Close Menu

    Discord victime d’une faille via un prestataire : des données d’utilisateurs compromises

    Une attaque contre un prestataire de Discord a compromis des données sensibles d’utilisateurs, relançant les inquiétudes sur la sécurité.
    Andy RakotondrabePar 03 Minutes
    Moderation Discord - Exclure et Bannir

    Discord, c’est la célèbre plateforme de communication comptant plus de 200 millions d’utilisateurs actifs. Néanmoins, dans la cour des grands, les failles de sécurité ne sont jamais écartées. Celle sur Discord avait alors exposé certaines données personnelles. Le piratage ne visait pas directement ses serveurs, mais un prestataire tiers de son service client. Que s’est-il passé ?

    Un piratage ciblant un prestataire de support

    Le 20 septembre, une attaque a visé l’un des prestataires du service client de Discord. Selon la société, un acteur non autorisé a pu accéder à des informations. Ces dernières étaient issues de communications entre utilisateurs et équipes de support ou de confiance et sécurité.

    Toutefois, Discord précise qu’aucune base de données interne ni aucun message échangé sur la plateforme n’ont été compromis. Les données concernées incluent les éléments suivants :

    • Des noms réels
    • Des adresses e-mail
    • Des pseudonymes Discord
    • Des adresses IP
    • Les quatre derniers chiffres de cartes bancaires associées

    Plus problématique encore, un « petit nombre » d’images de pièces d’identité, permis de conduire ou passeports, ont été exposées. Ces documents avaient été transmis dans le cadre de procédures de vérification d’âge ou de contestation de décisions.

    Discord assure que les informations les plus sensibles, telles que les mots de passe, adresses physiques et numéros complets de cartes bancaires, n’ont pas été compromises. Les utilisateurs affectés ont reçu un e-mail officiel de noreply@discord.com précisant la nature exacte des données exposées.
    Dans un contexte où Discord étend ses procédures de vérification, notamment en Australie et au Royaume-Uni, la gestion sécurisée de ces documents devient un enjeu critique.

    Mon téléphone a été piraté

    VOIR AUSSI : Comment sécuriser son ordinateur contre les virus et ransomwares ?

    Une faille qui relance le débat sur la sécurité des tiers

    Discord affirme avoir révoqué immédiatement les accès du prestataire incriminé et notifié les autorités compétentes. Un audit complet des systèmes externes est en cours afin de renforcer les contrôles futurs.

    Cependant, cet incident met en lumière un point faible récurrent. Ce n’est autre que la dépendance des grandes plateformes à des prestataires tiers souvent moins sécurisés. Selon plusieurs sources, l’attaque aurait visé la société Zendesk, utilisée pour la gestion du support client. Les cybercriminels auraient tenté d’extorquer une rançon à Discord. Une pratique désormais fréquente dans les attaques contre les entreprises technologiques.

    Des groupes comme Scattered Lapsu $ Hunters ou Scattered Spider ont été mentionnés. Ils sont connus pour leurs méthodes de piratage basées sur l’ingénierie sociale plutôt que sur des logiciels malveillants.

    Malgré la portée limitée du piratage, cette affaire soulève des inquiétudes sur la protection des identités numériques, notamment pour les utilisateurs ayant fourni des justificatifs d’âge. Discord a réagi rapidement. Cependant, cet épisode souligne la nécessité d’une meilleure gouvernance des données partagées avec des fournisseurs tiers. Les utilisateurs doivent, eux aussi, rester vigilants quant aux informations transmises, même dans un cadre officiel.

    Noter cet article

    IdealoGeek est un média indépendant. Soutiens-nous en nous ajoutant à tes favoris sur Google Actualités :

    Suis-nous sur Google ⭐➡️
    Partager
    Andy Rakotondrabe

    Rédacteur pigiste spécialisé sur la thématique des NTIC. "L'ordinateur est né pour résoudre des problèmes qui n'existaient pas auparavant." - Bill Gates

    Articles similaires
    Laisser une réponse