Google a tenu à rassurer ses utilisateurs à travers le monde, après la diffusion d’informations concernant une fuite massive de données touchant 183 millions de comptes, dont plusieurs associés au service Gmail, révélée en octobre 2025.
Dans un communiqué officiel, l’entreprise a précisé que l’incident ne résulte d’aucune intrusion directe dans ses serveurs ni d’un piratage de Gmail, mais provient de la compilation de données volées sur d’autres sites via des logiciels malveillants appelés « infostealers », utilisés par des acteurs malveillants pour dérober des mots de passe et des informations personnelles.
Selon le site spécialisé en cybersécurité Have I Been Pwned (HIBP), à l’origine de l’alerte, près de 3,5 téraoctets de données, soit environ 23 milliards d’enregistrements, ont été analysés par la société de sécurité Synthient sur une période d’un an. Ces fichiers contiennent des adresses e-mail et des mots de passe dérobés à partir de diverses plateformes et sites web.
Le fondateur de HIBP, Troy Hunt, a indiqué qu’environ 16,4 millions de ces enregistrements sont totalement inédits, n’ayant jamais été repérés dans d’autres fuites connues. Les services de messagerie les plus touchés sont Gmail, Outlook et Yahoo.
Face à la vague d’inquiétude qui a envahi les réseaux sociaux, Google a insisté :« Nos systèmes n’ont pas été piratés. »
La firme américaine invite néanmoins les utilisateurs à modifier immédiatement leurs mots de passe compromis, à activer la vérification en deux étapes, et à adopter le système « Passkeys », plus sûr que les mots de passe traditionnels.
Les experts en cybersécurité mettent en garde contre le risque d’attaques de type « credential stuffing », qui consistent à tester automatiquement les combinaisons d’adresses e-mail et de mots de passe sur différents services en ligne.
Les internautes peuvent vérifier si leurs identifiants figurent parmi les données compromises via le site Have I Been Pwned ou à travers le Gestionnaire de mots de passe Google (Google Password Manager), qui avertit en cas de mot de passe faible ou exposé.
