La populaire plateforme d'échecs en ligne Chess.com a annoncé avoir été victime d'une faille de sécurité. L'incident, qui s'est produit en juin, a permis à des pirates d'accéder aux données personnelles d'un petit nombre d'utilisateurs via une application tierce de transfert de fichiers.
Une faille chez un prestataire externe
Dans une notification envoyée aux utilisateurs concernés et déposée auprès des autorités américaines, Chess.com explique que la faille ne provient pas de ses propres serveurs, mais d'une "application de transfert de fichiers tierce" qu'elle utilise. Le nom de ce prestataire n'a pas été communiqué, mais des experts ont noté que des failles critiques avaient été découvertes cet été dans des logiciels populaires comme Wing FTP et CrushFTP.
Les pirates auraient eu accès à cette application vulnérable pendant deux semaines, entre le 5 et le 18 juin 2025. La plateforme a découvert l'intrusion le 19 juin et a immédiatement lancé une enquête, tout en prévenant les forces de l'ordre.
4500 utilisateurs concernés
Selon l'enquête, l'incident n'a touché qu'un nombre très limité d'utilisateurs. Sur les plus de 100 millions de membres que compte la plateforme, seuls 4 541 seraient concernés par cette fuite de données.
Les informations dérobées incluent les noms et, dans certains cas, d'autres "informations personnelles identifiables" qui n'ont pas été détaillées. Chess.com a cependant tenu à rassurer ses utilisateurs sur deux points importants : aucune information financière n'a été exposée, et les mots de passe des comptes n'ont pas été compromis, l'intrusion n'ayant pas touché l'infrastructure principale du site.
Des services de surveillance offerts
Bien que l'impact semble limité, Chess.com prend l'affaire au sérieux. L'entreprise a annoncé qu'elle offrait un à deux ans de services gratuits de surveillance de crédit et de vol d'identité aux personnes affectées par la faille. Les utilisateurs concernés ont jusqu'au 3 décembre 2025 pour s'inscrire. Bon esprit.
Ce n'est pas la première fois que la plateforme connaît des problèmes de sécurité. En novembre 2023, les données de plus de 800 000 utilisateurs avaient été extraites via une faille de son API et publiées sur un forum de pirates.
On en dit quoi ?
Cette affaire est un nouveau cas d'école des risques liés à la chaîne d'approvisionnement logicielle. Même si les serveurs de Chess.com n'ont pas été directement piratés, la faille de sécurité chez un de leurs prestataires a suffi pour exposer les données de leurs clients.
Si l'impact de cette nouvelle faille semble bien plus limité que l'incident de 2023, la répétition des problèmes de sécurité est préoccupante. Pour les entreprises, cela souligne l'importance cruciale d'auditer la sécurité de tous les services tiers auxquels elles font appel. Pour les utilisateurs, c'est une nouvelle preuve que nos données sont disséminées chez de nombreux acteurs, et qu'une faille chez l'un d'eux peut avoir des conséquences problématiques. Et du coup, questions, vous êtes classés combien sur Chess.com ? Moi je n’ose pas vous dire, c’est dramatique, je suis une vraie quiche.
