Selon le site The Daily Dot qui a révélé le premier l'information, 5 millions de noms d'utilisateurs associés à des mots de passe ont été publiés sur un forum russe par un pirate russe du nom de tvskit.

Selon ce tvskit, qui assure qu'il a publié afin que "chacun puisse faire des vérification personnelles", 60% de ces associations nom d'utilisateur/mot de passe sont valables. La question étant de savoir ce que valable signifie exactement en l'occurrence.

Google qui a été contacté sur cette "fuite" a publié un billet reconnaissant la réalité des faits, tout en minimisant grandement le problème.

Tout d'abord, Google assure qu'il n'y a pas eu de problème de sécurité au sein de ses services. Ensuite, toujours selon Mountain View, 2% seulement des combinaisons nom d'utilisateurs / mot de passe seraient valables et/ou auraient été utilisées de manières malveillantes. En outre, Google souligne pour l'occasion que ses services sont dotés d'une protection qui réagit en cas de tentative de connexion inhabituelle, comme depuis une localisation inédite, et/ou depuis un nouvel appareil.

Google souligne très clairement que ces données ne correspondent pas, ou pas forcément, à des comptes sur ses services. Pour Mountain View les données en question ont été obtenues différemment, probablement via des campagnes de phishing. Que les adresses fuitées soient des adresses Gmail ne signifiant à priori rien de particulier, car des adresses mail (et donc Gmail) sont très souvent utilisées en guise de nom d'utilisateur sur divers sites Internet.

Cependant, après avoir minimisé - disons après avoir ouvert le parapluie :-) - Google souligne aussi la gravité de la fuite.

Le danger réside dans la négligence, ou dans l'excès de confiance, que peuvent manifester les utilisateurs. Nombreux sont en effet ceux qui utilisent le même mot de passe pour différents services sur Internet, qu'il s'agissent d'un service Google, d'un compte bancaire, ou d'un service lambda.

Autrement dit, si votre mot de passe favori a été compromis sur un site lambda, dont vous avez même oublié que vous y avez un compte, il est possible que d'autres de vos comptes, très important ceux-là, soient compromis du même coup.

C'est pourquoi Google recommande d'utiliser un mot de passe très fort et réservé à ses services.

De notre côté, nous vous recommandons de changer tous vos mot de passe associés à vos adresses Gmail, par précaution, au cas où ceux-ci seraient compromis.