Une récente faille de sécurité chez Discord, la plateforme de communication largement utilisée, a compromis les données personnelles d’environ 70 000 utilisateurs. Les informations volées comprennent des photos d’identité sensibles émises par le gouvernement, qui ont été soumises dans le cadre de contrôles de vérification de l’âge. Cet incident met en évidence les risques croissants associés aux processus de vérification d’identité en ligne et les vulnérabilités des fournisseurs de services tiers.
Comment la violation s’est produite
La compromission provenait d’un fournisseur de support client tiers qui avait accès aux données des utilisateurs pour les appels liés à l’âge. Discord exige que les utilisateurs aient au moins 13 ans (avec des limites d’âge plus strictes pour certains contenus) et utilise la vérification d’identité pour faire respecter ces règles. Les pirates ont ciblé ce fournisseur, extrayant une quantité importante d’informations personnelles dans le but de l’extorsion.
Discord affirme que les attaquants ont volé environ 70 000 photos d’identité, mais le groupe de cybersécurité VX-Underground rapporte que l’exfiltration réelle pourrait être bien plus importante : plus de 1,5 téraoctets de données, dont plus de 2,1 millions d’images. Discord conteste ces chiffres, les qualifiant de tentative d’extorsion. Quel que soit le chiffre exact, le manquement est important.
Qu’est-ce qui a été volé ?
Outre les photos d’identité, les données compromises comprenaient des noms, des noms d’utilisateur, des adresses e-mail et des coordonnées fournies au support client. Des informations de facturation limitées (les quatre derniers chiffres des numéros de carte de crédit) ont également été collectées, bien que les détails complets de la carte et les codes de sécurité ne l’aient pas été. Il est essentiel que les mots de passe et les données d’authentification restent sécurisés.
Ce type de vol est susceptible de devenir plus fréquent à mesure que de plus en plus de plateformes appliquent des lois strictes sur la vérification de l’âge, obligeant les utilisateurs à soumettre des documents sensibles. Une fois ces identifiants stockés dans des bases de données, ils deviennent des cibles attractives pour les pirates.
Réponse de Discord et impact sur l’utilisateur
Discord a révoqué l’accès du fournisseur tiers et prétend travailler avec les forces de l’ordre. La société contacte les utilisateurs concernés via [email protected] et met en garde contre les appels téléphoniques non sollicités. Cependant, certains utilisateurs signalent que leurs demandes de vérification de l’âge ont été ignorées pendant des semaines, pour ensuite être informés de la violation.
“Discord a ignoré mon ticket de vérification d’identité pendant 2 semaines juste pour me dire que le même ticket a été impliqué dans une violation de données”, a écrit un utilisateur de Reddit.
L’incident souligne le compromis entre la sécurité de la plateforme et la sécurité des données. Les utilisateurs qui ont soumis des pièces d’identité peuvent désormais être confrontés à des risques accrus d’usurpation d’identité ou de fraude.
Ce que les utilisateurs doivent faire
À l’heure actuelle, les utilisateurs ne peuvent surveiller leurs comptes pour détecter toute activité suspecte et activer l’authentification à deux facteurs que s’ils ne sont pas déjà actifs. Cette violation souligne la nécessité de meilleures pratiques de sécurité chez les fournisseurs tiers et de mesures de protection des données plus strictes de la part de plateformes comme Discord.
Cet incident nous rappelle cruellement que même les plates-formes apparemment sécurisées sont susceptibles de subir des violations, en particulier lorsqu’elles dépendent de services externes. L’avenir de la vérification de l’âge en ligne nécessitera une approche plus robuste pour protéger les données des utilisateurs contre toute exploitation.
