Le 3 octobre 2025, Discord a signalé que des pirates avaient compromis l’un de ses fournisseurs tiers de service client et de support (5CA), et auraient volé au moins 70 000 images(nouvelle fenêtre) de pièces d’identité émises par le gouvernement (comme des passeports ou des permis de conduire) utilisées pour la vérification de l’âge.

Selon Discord, d’autres informations sensibles qui ont été volées incluent :

  • Les noms, noms d’utilisateur Discord, adresses email et autres coordonnées de contact que les utilisateurs ont fournis pour recevoir du support.
  • Les messages ou transcriptions de conversation avec les agents de support (par exemple, ce que les utilisateurs ont communiqué aux équipes de support).
  • Métadonnées de facturation et de paiement limitées, y compris le moyen de paiement, l’historique des achats et les quatre derniers chiffres des cartes de paiement.
  • Les adresses IP associées aux interactions de support.
  • « Données d’entreprise limitées » telles que des supports de formation ou des présentations internes stockées dans le système de support.

Il indique également que les types d’informations sensibles suivants n’ont pas été consultés :

  • Numéros complets de cartes de paiement et codes de sécurité (CCV)
  • Messages ou activité sur Discord au-delà de ce que les utilisateurs ont pu discuter avec le service client
  • Mots de passe ou données d’authentification

La fuite a apparemment(nouvelle fenêtre) commencé le 20 septembre(nouvelle fenêtre) après que les attaquants ont compromis le compte d’un agent de support, et ils ont eu accès aux données des utilisateurs de Discord pendant environ 58 heures. Discord contacte tous les utilisateurs impactés via email à noreply@discord.com.

La motivation des attaques semble être entièrement financière, la demande initiale de rançon de 5 millions de dollars des pirates ayant été réduite plus tard à 3,5 millions de dollars. Un porte-parole de Discord a déclaré à The Verge(nouvelle fenêtre) que Discord « ne récompensera pas les responsables de leurs actions illégales ».

Cependant, il existe des rapports contradictoires sur la portée de l’attaque et sur qui est vraiment en faute. Le groupe cybercriminel revendiquant l’attaque, Scattered LAPSUS$ Hunters, affirme avoir volé 1,5 téraoctet de données à 5,5 millions d’utilisateurs, dont plus de 2,1 millions de photos de pièces d’identité gouvernementales. Et le 14 octobre, 5CA, le service client tiers que Discord allègue être responsable de la fuite, (nouvelle fenêtre)a nié(nouvelle fenêtre) avoir traité des pièces d’identité émises par le gouvernement pour Discord, ou que son système avait été piraté (tout en admettant que l’incident résultait potentiellement d’une erreur humaine).

Alors pourquoi Discord a-t-il collecté des photos de pièces d’identité gouvernementales ?

Pour se conformer à la nouvelle loi britannique sur la vérification de l’âge(nouvelle fenêtre) (et à celle à venir en Australie), Discord expérimente la vérification de l’âge(nouvelle fenêtre) en utilisant soit un scan du visage, soit une pièce d’identité scannée (comme un passeport ou un permis de conduire).

Généralement, Discord exigeait un selfie de l’utilisateur(nouvelle fenêtre) puis utilisait un logiciel pour scanner la photo et estimer son âge. Discord supprimait ensuite la photo à la fin du processus. Le système qui aurait été piraté faisait partie de son processus d’appel.

Si un utilisateur estimait avoir été banni à tort parce qu’il était trop jeune, il pouvait envoyer une photo de sa pièce d’identité émise par le gouvernement pour aider à prouver son âge. Ce sont ces données qui auraient été volées. Et étant donné les 200 millions d’utilisateurs actifs de Discord, si même une petite fraction d’entre eux a dû passer par le processus d’appel, cela représente potentiellement des millions de pièces d’identité.

Qu’une plateforme de réseaux sociaux utilisée principalement par des joueurs ressente le besoin de collecter ces informations montre jusqu’où s’est déjà étendue la dérive des lois sur la vérification de l’âge, dont l’objectif déclaré est de protéger les enfants de la pornographie.

Comment vous protéger

Cette fuite est un autre rappel que nous sommes souvent obligés de remettre des données sensibles avec peu de visibilité sur la façon dont elles sont stockées, sécurisées ou partagées. Bien que vous ne puissiez pas rappeler les données qui ont déjà fuité, vous pouvez essayer de prendre le contrôle des données que vous partagez à l’avenir. Voici comment :

  • Auditez où se trouvent vos données sensibles : Si vous avez dû partager vos données sensibles (comme une pièce d’identité), lisez leur politique de confidentialité. Si vous n’utilisez plus ce compte, voyez s’il existe une option pour supprimer vos données.
  • Utilisez des services qui ne nécessitent pas de données invasives : Cela devient plus difficile, mais les données qui ne sont jamais collectées ne peuvent pas fuiter. Si vous avez besoin d’un service, cherchez ceux qui sont transparents(nouvelle fenêtre) sur les données qu’ils collectent, dans quel but et combien de temps elles seront stockées.
  • Gardez le partage de données au minimum en ligne : Même (ou, compte tenu des nombreuses attaques récentes se concentrant sur les portails de support, surtout) lors des interactions de support, ne partagez aucune information inutile. Utilisez un VPN(nouvelle fenêtre) et des alias d’adresse e-mail chaque fois que possible.

Ce que cela signifie pour la vérification de l’âge

La nécessité de protéger les enfants des nombreux dangers en ligne(nouvelle fenêtre) est réelle, il est donc compréhensible que les gouvernements du monde entier, de l’UE(nouvelle fenêtre) à l’Australie(nouvelle fenêtre) en passant par le Canada(nouvelle fenêtre), soient désireux de suivre la loi sur la vérification de l’âge récemment appliquée au Royaume-Uni.

Que de telles lois soient la meilleure solution au problème est ouvert au débat(nouvelle fenêtre), mais ce qui est certain, c’est que les fuites de données sont devenues une rengaine quotidienne telle que nous remarquons à peine les gros titres sur une autre entreprise de premier plan laissant fuiter les détails personnels de millions de personnes.

Et il n’y a jamais eu aucune raison de supposer que les données de vérification de l’âge, particulièrement sensibles, seraient immunisées contre de telles fuites, un point prouvé de façon spectaculaire par cet incident.

Cela signifie que même si vous approuvez les lois sur la vérification de l’âge sur le principe, elles ne devraient pas être mises en œuvre avant que des solutions sécurisées, décentralisées et aux standards ouverts qui respectent véritablement votre vie privée ne soient développées et rendues largement disponibles.