Discord a confirmé que des documents d'identité fournis par environ 70 000 utilisateurs pourraient avoir été compromis suite à une faille de sécurité chez un prestataire de support client. L’incident n’a pas touché directement les serveurs de Discord, mais des données sensibles ont été exposées.
Une faille chez un prestataire externe, pas sur les serveurs Discord
La plateforme Discord, utilisée par plus de 200 millions de personnes dans le monde, a révélé avoir été indirectement victime d’une fuite de données. L'incident, survenu le 20 septembre 2025, concerne un prestataire externe chargé du support client. Ce partenaire a été ciblé par une attaque, permettant à des hackers d’accéder à des informations sensibles, en particulier des images de pièces d’identité envoyées lors de procédures de vérification d’âge. Discord affirme que sa propre infrastructure n’a pas été compromise.
Quelles données ont été compromises ?
Outre les documents d’identité (passeports, permis de conduire), les attaquants ont pu consulter des noms, pseudonymes Discord, adresses e-mail, IP et messages échangés avec le support. Dans certains cas, des données bancaires partielles ont aussi été exposées, comme les quatre derniers chiffres de cartes de paiement et l’historique des transactions. Aucun mot de passe, ni message en dehors des conversations avec le support, n’a été compromis selon Discord.
Une tentative d’extorsion et une guerre de communication
Le groupe à l’origine de l’attaque se présente comme les Scattered Lapsu$ Hunters, un collectif affilié à des acteurs connus comme Lapsu$, Scattered Spider ou ShinyHunters. Ils affirment détenir 1,5 To de données, dont plus de deux millions de photos, des chiffres que Discord dément formellement, les qualifiant de manœuvre d’extorsion. L’entreprise dit avoir refusé de payer toute rançon et coopère désormais avec les autorités.
Discord tente de rassurer, mais la question de la sous-traitance est toujours là
Tous les utilisateurs potentiellement concernés ont été notifiés par email. Discord a coupé l’accès du prestataire compromis, lancé une enquête interne et collaboré avec les forces de l’ordre. L’entreprise rappelle que les photos d’identité sont censées être supprimées immédiatement après la vérification, sauf en cas de recours.
On en dit quoi ?
Si Discord n’a pas été techniquement piraté, cette affaire montre une faille classique : la sous-traitance mal maîtrisée. Externaliser des fonctions sensibles comme le support client impose une rigueur que beaucoup de plateformes n’assument pas toujours. Au-delà des chiffres, c’est la confiance dans les systèmes de vérification en ligne qui se fragilise. Du coup la question se pose clairement doit-on continuer à confier ses papiers d’identité à des services tiers ?
