Des hackers affirment qu'une fuite de données Discord a exposé 5,5 millions d'utilisateurs

Des hackers affirment qu'une fuite de données Discord a exposé 5,5 millions d'utilisateurs

La fuite Discord : ce qui s'est passé et ce que les utilisateurs doivent savoir

En octobre 2025, Discord a divulgué une importante fuite de données ayant affecté les utilisateurs qui avaient interagi avec ses équipes de support client et de confiance et sécurité. Alors que l'entreprise avait initialement signalé qu'environ 70 000 utilisateurs pouvaient avoir vu des données sensibles comme des photos de pièces d'identité gouvernementales exposées, des hackers ont affirmé avoir volé des données appartenant à 5,5 millions d'utilisateurs. Cette divergence a suscité inquiétude et confusion. Discord a déclaré que la fuite n'était pas une attaque directe sur sa plateforme mais plutôt une compromission d'un fournisseur de services client tiers, 5CA.

Les attaquants ont accédé à un système de tickets utilisé par l'équipe de support de Discord, obtenant des messages, noms d'utilisateur, adresses e-mail et, dans certains cas, des informations de facturation limitées et des images de pièces d'identité gouvernementales soumises pour la vérification de l'âge. Discord a depuis révoqué l'accès du fournisseur, lancé une enquête avec un cabinet de médecine légale et collabore avec les forces de l'ordre.

Pas une fuite Discord, mais un incident tiers

Discord a insisté sur le fait que ses propres systèmes n'ont pas été compromis. L'attaque a plutôt ciblé un fournisseur de services client tiers, 5CA. Il s'agit d'un vecteur courant de fuites de données, où les attaquants exploitent le maillon le plus faible d'une chaîne d'approvisionnement. La partie non autorisée a utilisé des techniques d'ingénierie sociale pour accéder au système de tickets de support de Discord, et non en exploitant une vulnérabilité dans le code de Discord. Cette distinction est importante : les systèmes de messagerie et d'authentification de base de Discord sont restés sécurisés. Cependant, pour les utilisateurs qui avaient contacté le support, leurs données ont été exposées. Cet incident met en lumière les risques du partage de données avec des tiers et la nécessité d'audits de sécurité rigoureux des fournisseurs.

Données sensibles exposées : pièces d'identité, informations de facturation et plus

La fuite a exposé une gamme de données utilisateur, principalement de ceux qui avaient communiqué avec les équipes de support client ou de confiance et sécurité de Discord. Les données compromises incluent :

  • Noms, noms d'utilisateur Discord, adresses e-mail et autres coordonnées fournies au support
  • Informations de facturation limitées telles que le type de paiement, les quatre derniers chiffres de la carte de crédit et l'historique des achats
  • Adresses IP
  • Messages échangés avec les agents de support
  • Images de pièces d'identité gouvernementales pour environ 70 000 utilisateurs ayant fait appel des déterminations d'âge

Notamment, les mots de passe, les numéros complets de carte de crédit et les messages privés entre utilisateurs n'ont pas été compromis. Les photos de pièces d'identité sont particulièrement préoccupantes, car elles peuvent être utilisées pour l'usurpation d'identité. Discord a déclaré qu'il notifiera les utilisateurs concernés par e-mail depuis 'noreply@discord.com'.

Affirmations des hackers : 5,5 millions contre 70 000

Les hackers, prétendument un groupe connu sous le nom de Scattered Lapsu$ Hunters (SLH), ont affirmé avoir volé des données de 5,5 millions d'utilisateurs, dépassant largement l'impact reconnu par Discord d'environ 70 000. Ils ont également affirmé détenir 1,5 téraoctet de données. Discord a rejeté ces affirmations comme 'incorrectes et faisant partie d'une tentative d'extorsion de paiement'. Cependant, des experts en sécurité notent que le nombre réel d'utilisateurs affectés pourrait être plus élevé si les attaquants ont accédé à un plus large éventail de tickets de support. Discord n'a pas fourni de ventilation détaillée, laissant une certaine incertitude. Les utilisateurs doivent rester vigilants et considérer s'ils ont contacté le support Discord par le passé.

Qui sont les hackers ?

Le groupe est décrit comme une coalition combinant les tactiques de Scattered Spider, Lapsu$ et ShinyHunters. Ils s'appuient sur l'ingénierie sociale plutôt que sur des logiciels malveillants, ciblant les fournisseurs tiers pour atteindre des cibles plus importantes. Il s'agit d'une tendance croissante dans la cybercriminalité, contournant les défenses renforcées en s'attaquant à des partenaires moins sécurisés.

Réponse de Discord : action rapide et prochaines étapes

Discord a agi rapidement après avoir découvert la fuite. Il a révoqué l'accès du fournisseur tiers, lancé une enquête interne avec le soutien d'experts en médecine légale et contacté les forces de l'ordre. L'entreprise a également notifié les autorités de protection des données compétentes et est en train de contacter les utilisateurs concernés. Discord a assuré aux utilisateurs qu'il ne les contactera pas par téléphone et que les communications officielles proviennent uniquement de 'noreply@discord.com'. Pour les utilisateurs non concernés, aucune action n'est requise. Cependant, Discord recommande à tous les utilisateurs de rester prudents face aux messages ou e-mails suspects.

Leçons pour les utilisateurs : comment se protéger après une fuite

Cet incident rappelle que même si une plateforme elle-même est sécurisée, les intégrations tierces peuvent être vulnérables. Voici les mesures que les utilisateurs peuvent prendre :

  • Méfiez-vous des tentatives de phishing : Soyez prudent face aux e-mails ou messages inattendus prétendant provenir de Discord, surtout ceux demandant des informations personnelles.
  • Utilisez des mots de passe uniques : Activez l'authentification à deux facteurs sur votre compte Discord.
  • Révisez les interactions de support : Si vous avez partagé des données sensibles avec le support Discord, soyez particulièrement vigilant contre l'usurpation d'identité.
  • Surveillez vos comptes financiers : Bien que les numéros complets de carte de crédit n'aient pas été exposés, les informations de facturation limitées pourraient être utilisées dans des attaques ciblées.

Discord a déclaré qu'il n'utilisera plus le système compromis pour la vérification de l'âge et est passé à des fournisseurs dédiés comme k-ID et Persona. L'entreprise indique également qu'elle supprimera les images de pièces d'identité gouvernementales après vérification pour minimiser les risques futurs.

Le contexte plus large : risque tiers et confidentialité des données

Cette fuite souligne le défi croissant du risque tiers dans l'écosystème numérique. Des entreprises comme Discord peuvent avoir une sécurité interne solide, mais un seul fournisseur avec des contrôles faibles peut exposer des millions d'utilisateurs. L'incident relance également les débats sur les systèmes de vérification de l'âge, qui nécessitent la collecte de données biométriques sensibles. Les militants des droits numériques avertissent que de tels systèmes créent des pièges pour les attaquants. Pour les utilisateurs, le message est d'être judicieux quant aux informations qu'ils partagent avec tout service en ligne, en particulier les pièces d'identité sensibles. Alors que Discord et d'autres plateformes continuent d'évoluer leurs pratiques de sécurité, cet événement influencera probablement la manière dont ils évaluent et gèrent les fournisseurs tiers à l'avenir.