Discord : des attaquants ont accédé à environ 70 000 photos de pièces d'identité d'utilisateurs
Violation de données via un fournisseur tiers expose les informations des utilisateurs
Discord a récemment révélé qu'une partie non autorisée avait compromis l'un de ses fournisseurs de service client tiers, 5CA, entraînant l'exposition d'environ 70 000 photos de pièces d'identité gouvernementales d'utilisateurs. La violation, survenue le 20 septembre 2025, ciblait un fournisseur utilisé pour la vérification de l'âge et les appels de support. Discord s'est empressé de préciser que sa propre plateforme n'avait pas été infiltrée—l'attaque s'est concentrée sur le fournisseur tiers. Immédiatement après avoir découvert l'incident, Discord a révoqué l'accès du fournisseur à son système de tickets, lancé une enquête interne et sollicité les forces de l'ordre. L'entreprise est en train d'envoyer des courriels aux utilisateurs concernés, les communications officielles provenant uniquement de noreply@discord.com.
Quelles données ont été consultées ?
Les données exposées se limitent aux informations traitées par le système de service client. Cela inclut les noms, les noms d'utilisateur Discord, les adresses e-mail et autres coordonnées fournies aux équipes de support. De plus, des informations de facturation limitées—telles que le type de paiement, les quatre derniers chiffres des numéros de carte de crédit et l'historique des achats—ont pu être consultées. Les adresses IP et le contenu des messages échangés avec les agents du service client ont également été exposés. Plus critique encore, un petit nombre d'images de pièces d'identité gouvernementales, comme les permis de conduire et les passeports, ont été compromises. Discord a souligné qu'aucun numéro de carte de crédit complet, code CVV, mot de passe ou activité utilisateur au-delà des interactions de support n'était impliqué.
Impact sur les utilisateurs et la vérification de l'âge
Les utilisateurs concernés sont principalement ceux qui ont contacté les équipes de support client ou de confiance et sécurité de Discord, en particulier pour des appels liés à l'âge. Pour se conformer aux réglementations, Discord exige que les utilisateurs vérifient leur âge en téléchargeant des pièces d'identité délivrées par le gouvernement. Ce processus, externalisé à des fournisseurs tiers comme 5CA, a créé le vecteur de la violation. L'attaquant a eu accès aux photos d'identité d'environ 70 000 utilisateurs, contenant des informations personnelles sensibles telles que les noms complets, les dates de naissance et les adresses physiques. Cela soulève d'importantes préoccupations en matière de confidentialité, car les données divulguées pourraient être utilisées pour le vol d'identité ou le harcèlement. Discord a précisé que les utilisateurs concernés recevront un e-mail détaillant si leur pièce d'identité a été consultée.
Réponse de Discord et mesures de sécurité
Discord a agi rapidement en révoquant l'accès du fournisseur tiers, en engageant un cabinet de premier plan en criminalistique informatique et en notifiant les autorités de protection des données compétentes. L'entreprise collabore étroitement avec les forces de l'ordre pour enquêter sur l'attaque, qui impliquait une demande de rançon. Discord a déclaré qu'il ne paierait pas la rançon, la qualifiant d'acte illégal. À l'avenir, Discord prévoit d'auditer plus fréquemment ses systèmes tiers pour s'assurer qu'ils respectent les normes de sécurité et de confidentialité. L'entreprise recommande également à tous les utilisateurs de rester vigilants face aux messages ou communications suspects qui pourraient faire partie de tentatives de phishing liées à la violation.
Canaux de communication officiels
Discord a averti qu'il ne contactera les utilisateurs concernés que par e-mail depuis noreply@discord.com. Les utilisateurs doivent se méfier des appels téléphoniques ou des e-mails provenant d'autres adresses prétendant être liés à la violation. L'entreprise n'a pas divulgué l'identité du fournisseur compromis, mais des rapports confirment qu'il s'agissait de 5CA, une société de service client basée au Royaume-Uni. D'autres fournisseurs tiers, comme Zendesk, ont déclaré que leurs systèmes n'étaient pas impliqués.
Réactions de la communauté et des experts
La violation a suscité de nombreuses discussions parmi les 200 millions d'utilisateurs de Discord, beaucoup exprimant leur inquiétude quant au traitement des données d'identité sensibles. Certains commentateurs en ligne ont suggéré que la violation pourrait être plus étendue que ce qui a été divulgué, mais Discord réfute ces affirmations, les attribuant à des tentatives d'extorsion. Les experts en sécurité notent que cet incident met en lumière les risques de l'externalisation de la vérification de l'âge à des tiers. La fuite de plus de 100 images d'identité sur un canal Telegram, prétendument issues de la violation, souligne les dangers réels de l'exposition des identités. Les utilisateurs qui ont soumis des pièces d'identité pour des demandes DMCA ou de vérification de l'âge sont particulièrement vulnérables, car leurs adresses physiques peuvent désormais être en danger.
Que doivent faire les utilisateurs maintenant ?
Si vous recevez un e-mail de Discord concernant cet incident, examinez les détails attentivement. Changez votre mot de passe Discord et activez l'authentification à deux facteurs si ce n'est pas déjà fait. Surveillez vos comptes financiers pour toute activité suspecte, surtout si vous avez des informations de facturation liées à Discord. Soyez particulièrement prudent face aux tentatives de phishing qui pourraient faire référence à la violation. Pour ceux dont les photos d'identité ont été exposées, envisagez de placer une alerte de fraude sur votre fichier de crédit et signalez tout vol d'identité aux autorités compétentes. Discord continue de coopérer avec les forces de l'ordre, mais la vigilance individuelle est essentielle pour atténuer les dommages potentiels.