Gmail : Google dément une fuite massive — la panique provient d’une mauvaise interprétation de données

Plusieurs médias ont relayé le 27 octobre 2025 une alerte selon laquelle une faille de Gmail aurait permis le vol de données de plus de 180 millions de comptes. Google a fermement démenti cette information, expliquant que la rumeur résultait d’une mauvaise interprétation de bases de données d’identifiants volés et non d’une brèche récente ciblant Gmail.

Ce qui s’est passé

Des titres de presse (Forbes, The Daily Mail, The Independent, The New York Post) ont repris des chiffres issus d’une collection d’identifiants mise à jour dans la base Have I Been Pwned (HIBP), ce qui a été interprété à tort comme la preuve d’une brèche de Gmail.

Google a réagi sur le réseau X en déclarant que « les informations faisant état d’une ‘faille’ de sécurité de Gmail touchant des millions d’utilisateurs sont entièrement inexactes et incorrectes ». Selon l’entreprise, il s’agit d’une confusion liée à l’agrégation de données volées provenant de diverses sources, et non d’une nouvelle attaque visant Gmail spécifiquement.

Origine des données

Troy Hunt, créateur de Have I Been Pwned, a indiqué avoir ajouté une collection de 183 millions d’identifiants fournie par la plateforme Synthient. Ces identifiants proviennent notamment d’infostealers, de kits d’hameçonnage et d’autres formes de logiciels malveillants.

Selon Troy Hunt, la plupart de ces identifiants étaient déjà répertoriés dans la base HIBP. Environ 9 % de la collection — soit près de 16,5 millions de comptes — ont été enregistrés pour la première fois par HIBP. Il a précisé que cette collection reflète des années de vols d’informations et ne désigne pas une brèche récente ciblant un service en particulier, même si « Gmail est très fréquemment mentionné » dans ces ensembles de données.

Les recommandations de Google

Google a rappelé des bonnes pratiques pour renforcer la sécurité des comptes :

• Activer l’authentification à deux facteurs (2FA) ;
• Préférer les clés d’accès (passkeys) lorsque c’est possible, comme alternative plus sûre aux mots de passe ;
• Réinitialiser les mots de passe lorsqu’ils sont exposés dans de grands ensembles de données.

Google précise par ailleurs que Gmail prend des mesures lorsque de gros lots d’informations d’identification apparaissent publiquement, en aidant les utilisateurs affectés à réinitialiser leurs mots de passe et à resécuriser leurs comptes.

Que faire si vos identifiants apparaissent dans une fuite ?

• Vérifier si votre adresse figure sur une base comme Have I Been Pwned ;
• Changer immédiatement le mot de passe du compte concerné et activer la 2FA ;
• Éviter de réutiliser le même mot de passe sur plusieurs services ;
• Privilégier les passkeys ou les gestionnaires de mots de passe pour générer et stocker des mots de passe uniques.

En l’absence d’alerte spécifique de Google, il reste utile de surveiller régulièrement l’état de ses comptes et de suivre les recommandations de sécurité.