Environ 70 000 utilisateurs de Discord ont vu leurs documents d’identité fuiter en ligne à la suite d’une attaque ciblée sur un prestataire externe. Ce vol de données concerne des pièces sensibles partagées dans le cadre du système de vérification de l’âge, notamment des permis de conduire et des passeports.
Une faille chez un prestataire et des données très sensibles en fuite
L’incident provient d’un fournisseur de service client tiers auquel Discord faisait appel pour gérer certaines demandes d’assistance. Ce prestataire a été victime d’un piratage, permettant à un groupe malveillant d’accéder à des données extrêmement sensibles. Dans le lot, on trouve des photos de cartes d’identité, des noms et prénoms, les pseudonymes Discord, des adresses mail, les quatre derniers chiffres de cartes bancaires, des historiques d’achats, des adresses IP et même des conversations échangées avec l’équipe du support client.
Le groupe de pirates à l’origine de cette attaque affirme avoir dérobé plus de deux millions de photos de vérification d’âge, représentant près de 1,5 téraoctet de données. Discord, de son côté, relativise ces chiffres en les qualifiant d’exagérés, et avance que seuls environ 70 000 utilisateurs sont effectivement concernés par la fuite.
Une attaque à visée d’extorsion
L’écart entre les chiffres avancés s’explique par une tentative d’intimidation. Les auteurs de l’attaque auraient gonflé les statistiques pour faire pression sur Discord dans le but de leur soutirer de l’argent. L’entreprise a cependant précisé qu’elle ne comptait pas céder au chantage. Elle réaffirme également que la sécurité et la vie privée de ses utilisateurs restent une priorité absolue.
Voici les types de données compromis selon Discord :
- Photos de documents officiels (CNI, passeports, permis)
- Nom complet et pseudonyme Discord
- Adresse e-mail
- Quatre derniers chiffres des cartes bancaires
- Historique des achats
- Adresse IP
- Conversations avec le support client
Mesures prises par Discord après la fuite
Dès que l’incident a été découvert, Discord a mis fin à sa collaboration avec le prestataire concerné. L’entreprise a également pris des mesures de sécurité supplémentaires afin de protéger les systèmes potentiellement vulnérables. Les utilisateurs affectés par la fuite ont tous été contactés individuellement.
Par ailleurs, Discord travaille désormais avec les autorités judiciaires compétentes, des agences de protection des données personnelles et des spécialistes en cybersécurité pour tirer cette affaire au clair. L’enquête est en cours et vise à identifier les responsables de cette attaque, tout en minimisant les risques de nouvelles intrusions.
Une affaire sérieuse à une époque où la vérification d’âge devient essentielle
La vérification de l’âge est devenue un enjeu de plus en plus central dans les plateformes sociales, en particulier celles utilisées par des mineurs. Discord a introduit ce système pour se conformer à certaines législations et mieux encadrer l’accès aux contenus. Mais cette affaire montre à quel point la gestion de ces données sensibles est critique.
Pour les utilisateurs, cela remet en question la confiance accordée à ces méthodes de validation. Partager des documents officiels en ligne, même sur des plateformes populaires et réputées, n’est jamais sans risque. Ce genre de fuite souligne l’importance de méthodes de vérification alternatives, plus respectueuses de la vie privée, ou à défaut mieux encadrées.
