200 millions de comptes X divulgués dans une énorme violation de données — 2,8 milliards d'ID Twitter exposés
April 05, 2025
X, anciennement connu sous le nom de Twitter, fait face à l'une de ses crises de cybersécurité les plus alarmantes à ce jour. Un passionné de données autoproclamé a publié ce qui est censé être une collection de plus de 200 millions de dossiers d'utilisateurs, liée à 2,8 milliards d'ID d'utilisateurs Twitter uniques, dans ce qui pourrait être la plus grande fuite de ce type dans l'histoire des médias sociaux.
Une Nouvelle Fuite Basée sur une Ancienne Exploit
L'incident remonte à une vulnérabilité signalée pour la première fois au début de 2022 par le biais du programme de récompenses en cas de bogues de Twitter. Ce défaut a permis aux acteurs malveillants de récupérer des données privées d'utilisateurs — y compris des adresses e-mail et des numéros de téléphone — simplement en les saisissant dans le système. Avant que le problème puisse être corrigé, les attaquants avaient déjà commencé à collecter et à vendre ces données en ligne.
Twitter a reconnu la violation en juillet 2022, déclarant :
« Après avoir examiné un échantillon des données disponibles à la vente, nous avons confirmé qu'un acteur malveillant avait profité du problème avant qu'il ne soit traité. »
Maintenant, en 2025, ce même jeu de données aurait refait surface — amélioré et élargi avec des informations plus récentes — et publié dans son intégralité par un utilisateur qui se fait appeler ThinkingOne.
200 Millions d'Utilisateurs, 34 Go de Données — Offerts Gratuitement
Selon un post sur un forum de violations de données bien connu, ThinkingOne a publié un fichier CSV de 34 Go contenant 201 186 753 dossiers, chacun avec une combinaison de données publiques et privées. Cela inclut : noms d'utilisateur X et ID d'utilisateur, noms complets et détails de profil, localisations, adresses e-mail, nombres de followers et plus encore.
Le groupe de cybersécurité Safety Detectives a confirmé qu'une grande partie des données semble authentique. Leur analyse a trouvé un formatage cohérent et des dossiers correspondants lorsqu'ils ont été comparés avec des informations utilisateur connues.
ThinkingOne Prend la Parole
Dans un échange d'emails avec le contributeur de cybersécurité de Forbes, Davey Winder, le divulgueur a précisé qu'il ne se considère pas comme un hacker, mais plutôt comme un “passionné de données” qui opère dans les limites légales.
« Je ne me considère pas comme un hacker, » a déclaré ThinkingOne. « Je partage simplement ce qui était déjà disponible — compilé et nettoyé. Mon objectif n'est pas de nuire. C'est de sensibiliser. »
Ils ont également lâché une bombe :
« La vraie histoire ici est que 2,8 milliards d'ID Twitter ont été exfiltrés. C'est bien au-delà du nombre d’utilisateurs actifs. Comment quelqu'un a-t-il pu énumérer chaque ID Twitter à moins d'avoir un accès interne ? »
Cela soulève des questions sérieuses quant à savoir si la violation initiale était plus importante que ce qui avait été rapporté au départ — ou si plusieurs fuites de données avaient été combinées.
X Pas Encore Répondu
Selon ThinkingOne, plusieurs tentatives ont été faites pour alerter X avant de publier le jeu de données, mais ils affirment n'avoir reçu aucune réponse. À l'heure où nous écrivons, X n'a pas publié de déclaration officielle sur la fuite ou ses implications pour les utilisateurs concernés.
Lors d'incidents de sécurité précédents, la direction de Musk a généralement cherché à contrôler les dommages par le biais de publications sur X ou de brèves déclarations à la presse. Cependant, aucune déclaration publique n'a été faite dans ce cas.
Ce n'est Pas la Première Crise de Cybersécurité de X
Cette violation de données fait suite à une série de problèmes de sécurité pour la plateforme :
- En mars 2024, la plateforme a planté lors du lancement de la campagne présidentielle de Ron DeSantis sur Twitter Spaces.
- En août 2024, X a subi une panne majeure qui a affecté plus de 60 % des utilisateurs.
- Il y a à peine quelques semaines, en mars 2025, Musk a affirmé qu'un "énorme cyberattaque" était responsable d'une panne temporaire.
- Des rapports sur des campagnes de phishing pour voler des mots de passe X ont également circulé tout au long de 2024 et 2025.
Ces incidents ont soulevé des inquiétudes quant à savoir si l'équipe technique de la plateforme est suffisamment dotée en ressources et structurée pour faire face à des menaces de grande envergure.
Que Doivent Faire les Utilisateurs de X Maintenant ?
Bien que X n'ait pas confirmé la fuite, il est conseillé aux utilisateurs de prendre immédiatement des précautions, notamment :
- Changer les mots de passe de leur compte X
- Activer l'authentification à deux facteurs (2FA)
- Surveiller les comptes e-mail associés à X pour une activité inhabituelle
- Être prudent face aux tentatives de phishing mentionnant des noms d’utilisateur X ou des nombres de followers
Étant donné la nature de la violation, les utilisateurs affectés peuvent être à risque de spam, d'usurpation d'identité ou d'attaques plus sérieuses basées sur l'identité.
Cela pourrait être l'une des fuites de données sur les réseaux sociaux les plus significatives jamais enregistrées, tant en termes d'échelle que d'implications. Avec plus de 200 millions d'utilisateurs compromis et 2,8 milliards d'ID exposés, la violation reflète des vulnérabilités à long terme qui pourraient ne pas avoir été complètement résolues même des années après la découverte de l'exploit initial.
Pour l'instant, la balle est dans le camp de X pour répondre — et rassurer une base d'utilisateurs très nerveuse.
C'est une histoire en développement et sera mise à jour dès que de nouvelles informations seront disponibles.
Related posts
Compte X du ministre britannique piraté pour promouvoir une fraude cryptographique.
April 18, 2025
Le compte vérifié de Lucy Powell sur X a été piraté pour promouvoir une fausse cryptomonnaie. Voici ce qui s'est passé et pourquoi les escroqueries liées aux cryptomonnaies sur les réseaux sociaux se multiplient.
En savoir plus →
Broadview quitte X et rejoint Bluesky en invoquant la désinformation et les valeurs de la plateforme.
April 11, 2025
Broadview.org quitte X et rejoint Bluesky, citant la désinformation, le biais politique et un désir de s'aligner sur des plateformes reflétant des valeurs journalistiques.
En savoir plus →
X prévoit de vendre des noms d'utilisateur inactifs à des entreprises vérifiées à partir de 10 000 $.
April 10, 2025
X lance un système d'achat de poignées pour les organisations vérifiées. Les enchères commencent à 10 000 $ et peuvent dépasser 500 000 $ pour les noms d'utilisateur inactifs.
En savoir plus →
Compte X du ministre britannique piraté pour promouvoir une fraude cryptographique.
April 18, 2025
Le compte vérifié de Lucy Powell sur X a été piraté pour promouvoir une fausse cryptomonnaie. Voici ce qui s'est passé et pourquoi les escroqueries liées aux cryptomonnaies sur les réseaux sociaux se multiplient.
En savoir plus →
Broadview quitte X et rejoint Bluesky en invoquant la désinformation et les valeurs de la plateforme.
April 11, 2025
Broadview.org quitte X et rejoint Bluesky, citant la désinformation, le biais politique et un désir de s'aligner sur des plateformes reflétant des valeurs journalistiques.
En savoir plus →
X prévoit de vendre des noms d'utilisateur inactifs à des entreprises vérifiées à partir de 10 000 $.
April 10, 2025
X lance un système d'achat de poignées pour les organisations vérifiées. Les enchères commencent à 10 000 $ et peuvent dépasser 500 000 $ pour les noms d'utilisateur inactifs.
En savoir plus →