Piratage Discord: comment savoir si vous avez été touché ?
Certains utilisateurs reçoivent en ce moment une alerte officielle… et ce n’est pas pour rien.
Une nouvelle fuite de données importante vient d’être recensée. Après le piratage de France-Travail cet été, c’est à présent au tour de l’application de messagerie Discord d’être victime d’un incident de sécurité.
En juillet dernier, le successeur de Pôle emploi détectait un accès illégitime à son portail destiné aux partenaires. Des cybercriminels avaient pu consulter plusieurs informations personnelles de demandeurs d’emploi, dont les adresses, les numéros de téléphone ou encore les identifiants France Travail. L’alerte intervenait à peine un an après une première attaque massive, qui avait exposé les données de 43 millions de personnes, inscrites depuis plus de 20 ans.
L’affaire qui touche Discord aujourd’hui repose sur un tout autre mécanisme.
Un prestataire en cause, des données exposées
© Pexels – Pixabay
L’application de messagerie précise que ses systèmes n’ont pas été atteints directement. C’est un fournisseur tiers chargé de la gestion des tickets d’assistance et de la modération qui a été visé. Cet accès non autorisé a permis à un acteur externe de consulter certains échanges passés avec les utilisateurs. Les données exposées comprennent les noms, les identifiants Discord, les adresses e-mail, ainsi que les quatre derniers chiffres de cartes bancaires. Selon Discord, les numéros complets et les mots de passe n’ont heureusement pas été compromis.
Le cas le plus sensible concerne un petit nombre de justificatifs d’identité transmis par des utilisateurs ayant contesté une vérification d’âge. Si vous avez déjà déposé ce type de document dans le cadre d’un appel, vous faites peut-être partie des personnes concernées. Discord indique qu’un courriel spécifique est en cours d’envoi pour notifier les comptes touchés. Vous pourriez donc recevoir un message officiel détaillant les éléments consultés dans votre dossier.
Une alerte révélée par une tentative d’extorsion
Discord a été mis au courant de l’intrusion après une tentative de chantage. L’auteur cherchait à obtenir une rançon en échange de son silence. La plateforme a révoqué immédiatement l’accès du fournisseur visé, prévenu les autorités compétentes, et entamé une révision complète de ses procédures de sécurité. Des renforts ont aussi été annoncés pour encadrer les partenaires tiers et éviter que ce type de faille ne se reproduise.
Même si le volume de comptes concernés reste limité, l’exposition de documents officiels peut entraîner de lourdes conséquences pour les victimes. L’un des risques est par exemple d’être la cible de tentatives de phishing plus crédibles, fondées sur des données exactes.
Cette affaire rappelle que, même en l’absence d’accès aux mots de passe, certains éléments suffisent à déclencher des fraudes ciblées. La vigilance reste donc de mise, surtout si vous avez eu un contact récent avec l’assistance de Discord.
Et en parlant de sécurité des données, on apprenait hier que le parquet de Paris a ouvert une enquête contre Apple, pour écoute à l’insu des utilisateurs.
