Non, Gmail n'a pas subi de faille de sécurité massive

Publié le 28 octobre 2025 à 10:22 par Jérôme G.

Lire sur mobile

Une rumeur alarmante faisant état d'une fuite massive de comptes Gmail a semé la panique, obligeant Google à réagir fermement et à opposer un démenti. Il n'y a pas eu d'attaque ciblée récente et à succès contre le service de messagerie.

" Les informations faisant état d'une ' faille ' de sécurité de Gmail touchant des millions d'utilisateurs sont entièrement inexactes et incorrectes ", précise un porte-parole de Google. Un démenti d'une fuite de données ayant touché Gmail après une publication de Have I Been Pwned? (HIBP) ayant semé le trouble.

Quelle est l'origine de la confusion ?

L'alerte ne provient pas d'une nouvelle attaque, mais d'une mauvaise interprétation d'une base de données récemment ajoutée à HIBP. Troy Hunt, le créateur du service, a intégré une collection de 183 millions d'identifiants compromis, fournie par la plateforme de renseignement sur les menaces Synthient.

Ces identifiants n'ont pas été volés lors d'une unique violation de données, mais collectés au fil des années via diverses méthodes comme des malwares de type infostealers, des violations d'autres sites ou du phishing.

Des données pas vraiment nouvelles

Troy Hunt lui-même a expliqué que pour l'ensemble des données dans HIBP, 91 % des 183 millions d'identifiants étaient déjà connus et présents dans la base. Cela signifie que la grande majorité de ces informations circule, pour certaines, depuis des années.

Google souligne que les rapports inexacts " découlent d'une mauvaise interprétation des mises à jour continues des bases de données de vol d'identifiants ". Ce n'est pas la première fois en la matière.

Même si le contexte était différent, Google avait aussi démenti le mois dernier des affirmations au sujet d'une alerte de sécurité pour 2,5 milliards d'utilisateurs de Gmail.

Les conseils habituels de Google

Bien que la faille spécifique de Gmail soit fausse, Google rappelle que le vol d'identifiants reste un risque sérieux.

" Nous encourageons les utilisateurs à suivre les meilleures pratiques pour se protéger contre le vol d'identifiants, notamment en activant l'authentification à deux facteurs et en adoptant les clés d'accès (passkeys) comme alternative plus solide et plus sûre aux mots de passe, et en réinitialisant les mots de passe lorsqu'ils sont exposés dans de grands lots comme celui-ci. "