique la prolifération exponentielle des attaques et la multiplication des datasets, ou jeux de données, exposés. Cette industrialisation du cybercrime pose des défis inédits aux autorités de régulation et aux forces de l'ordre.

La fuite de 16 milliards d'identifiants cristallise plusieurs enjeux juridiques majeurs. D'abord, la question de la territorialité du RGPD face à des attaques globales menées depuis des juridictions échappant au contrôle européen. En effet, si le RGPD établit son champ d'application territorial4, son effectivité reste conditionnée à la coopération internationale et aux mécanismes d'entraide judiciaire. Ensuite, la problématique de l'attribution de responsabilité lorsque les données sont exfiltrées depuis le terminal personnel de l’utilisateur infecté et non d’une plateforme attaquée. De plus, la chaîne de responsabilité devient complexe à établir, particulièrement lorsque les données sont agrégées par des tiers non identifiés avant leur exposition publique. L'ampleur de cette violation interroge donc l'adéquation des mécanismes de notification prévus par le RGPD5, conçus pour des incidents plus circonscrits.

Nouvelles attaques et limites du RGPD

L’article 32 du règlement européen impose aux responsables de traitement et aux sous-traitants la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette obligation générale se décline en plusieurs exigences spécifiques : pseudonymisation et chiffrement des données, capacité de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes, capacité de rétablir la disponibilité et l'accès aux données en temps utile en cas d'incident, et procédure de test et d'évaluation régulières de l'efficacité des mesures.

Face à la sophistication des infostealers, ces obligations révèlent leurs limites structurelles. Par exemple, le chiffrement des données, bien qu'obligatoire, ne protège pas contre l'exfiltration d'identifiants stockés en local sur les postes utilisateurs. Dans le même sens, la résilience des systèmes devient illusoire lorsque l'attaque cible directement les terminaux des utilisateurs légitimes, en amont de tout système de protection centralisé. Cette inadéquation soulève la question de l'interprétation extensive de l'article « Sécurité du traitement »6 : les autorités de contrôle pourraient-elles exiger des responsables de traitement qu'ils déploient des mesures de protection sur les terminaux de leurs utilisateurs ?

Le principe d’accountability consacré par le RGPD7 impose aux responsables de traitement de démontrer leur conformité aux principes de protection des données. Cette obligation positive implique une démarche proactive de sécurisation. Dans le contexte des infostealers, cette responsabilisation interroge l'étendue des obligations des responsables de traitement : doivent-ils anticiper et prévenir les comportements à risque de leurs utilisateurs en déployant des outils de détection sur les terminaux ? L'obligation de sécurité s'étend-elle à la sensibilisation et à la formation des personnes concernées ? La jurisprudence européenne tend vers une interprétation extensive de ces obligations. L'arrêt « Fashion ID »8, rendu en juillet 2019 par la Cour de justice de l’Union européenne (CJUE), a établi que la responsabilité peut s'étendre au-delà du contrôle direct des données, ouvrant la voie à une responsabilisation accrue des acteurs numériques face aux risques indirects.

L'analyse de cette méga-fuite révèle donc un décalage croissant entre la sophistication des vecteurs d'attaque et l'efficacité des obligations réglementaires. Les infostealers exploitent principalement les vulnérabilités humaines et les faiblesses des terminaux utilisateurs, domaines où l'action des responsables de traitement reste limitée. Le RGPD, conçu dans une logique de protection des données au niveau des serveurs et des systèmes d'information centralisés, peine à appréhender les attaques ciblant directement les utilisateurs finaux. Cette limitation structurelle nécessite une évolution du cadre réglementaire vers une approche plus holistique de la cybersécurité, intégrant la sécurité des terminaux et la sensibilisation des utilisateurs.

L'adoption généralisée de technologies d'authentification avancées devient un impératif face à l'inefficacité démontrée des mots de passe traditionnels. Les passkeys (clés d’accès) émergent comme une solution technologique robuste – adoptés notamment par Apple, Google et Microsoft. Cette technologie est basée sur les standards FIDO2 (Fast Identity Online 2), portés par la FIDO Alliance, et WebAuthn (Web Authentication), standardisé par le W3C9, la génération de paires de clés cryptographiques : une clé privée conservée sur le terminal de l'utilisateur et une clé publique stockée par le service. L'authentification s'effectue par signature cryptographique, sans transmission d'informations sensibles, éliminant les vulnérabilités inhérentes aux mots de passe classiques. En effet, cette architecture rend impossible la réutilisation des identifiants entre services et immunise contre les attaques de phishing (hameçonnage).

Aussi, l'authentification à deux facteurs (2FA) ou multi-facteurs (MFA) – bien qu’imparfaite en présence de cookies de session et de tokens d’authentification dans les données volées, constitue une mesure de sécurité essentielle face aux menaces contemporaines, et sa généralisation est également une réponse technologique prometteuse. L'évolution vers des méthodes d'authentification continue, analysant en permanence le comportement de l'utilisateur (biométrie comportementale, analyse des patterns de navigation), pourrait offrir une protection plus robuste contre ces attaques sophistiquées. L'imposition de standards minimaux d'authentification pour certains services sensibles, sur le modèle de la directive européenne sur les services de paiement de novembre 2015, dite DSP210, constituerait une réponse proportionnée aux risques identifiés.

Renforcer les standards de sécurité

La fuite de 16 milliards d'identifiants révèle les limites du cadre réglementaire actuel face à l'évolution des cyberattaques qui s’en prennent directement aux terminaux des utilisateurs, contrairement à des vols non moins massifs de données personnelles visant un système central – comme ce fut le cas pour 19,2 millions d’abonnés de Free (Iliad) en octobre 2024, dont 5,1 millions de coordonnées bancaires. L’enquête et l’instruction suivent leur cours. Si le RGPD a considérablement renforcé la protection des données personnelles, son efficacité reste conditionnée à l'adaptation des pratiques technologiques et organisationnelles aux nouveaux types d’attaques de plus en plus sophistiqués.

[1] https://lc.cx/Cybernews300625

[2] L’Ukrainien Volodymyr Diachenko, dit Bob.

[3] Mother of All Breaches (MOAB).

[4] Art. 3 du RGPD.

[5] Art. 33 du RGPD.

[6] Art. 32 du RGPD.

[7] Art. 5(2) du RGPD.

[8] https://lc.cx/FashionID

[9] World Wide Web Consortium (W3C).

[10] https://lc.cx/DSP2

Quand la conformité devient stratégique, l’expérience du régulateur devient déterminante

Odoné met à profit plus de 20 ans d’expérience pour offrir aux organisations les plus exigeantes un accompagnement d’excellence, conjuguant rigueur, pragmatisme et accessibilité.

Prendre RDV
flèche noire pointant vers la droiteflèche noire pointant vers la droite
Vous avez aimé cet article ?

Partagez-le avec vos collègues ou amis :
Logo bleu FacebookLogo bleu LinkedinLogo bleu X