IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Des données d'utilisateurs de Discord ont été récupérées et vendues aux forces de l'ordre et aux entreprises


Sujet :

Sécurité

  1. 09/10/2025, 18h43 #1
    Alex
    Alex est déconnecté
    Communiqués de presse
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Avril 2025
    Messages
    552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique

    Informations forums :
    Inscription : Avril 2025
    Messages : 552
    Par défaut Des données d'utilisateurs de Discord ont été récupérées et vendues aux forces de l'ordre et aux entreprises
    Violation des données relatives à la vérification de l'âge : le partenaire tiers de Discord a divulgué des identifiants gouvernementaux, notamment des documents d'identité et des numéros de carte de crédit

    Une cyberattaque calculée contre un prestataire de services client tiers a révélé une vulnérabilité critique dans la sécurité opérationnelle de Discord, entraînant le vol de données utilisateur à partir de tickets d'assistance. Cet incident, revendiqué par le groupe d'extorsion « Scattered Lapsus$ Hunters », ne repose pas sur une exploitation technique de l'infrastructure centrale de Discord, mais sur la compromission stratégique d'un maillon faible de sa chaîne d'approvisionnement.

    Il y a 2 ans, un pirate informatique a mis en vente sur le Dark Web les données personnelles de 760 000 utilisateurs du service Discord.io. Le site avait fermé ses portes mais a assuré qu'au pire, seuls des éléments potentiellement sensibles ont été dérobés. Précision importante : Discord.io n'est pas affilié à Discord. En revanche, les noms d'utilisateur et mots de passe utilisés sur l'un sont souvent les mêmes que sur l'autre. Les tests effectués pour vérifier l'authenticité des données vendues montrent que les adresses électroniques de Discord.io sont associées à des comptes Discord. L'incident questionnait sur la sécurité du site Discord.

    Récemment, une cyberattaque calculée contre un prestataire de services client tiers a révélé une vulnérabilité critique dans la sécurité opérationnelle de Discord, entraînant le vol de données utilisateur à partir de tickets d'assistance. Cet incident, revendiqué par le groupe d'extorsion « Scattered Lapsus$ Hunters », ne repose pas sur une exploitation technique de l'infrastructure centrale de Discord, mais sur la compromission stratégique d'un maillon faible de sa chaîne d'approvisionnement.

    La cause profonde de cette violation réside dans le risque inhérent aux relations avec les fournisseurs tiers. Les serveurs centraux de Discord, qui hébergent les messages privés et les données d'authentification, sont restés sécurisés. Les attaquants ont plutôt ciblé un fournisseur de services à la clientèle dédié ayant un accès autorisé au système de tickets d'assistance de Discord.

    • Objectif : extorsion financière. Le groupe a obtenu un moyen de pression en volant un ensemble de données défini afin de faire pression sur Discord pour obtenir une rançon.
    • Méthode : en compromettant le fournisseur, ils ont contourné les défenses principales de Discord, illustrant une attaque classique de la chaîne d'approvisionnement où la sécurité de l'ensemble de l'écosystème est dictée par son partenaire le moins sécurisé.



    Les données volées sont une reproduction directe des informations que les utilisateurs divulguent lorsqu'ils contactent le service d'assistance. La compromission est importante non pas en raison de son ampleur parmi la base d'utilisateurs de Discord, mais en raison de la sensibilité des tickets d'assistance concernés.

    L'ensemble de données principal comprend :

    • Les conversations et les pièces jointes des tickets d'assistance
    • Les identifiants des utilisateurs (nom d'utilisateur, e-mail) et les adresses IP
    • Des données de facturation limitées (type de paiement, 4 derniers chiffres de la carte)

    L'exfiltration d'un nombre limité de documents d'identité délivrés par le gouvernement (permis de conduire, passeports) soumis pour des demandes de vérification d'âge. Cela transforme l'incident d'une fuite de données standard en un risque d'usurpation d'identité très grave.

    Pourquoi cette violation est-elle importante au-delà de Discord ?

    Cet incident constitue une étude de cas réelle avec deux conséquences immédiates pour le secteur technologique :

    • La validation de la compromission des fournisseurs comme principale tactique d'attaque. Les acteurs malveillants se concentrent de plus en plus sur les fournisseurs de logiciels et de services, qu'ils considèrent comme un moyen plus efficace de compromettre simultanément plusieurs clients. Le piratage d'un seul fournisseur peut permettre d'accéder à des dizaines d'entreprises.
    • Les conséquences imprévues des obligations de vérification de l'âge. La divulgation des pièces d'identité gouvernementales est une conséquence directe de l'obligation faite aux plateformes de collecter des documents hautement sensibles pour se conformer à la réglementation. Cela crée une nouvelle cible de grande valeur pour les pirates informatiques et transfère fondamentalement le risque aux utilisateurs, ce qui peut l'emporter sur les avantages escomptés en matière de sécurité.

    La stratégie de confinement de Discord a suivi le protocole standard de réponse aux incidents : révoquer l'accès du fournisseur, faire appel à des experts en criminalistique et informer les forces de l'ordre. Pour les utilisateurs concernés, cependant, le risque persiste.

    La menace la plus probable n'est pas le piratage direct d'un compte Discord, mais des campagnes de phishing très ciblées et convaincantes. Grâce à leur connaissance de l'historique d'assistance d'un utilisateur, les attaquants peuvent créer des e-mails frauduleux qui semblent légitimes, incitant les victimes à révéler leurs mots de passe ou d'autres informations sensibles. Les utilisateurs doivent traiter avec une extrême méfiance toute communication faisant référence à un ticket d'assistance.

    Cette structure révisée se concentre sur le déroulement logique de l'attaque, les décisions stratégiques qui la sous-tendent et son importance plus large pour le secteur, allant au-delà d'une simple énumération des faits.

    Cet incident intervient alors que Discord a adopté en mars une approche controversée pour gagner plus d'argent avant son introduction en bourse : la publicité. Depuis juin, l'application mobile de Discord est dotée de publicités vidéo. Le projet pilote pour les publicités vidéo, « Video Quests on Mobile », offre aux annonceurs la possibilité de présenter des bandes-annonces, de faire des annonces percutantes et de mettre en avant du contenu premium pour les utilisateurs. L'annonce est vivement critiquée, certains utilisateurs mécontents menaçant d'abandonner l'application au profit d'une plateforme rivale. Discord a introduit la publicité pour la première fois sur PC et consoles en 2024.

    Nom : 1.jpg Affichages : 5570 Taille : 13,6 Ko

    Voici le rapport de Discord :

    Mise à jour concernant un incident de sécurité impliquant un service client tiers

    Chez Discord, la protection de la vie privée et de la sécurité de nos utilisateurs est une priorité absolue. C'est pourquoi il est important pour nous d'être transparents avec eux sur les événements qui ont un impact sur leurs informations personnelles.

    Récemment, nous avons découvert un incident au cours duquel une partie non autorisée a compromis l'un des prestataires de services clients tiers de Discord. Cette personne non autorisée a alors eu accès aux informations d'un nombre limité d'utilisateurs qui avaient contacté Discord par l'intermédiaire de nos équipes d'assistance à la clientèle et/ou de confiance et de sécurité.

    Dès que nous avons pris connaissance de cette attaque, nous avons immédiatement pris des mesures pour remédier à la situation. Nous avons notamment révoqué l'accès du prestataire de services d'assistance à la clientèle à notre système de tickets, lancé une enquête interne, fait appel à une société de pointe en matière d'informatique légale pour soutenir nos efforts d'enquête et de remédiation, et contacté les forces de l'ordre.

    Que s'est-il passé ?

    Une partie non autorisée a ciblé nos services d'assistance client tiers afin d'accéder aux données des utilisateurs, dans le but d'extorquer une rançon financière à Discord.

    Quelles données ont été concernées ?

    Les données susceptibles d'avoir été compromises sont liées à notre système de service client. Elles peuvent inclure :

    • Nom, nom d'utilisateur Discord, e-mail et autres coordonnées fournies au service client Discord.
    • Informations de facturation limitées telles que le type de paiement, les quatre derniers chiffres de votre carte de crédit et l'historique des achats associés à votre compte.
    • Adresses IP.
    • Messages échangés avec nos agents du service client.
    • Données d'entreprise limitées (supports de formation, présentations internes).
    • La partie non autorisée a également eu accès à un petit nombre d'images de pièces d'identité officielles.

    Si votre pièce d'identité a pu être consultée, cela sera précisé dans l'e-mail que vous recevrez.

    Quelles données n'ont pas été concernées ?

    • Numéros de carte de crédit complets ou codes CCV.
    • Messages ou activités sur Discord autres que ceux dont les utilisateurs ont pu discuter avec le service client.
    • Mots de passe ou données d'authentification.

    Que faisons-nous à ce sujet ?

    Discord a pris et continuera de prendre toutes les mesures appropriées pour répondre à cette situation. Comme d'habitude, nous continuerons à auditer fréquemment nos systèmes tiers afin de nous assurer qu'ils répondent à nos normes de sécurité et de confidentialité. De plus, nous avons :

    • Informé les autorités compétentes en matière de protection des données.
    • Collaboré de manière proactive avec les forces de l'ordre pour enquêter sur cette attaque.
    • Révisé nos systèmes de détection des menaces et nos contrôles de sécurité pour les fournisseurs de support tiers.

    Prochaines étapes

    À l'avenir, nous recommandons aux utilisateurs concernés de rester vigilants lorsqu'ils reçoivent des messages ou d'autres communications qui peuvent sembler suspects. Nos agents de service sont à votre disposition pour répondre à vos questions et vous fournir une assistance supplémentaire.

    Nous prenons très au sérieux notre responsabilité de protéger vos données personnelles et comprenons les désagréments et les inquiétudes que cela peut causer.
    Source : Rapport de Discord

    Et vous ?

    Pensez-vous que ce rapport est crédible ou pertinent ?
    Quel est votre avis sur le sujet ?

    Voir aussi :

    Des mineurs utilisent des serveurs Discord pour gagner de l'argent de poche en diffusant des malwares. Certains groupes comptent des participants âgés de 11 à 18 ans, selon Avast

    Un agrégat de données de 16 milliards d'identifiants de connexion provenant de fuites antérieures a été divulgué en ligne. La CNIL confirme qu'il n'y a pas de nouvelle brèche, mais alerte sur les risques

    Le coût moyen d'une violation de données dans le secteur industriel a augmenté de 860 000 dollars, avec le coût moyen d'une violation de données qui passe à 4,88 millions de dollars
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités
    Répondre avec citation Répondre avec citation   9  0
  2. 13/02/2026, 13h08 #2
    Mathis Lucas
    Mathis Lucas est déconnecté
    Chroniqueur Actualités
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Juin 2023
    Messages
    1 755
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2023
    Messages : 1 755
    Par défaut Des données d'utilisateurs de Discord ont été récupérées et vendues aux forces de l'ordre et aux entreprises
    Vos données Discord, notamment vos activités sur les serveurs publics, ont peut-être été récupérées et vendues aux forces de l'ordre et aux entreprises spécialisées dans l'IA pour seulement 5 dollars

    Des données issues de serveurs Discord seraient collectées par des acteurs tiers puis revendues, notamment à des forces de l’ordre et à des entreprises d’IA. Il ne s’agit pas d’une vente directe par Discord, mais d’un phénomène d’agrégation et de revente de contenus accessibles publiquement ou semi publiquement via des outils de scraping. Un rapport indique que ces données ont peut-être été récupérées et vendues en ligne pour seulement 5 dollars. Discord fait face à d'importants défis en matière de sécurité. Il y a à peine quatre mois, un prestataire de services d'identité a été piraté, exposant ainsi les informations de plus de 70 000 utilisateurs de la plateforme.

    En 2024, 404 Media a rapporté qu'un service en ligne appelé Spy Pet récupérait les données de plus de 10 000 serveurs Discord. L'énorme quantité de données accumulées grâce à cette activité est utilisée à des fins multiples : Spy Pet les vend pour seulement 5 $ via des cryptomonnaies (notamment bitcoin, ethereum ou Monero) à toute personne intéressée, mais surtout aux forces de l'ordre et aux organisations qui souhaitent former des systèmes d'IA.

    Spy Pet transforme essentiellement la plateforme fragmentée de Discord, où les utilisateurs peuvent publier sur des milliers de serveurs de leur choix, en un moyen facile de cibler l'activité d'un utilisateur. Toute personne qui paie peut décider de voir ce que vous avez publié et où, en un seul endroit pratique.

    Les enquêteurs ont testé Spy Pet et ont constaté que le site fonctionnait comme annoncé. Le média ne pouvait pas confirmer à l'époque les affirmations de Spy Pet selon lesquelles il disposerait des données de plus de 14 000 serveurs, 600 millions d'utilisateurs et 3 milliards de messages. Toutefois, il a pu acheter avec succès des données auprès du service. Apparemment, vous pouvez rechercher un utilisateur spécifique pour seulement environ 10 cents.


    Spy Pet disposait de données provenant de divers serveurs, allant des communautés de jeux comme Minecraft, Among Us et Runescape aux serveurs liés aux cryptomonnaies. Cela dit, le média rapporte que bon nombre des dizaines de milliers de serveurs répertoriés ici ne contenaient aucune donnée et ne semblaient pas susceptibles d'être piratés. Dans tous les cas, il s'agissait bien évidemment d'une violation massive de la vie privée des utilisateurs.

    Spy Pet a connu une existence brève et s’est fait neutraliser assez rapidement après sa médiatisation en avril 2024. À la suite des révélations publiques, Discord a identifié et banni les comptes utilisés pour le scraping. Le nombre de serveurs accessibles par les bots est passé progressivement d’environ 14 000 à zéro, ce qui a rendu la collecte impossible. Dans le même temps, le site Web Spy Pet est devenu indisponible et a été retiré par son hébergeur.

    Le projet Spy Pet a mis en lumière un problème de sécurité majeur

    La situation est complexe. D'une part, Spy Pet ne récupère pas réellement les messages directs : les messages privés entre les utilisateurs de la plateforme sont en sécurité, seuls les messages publiés sur les serveurs eux-mêmes sont concernés. C'est là que les choses se compliquent : ces messages ne sont pas nécessairement privés. Toute personne qui rejoint le serveur pourra voir tout ce que vous publiez et pourra extraire ces données elle-même.

    En théorie, si quelqu'un faisait partie de tous les serveurs Discord sur lesquels vous êtes actif, il pourrait effectuer son propre scraping à la manière de Spy Pet. Ce serait étrange de sa part, mais il pourrait le faire. Ce que faisait Spy Pet va bien sûr au-delà : il récupérait des données et permettait de consulter toutes vos activités pour quelques centimes de dollars. De plus, il les vendait à des sources auxquelles vous n'avez jamais donné votre consentement.

    Les forces de l'ordre ne se soucient probablement pas de votre activité sur Discord, mais vous ne vous attendiez pas à ce qu'elles examinent vos mèmes Minecraft. Il en va de même pour les entreprises d'IA : vous n'aimeriez probablement pas que vos données soient utilisées pour entraîner des modèles d'IA.

    En somme, le niveau de confidentialité dépend uniquement de la configuration des rôles et de la taille du serveur. Plus il y a de membres ou d’intégrations, plus le risque d’exposition augmente. Tout contenu visible sur un serveur peut être copié, archivé ou indexé par des outils externes sans compromettre l’infrastructure de la plateforme. Il ne faut donc pas y diffuser d’informations sensibles, confidentielles, contractuelles, d’identifiants techniques, etc.

    Les informations récupérées par Spy Pet incluaient le contenu des messages, les pseudonymes, les identifiants d’utilisateurs, ainsi que des éléments contextuels comme les serveurs fréquentés et les interactions. Ces données peuvent être recherchées et corrélées, ce qui facilite la reconstitution de profils d’activité. (Comme souligné ci-dessus, les messages privés ne sont pas accessibles par ce procédé, sauf s’ils ont été publiquement exposés ailleurs.)

    Violation des données Discord relatives à la vérification de l'âge

    Une cyberattaque récente contre un prestataire tiers de services a révélé une faille critique dans la sécurité opérationnelle de Discord, entraînant le vol de données utilisateur à partir de tickets d'assistance. L'incident, revendiqué par le groupe Scattered Lapsus$ Hunters, ne repose pas sur une exploitation technique de l'infrastructure centrale de Discord, mais sur la compromission stratégique d'un maillon faible de sa chaîne d'approvisionnement.

    La cause profonde de cette violation réside dans le risque inhérent aux relations avec les fournisseurs tiers. Selon les rapports sur l'incident, les serveurs centraux de Discord, qui hébergent les messages privés et les données d'authentification, sont restés sécurisés. Les pirates informatiques ont plutôt ciblé un fournisseur de services à la clientèle dédié ayant un accès autorisé au système de tickets d'assistance de la plateforme de médias sociaux :

    • objectif : extorsion financière. Le groupe a obtenu un moyen de pression en volant un ensemble de données défini afin de faire pression sur Discord pour obtenir une rançon ;
    • méthode : en compromettant le fournisseur, ils ont contourné les défenses principales de Discord, illustrant une attaque classique de la chaîne d'approvisionnement où la sécurité de l'ensemble de l'écosystème est dictée par son partenaire le moins sécurisé.


    Les données volées sont une reproduction directe des informations que les utilisateurs divulguent lorsqu'ils contactent le service d'assistance. La compromission est importante non pas en raison de son ampleur parmi la base d'utilisateurs de Discord, mais en raison de la sensibilité des tickets d'assistance concernés.

    L'ensemble de données principal comprend :

    • les conversations et les pièces jointes des tickets d'assistance ;
    • les identifiants des utilisateurs (nom d'utilisateur, e-mail) et les adresses IP ;
    • des données de facturation limitées (type de paiement, 4 derniers chiffres de la carte).


    Il s'agit en réalité de l'exfiltration d'un nombre limité de documents d'identité délivrés par le gouvernement (permis de conduire, passeports) soumis pour des demandes de vérification d'âge. Cela transforme un incident standard de fuite de données en un risque d'usurpation d'identité très grave. Malgré cette fuite, Discord a annoncé que la plateforme exigera un scan de visage ou une pièce d'identité pour accéder à certains contenus dès mars 2026.

    Limites structurelles de la vérification d’âge sur les plateformes

    Discord ne fait pas cavalier seul. Ce déploiement mondial fait suite à une introduction des contrôles d'âge au Royaume-Uni et en Australie, en réponse aux législations locales de protection des mineurs en ligne. Roblox a récemment ajouté la vérification faciale obligatoire pour accéder aux chats, et YouTube a lancé son outil d'estimation d'âge aux États-Unis en 2025. TikTok et d'autres plateformes ont toutes emboîté le pas sous pression réglementaire.

    Cependant, les récents incidents de violation de données subis par Discord mettent en lumière les limites structurelles de la vérification d’âge. Selon les experts, l'exigence de la vérification de l'âge augmente le taux de données collectées par les plateformes en ligne, ce qui attire davantage les pirates.

    Le passage à la vérification par pièce d’identité ou estimation faciale répond à la problématique de l’accès des mineurs, mais introduit un nouveau risque : la collecte de données sensibles. Pour rappel, la fuite subie en octobre 2025 par Discord (via son prestataire tiers) impliquait environ 70 000 photos d’identité. Cette violation de données a renforcé la méfiance des utilisateurs et montré que ces systèmes déplacent le risque au lieu de l'éliminer.

    Même avec des contrôles plus stricts, les systèmes restent contournables, dépendants de tiers, et sujets à des erreurs d’inférence d’âge. Ils ne traitent pas non plus le problème principal : le comportement des utilisateurs et la modération des interactions. En synthèse, ces incidents ont transformé la vérification d’âge en exigence réglementaire, mais ont exposé un compromis non résolu entre protection des mineurs et protection des données personnelles.

    Et vous ?

    Quel est votre avis sur le sujet ?
    Que pensez-vous des activités antérieures du courtier de données Spy Pet ?
    La vérification de l'âge est-elle une solution efficace contre l'accès des mineurs aux contenus préjudiciables ?
    Ou s'agit-il simplement d'une fausse bonne idée qui exposent les utilisateurs des plateformes à de nouveaux risques ?
    Spy Pet a été mis hors ligne, mais pensez-vous que d'autres activités de ce type ont émergé sur Discord ou d'autres plateformes ?

    Voir aussi

    Discord va exiger un scan de visage ou une pièce d'identité pour accéder à certains contenus dès mars 2026 : quatre mois avant, ses prestataires ont pourtant fait fuiter celles de 70 000 utilisateurs

    Violation des données relatives à la vérification de l'âge : le partenaire tiers de Discord a divulgué des identifiants gouvernementaux, notamment des documents d'identité et des numéros de carte de crédit

    Discord.io reconnait avoir été victime d'une brèche de sécurité informatique : 760 000 comptes d'utilisateurs en vente sur le darknet
    Répondre avec citation Répondre avec citation   7  0
Actualités
  • Accueil
  • Forum
  • Systèmes
  • Sécurité
  • Des données d'utilisateurs de Discord ont été récupérées et vendues aux forces de l'ordre et aux entreprises
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. Violation des données privées : 85% pour cent des entreprises américaines vulnérables
    Par Annaelle32 dans le forum Actualités
    Réponses: 4
    Dernier message: 17/07/2009, 11h59
  2. Violation des règles de validation : comment trouver cause ?
    Par petitours dans le forum Requêtes et SQL.
    Réponses: 1
    Dernier message: 22/08/2007, 22h02
  3. quelles sont les causes des violation des régles de validation?
    Par Smix007 dans le forum Requêtes et SQL.
    Réponses: 1
    Dernier message: 11/07/2007, 18h16
  4. violation des régles de validation
    Par Smix007 dans le forum Requêtes et SQL.
    Réponses: 8
    Dernier message: 10/07/2007, 21h48
  5. violation des clès
    Par Smix007 dans le forum Modélisation
    Réponses: 3
    Dernier message: 31/05/2007, 07h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo