Discord a confirmé qu’environ 70 000 utilisateurs ont vu leurs pièces d’identité compromises après la compromission d’un prestataire externe chargé de vérifier l’âge des utilisateurs. Une fuite qui rappelle à quel point nos données peuvent nous échapper… même quand on fait tout “comme il faut”.
Une faille chez un prestataire, pas chez Discord
Le 3 octobre, Discord a reconnu qu’une attaque contre l’un de ses prestataires externes avait entraîné l’exposition de documents d’identité d’environ 70 000 utilisateurs. Le prestataire en question gérait les procédures de vérification d’âge — notamment via des copies de cartes d’identité, de passeports ou de permis de conduire. Les attaquants ont réussi à accéder à cette base, compromettant également des noms, adresses email, identifiants Discord, adresses IP et échanges avec le support.
Discord affirme que les mots de passe, numéros complets de carte bancaire et contenus de comptes ne sont pas concernés. La plateforme a immédiatement révoqué les accès du prestataire, lancé un audit interne et prévenu les utilisateurs touchés.
Les sous-traitants, maillon faible des géants du web
Ce type d’incident n’a malheureusement rien d’exceptionnel. En 2023 déjà, la faille du logiciel MOVEit avait permis à des cybercriminels de voler les données de plus de 90 millions de personnes via plusieurs entreprises partenaires. Ces attaques dites “par rebond” exploitent les relations de confiance entre sociétés : un service principal peut être irréprochable en matière de sécurité, mais le maillon faible est souvent un prestataire tiers (hébergement, support, vérification d’identité, marketing…).
Selon plusieurs études, plus d’un tiers des fuites de données en 2024 proviennent de ces fournisseurs externes. C’est aujourd’hui l’un des plus grands défis de la cybersécurité moderne.
Quand vos données ne sont plus entre vos mains
En tant qu’utilisateurs, nous ne pouvons malheureusement rien faire pour empêcher une fuite lorsqu’elle se produit chez un prestataire. Même les services les plus populaires (Discord, Google, Apple, Microsoft…) s’appuient sur des sous-traitants spécialisés.
Mais il existe quelques réflexes simples pour limiter les dégâts :
Surveillez vos emails et vos notifications en cas d’incident signalé par un service que vous utilisez.
Changez immédiatement vos mots de passe et activez la double authentification (2FA).
Évitez de fournir plus d’informations que nécessaire (et supprimez les documents d’identité envoyés si possible).
Envisagez un service de surveillance d’identité ou d’alerte en cas de fuite sur le dark web généralement vendu sous l'appellation "Dark Web Monitoring".
Au final, cette affaire Discord rappelle une vérité simple : vous pouvez protéger vos appareils, mais pas les serveurs des autres. D’où l’importance d’utiliser des outils de sécurité fiables — notamment sur Mac et iPhone — pour sécuriser au moins la partie que vous contrôlez.
