Iamprovider

Une faille chez un fournisseur de vérification d'âge pourrait avoir exposé les photos d'identité de 70 000 utilisateurs Discord

Une faille chez un fournisseur de vérification d'âge pourrait avoir exposé les photos d'identité de 70 000 utilisateurs Discord

Détails de la violation : ce qui s'est passé et quand

Le 3 octobre 2025, Discord a révélé qu'une entité non autorisée avait eu accès à l'un de ses fournisseurs de service client tiers, 5CA. La violation, qui a débuté vers le 20 septembre, a compromis le compte d'un agent de support, donnant aux pirates l'accès aux données des utilisateurs Discord pendant environ 58 heures. Le ou les attaquants auraient volé au moins 70 000 images de pièces d'identité officielles—comme des passeports ou des permis de conduire—soumises par les utilisateurs pour la vérification d'âge. Le ou les auteurs tenteraient également d'extorquer une rançon à l'entreprise concernée.

Quelles données ont été exposées ?

Au-delà des photos d'identité, la violation pourrait avoir exposé les noms, adresses e-mail, coordonnées, adresses IP et interactions des utilisateurs avec le support client de Discord. Heureusement, les informations complètes de carte de crédit ou les mots de passe n'ont pas été consultés. Cependant, l'ampleur reste contestée : le groupe de cybercriminalité revendiquant la responsabilité, Scattered LAPSUS$ Hunters, affirme avoir volé 1,5 téraoctets de données provenant de 5,5 millions d'utilisateurs, dont plus de 2,1 millions de photos d'identité. Discord, quant à lui, maintient que le chiffre est plus proche de 70 000 utilisateurs concernés dans le monde.

Comment fonctionne la vérification d'âge sur Discord

Méthode de photo d'identité pour les appels

Discord exige une vérification d'âge lorsqu'un utilisateur est bloqué en raison de son âge ou lorsqu'il accède à des serveurs restreints par âge. Les utilisateurs peuvent soumettre une photo d'eux-mêmes tenant à la fois une pièce d'identité officielle (montrant la date de naissance) et un papier avec leur nom d'utilisateur Discord. Cette photo unique est envoyée à l'équipe Trust & Safety de Discord via un formulaire de support. Les informations fournies sont utilisées uniquement pour la vérification d'âge et à aucune autre fin.

Vérification automatique de l'âge via k-ID

Dans certaines régions, Discord s'associe à k-ID pour une vérification automatique de l'âge. Les utilisateurs prennent une vidéo selfie, qui est traitée sur leur appareil et immédiatement supprimée après l'estimation de l'âge. Discord affirme que ni eux ni k-ID ne stockent les scans faciaux. Si la vérification automatique échoue, les utilisateurs doivent recourir à la méthode de la photo d'identité.

Pourquoi cette violation a eu lieu : problèmes de conservation des données

Selon des sources, la violation s'est produite parce que Discord n'a pas supprimé rapidement les photos d'identité des utilisateurs après la vérification. Contrairement au système de k-ID—qui traite les selfies sur l'appareil et les supprime immédiatement—le système de support de Discord conservait les images d'identité pendant des mois. Cette fenêtre de conservation a permis aux pirates d'accéder et d'exfiltrer les données. Le pirate aurait eu accès au portail de support de Discord, et non au système k-ID, soulignant une vulnérabilité critique dans les pratiques de traitement des données.

Implications pour la vie privée des utilisateurs et la vérification future

Cet incident souligne les risques inhérents au stockage centralisé de données biométriques sensibles. Alors que Discord étend sa vérification d'âge à l'échelle mondiale—poussé par des réglementations comme la loi britannique sur la vérification d'âge—cette violation sert d'avertissement. Bien que les vérifications automatiques de l'âge utilisant un traitement sur l'appareil réduisent les risques, la méthode d'appel par photo d'identité reste vulnérable. Les utilisateurs doivent faire confiance au fait que leurs données seront rapidement supprimées, une confiance qui a été brisée. À l'avenir, Discord et d'autres plateformes doivent adopter des politiques plus strictes de minimisation et de conservation des données pour éviter des expositions similaires.

Ce que les utilisateurs de Discord devraient faire maintenant

Discord contacte les utilisateurs concernés par e-mail depuis noreply@discord.com. Si vous recevez un tel e-mail, vérifiez son authenticité et suivez les instructions. Évitez de soumettre des tickets en double ou de partager votre photo d'identité en dehors des canaux officiels. Pour ceux qui s'inquiètent de futures violations, envisagez d'utiliser des pièces d'identité jetables ou à usage limité, et surveillez vos comptes pour toute activité suspecte. Cet incident souligne la nécessité d'une législation plus stricte sur la conservation des données et la sécurité des fournisseurs tiers.