Possibilité de fuite des informations de pièce d’identité de 70 000 utilisateurs de Discord

 (theverge.com)
1 points par GN⁺ 2025-10-09 | 1 commentaires | Partager sur WhatsApp
  • Discord a révélé qu’en raison d’un incident de sécurité chez un prestataire tiers de support client, les photos de pièces d’identité officielles d’environ 70 000 utilisateurs ont pu être exposées
  • Cet incident s’est produit chez un fournisseur de services externe, et non dans les systèmes propres de Discord
  • Les attaquants ont tenté de faire chanter Discord en diffusant des chiffres exagérés par rapport à l’ampleur réelle des dégâts
  • Tous les utilisateurs concernés ont été contactés directement individuellement, et Discord coopère étroitement avec les forces de l’ordre
  • Discord a mis fin à son contrat avec le prestataire concerné et a immédiatement mis en œuvre des mesures de renforcement de la sécurité

Aperçu de l’incident de sécurité

  • Discord a partagé une position officielle concernant un récent incident de sécurité survenu chez un prestataire tiers de service client
  • Une confusion est apparue, car les auteurs de cet acte illégal diffusent de fausses informations en ligne ainsi que des affirmations exagérées, notamment sur le nombre de victimes

Nature de l’incident

  • La cible du piratage n’était pas le système de Discord lui-même, mais le système d’un prestataire externe utilisé pour l’assistance au service client
  • À cause de l’exposition de données chez ce prestataire, les photos de pièces d’identité officielles d’au plus environ 70 000 utilisateurs ont pu être compromises
  • Ces informations d’identité étaient principalement utilisées pour la vérification de l’âge et le traitement des contestations liées aux restrictions d’âge

Réponse de Discord

  • Tous les utilisateurs concernés ont déjà été informés individuellement
  • Discord continue de coopérer avec les forces de l’ordre, les autorités de protection des données et des experts externes en sécurité
  • Discord a immédiatement résilié son contrat avec le prestataire externe impliqué
  • Les mesures de sécurité du système concerné ont été renforcées

Position complémentaire de Discord

  • Discord souligne qu’il n’a aucune intention de négocier ni de verser de compensation face aux fausses affirmations et aux actes illégaux des auteurs de la menace
  • L’entreprise affirme prendre très au sérieux sa responsabilité en matière de protection des données personnelles et comprendre les inquiétudes des utilisateurs

À lire aussi

1 commentaires

 
GN⁺ 2025-10-09
Avis sur Hacker News

  • J’ai l’impression d’être devenu cynique et sceptique, mais ce genre de chose ne me surprend même plus. Dès qu’on donne des données personnelles à quelqu’un, je pars du principe que tout le monde finira par y avoir accès. Même si le service précise dans ses TOS qu’il « ne vend pas les informations à des tiers », il y aura au final quelque part une faille de sécurité bancale qui entraînera une fuite. Ce n’est pas seulement la faute d’une entreprise en particulier, c’est à mon avis un problème systémique lié au fait que les pouvoirs publics ne mettent pas en place ni ne font appliquer de mesures de sécurité strictes. J’ai cessé d’espérer que mes données personnelles soient protégées, et tout ce qui est vraiment important et doit rester privé, je ne le numérise tout simplement pas dès le départ, et je n’autorise jamais qu’on en fasse des copies

    • Si c’est relayé dans les médias, ce n’est pas pour surprendre les gens, c’est parce que c’est un sujet important. De plus en plus de gouvernements font passer des lois sur la vérification de l’âge, ce qui met précisément ce type de données entre les mains d’un nombre croissant d’entreprises privées risquées. Cette fuite montre que ces lois sont une erreur, et faire connaître largement l’affaire peut aider à faire évoluer la perception du public

    • La cause du problème, c’est le gouvernement. C’est lui qui oblige à demander systématiquement une pièce d’identité aux clients, et c’est pour ça que ce problème existe. Il n’existe aucune mesure de sécurité réellement efficace en dehors du fait de ne pas collecter ces données. Les gouvernements ne proposent même pas de solution de sécurité convenable au départ. Il est probable que ces données ne soient jamais vraiment supprimées, que Discord paie ou non ne changera rien

    • Si ce genre d’incident n’étonne plus personne, c’est parce qu’il n’y a jamais eu de sanctions importantes. Les gens sont devenus insensibles aux fuites massives, donc il y a eu très peu de vraies réactions. Et le fait qu’il soit difficile de faire adopter des lois qui vont réellement à l’encontre des intérêts des grandes entreprises y contribue aussi

    • Ce qui est vraiment absurde, c’est que la responsabilité retombe toujours sur les individus, sommés d’être anxieux et ultra-prudents, alors que les systèmes qui manipulent les données ne subissent pratiquement jamais de conséquences ni de sanctions

    • Il faut que les technologies de Zero Knowledge (preuve à divulgation nulle de connaissance) pour l’identité deviennent courantes au plus vite. Il existe déjà des technologies permettant de vérifier l’identité ou l’âge sans révéler les données personnelles, et c’est frustrant de voir qu’il faudra encore beaucoup de temps avant qu’elles ne se généralisent auprès du grand public

  • Le grand problème le plus négligé, c’est le manque de transparence des prestataires tiers qui manipulent des pièces d’identité sensibles. À chaque fuite, les entreprises n’indiquent pas clairement quel prestataire a réellement traité les données. À cause de cette opacité, les utilisateurs ne savent pas où leurs informations restent stockées et n’ont en pratique aucune possibilité de surveiller ces acteurs, ni de les soumettre à un contrôle. Tant que cette couche ne sera pas régulée, les fuites continueront et les responsabilités resteront floues

    • Cette couche de prestataires tiers, c’est la « matière noire » de l’écosystème des fuites de données. Pour l’utilisateur, elle est invisible, les entreprises en parlent à peine, et quand il y a un problème, elle assume rarement vraiment sa responsabilité

  • Discord utilise Zendesk(référence). Pourtant, dans sa communication officielle, l’entreprise n’a pas indiqué quel prestataire tiers avait été compromis, et Zendesk affirme que cela ne concernait pas son service. On est donc en droit de se demander quel autre prestataire tiers Discord utilisait, et dont ils cherchent exactement à protéger la réputation

  • Je ne comprends pas pourquoi ils stockent encore les pièces d’identité. Une fois la vérification d’âge terminée, ça devrait suffire ; pourquoi les conserver ? Il faudrait obliger ce genre d’entreprise à publier correctement le détail des incidents, comme le font Google ou Cloudflare

  • Les entreprises promettent généralement qu’elles utilisent les pièces d’identité uniquement pour vérification puis les suppriment immédiatement. Alors comment autant de pièces d’identité peuvent-elles se retrouver exposées ? Je me demande s’ils en vérifient vraiment des millions chaque mois

    • Le message d’information de Discord (en Australie) indique : « Les informations fournies sont utilisées uniquement pour vérifier votre tranche d’âge et sont supprimées immédiatement après vérification »(voir la capture d’écran). Je ne l’ai pas encore soumis moi-même, mais je réfléchis déjà à la manière de contourner le processus de reconnaissance faciale. Je n’ai aucune envie de fournir une pièce d’identité gouvernementale à une appli de chat, quelle qu’en soit la taille. À mon avis, une distinction d’âge du type « 13 à 18 ans, 18 ans et plus » devrait suffire. Aller au-delà ressemble surtout à du marketing ou de l’analyse de données

    • Dans une précédente communication officielle, il était dit qu’un nombre restreint d’images de pièces d’identité gouvernementales d’utilisateurs ayant demandé un « réexamen de l’âge » avaient été consultées par une personne non autorisée(source). Dans ce cas, le processus de traitement des contestations peut nécessiter de conserver la pièce pendant un certain temps. Si les recours mettent longtemps à être traités, les documents ont pu être conservés assez longtemps pour finir exposés

    • Soit la suppression immédiate promise était fausse, soit le prestataire tiers sous-traitant conservait les données de son côté

    • D’un point de vue réglementaire, les prestataires de vérification d’identité peuvent conserver les informations de pièce d’identité jusqu’à trois ans. Ils les utilisent aussi pour entraîner des systèmes de machine learning dédiés à la sécurité et à la détection de fraude

    • Je me demande si les TOS précisaient réellement que les données étaient supprimées, et à quelle vitesse exacte. Des termes comme « immédiatement » ou « bientôt » peuvent être interprétés de façons très différentes s’ils ne sont pas définis clairement dans le contrat, et dans certains cas les gouvernements imposent eux-mêmes légalement une conservation des données

  • Davantage de gouvernements devraient proposer des systèmes comme l’eID allemand, qui permettent de prouver uniquement son âge. C’est vraiment nécessaire, mais c’est dommage que ce soit si peu utilisé en pratique alors que ça existe

    • En Belgique, il existe un service appelé « itsme ». Il existe depuis longtemps, a d’abord été centré sur les usages gouvernementaux, mais il est désormais largement adopté aussi par les banques

    • L’eID allemand n’est pas seulement peu pratique : il n’est ni simple ni bon marché à intégrer dans un service. On a presque l’impression qu’il a été conçu pour pousser les gens vers des systèmes commerciaux, donc des solutions payantes(plus de détails)

  • Téléverser sa pièce d’identité gouvernementale sur Discord, c’est stupide

    • Au Royaume-Uni, il faut prouver son identité à Discord pour accéder aux canaux de libre expression réservés aux plus de 13 ans, afin de se conformer à l’Online Safety Act

    • Il est fréquent d’être banni pour avoir été considéré comme ayant moins de 13 ans. Par exemple, quelqu’un peut demander combien il y a de bougies sur une photo ; si vous répondez, puis qu’ensuite le contenu du chat est recadré comme si la question était « tu as quel âge ? », votre réponse peut soudain passer pour une déclaration d’âge. Discord occupe aujourd’hui la place qu’avaient autrefois MSN Messenger ou Yahoo IM, et tout votre réseau social numérique ainsi que l’historique des serveurs dépendent de ce seul compte. Si vous perdez le compte, vous perdez aussi vos amis et vos communautés ; les données de pièce d’identité devraient donc être supprimées totalement une semaine après la vérification, ou pouvoir être effacées directement depuis le panneau du compte

    • Ce n’est pas juste de blâmer les utilisateurs. L’entreprise construit ses politiques sous la contrainte des lois gouvernementales et impose une vérification des plus de 18 ans. J’ai moi-même essayé de passer par l’IA de reconnaissance faciale, mais cela fonctionnait si mal que j’ai fini par contacter le support comme recommandé, puis j’ai téléversé ma pièce après avoir vu la politique officielle de Discord indiquant que « la pièce est supprimée immédiatement après vérification »(politique) (politique de suppression). Mais Discord n’a pas réussi à la supprimer comme promis et a subi une fuite. La responsabilité entière revient au prestataire tiers, à Discord qui a manipulé les données avec légèreté, et au gouvernement qui a imposé ce type de politique. Des gens techniquement à l’aise comme nous peuvent peut-être plus facilement trouver des solutions d’auto-hébergement ou de contournement, mais c’est impossible pour le grand public. J’espère que ce genre d’affaire servira de déclencheur pour résister à ces politiques de vérification imposée à l’avenir. Mais le gouvernement britannique dira probablement simplement qu’il faut « protéger les enfants » et rejettera toute la faute sur Discord

    • J’ai déjà mon permis de conduire, mon passeport et d’autres pièces d’identité enregistrés auprès d’innombrables plateformes crypto. C’est la réalité, on ne peut pas y échapper, et pour un vrai KYC (vérification d’identité), une procédure de vérification vidéo est même indispensable

  • L’excuse du « c’est la faute du prestataire tiers » est devenue un schéma beaucoup trop courant. Si l’on collecte des informations aussi sensibles que des pièces d’identité gouvernementales, le niveau de sécurité doit être extrêmement élevé, peu importe entre quelles mains les données se trouvent

  • Simple question par curiosité : est-ce que la loi exige vraiment de conserver ce type de données même après la vérification d’âge ?

    • C’est justement l’aspect le plus étrange dans cette affaire. Je ne comprends pas pourquoi ils accepteraient volontairement une telle responsabilité. S’il faut réellement stocker ces données, il faut alors partir du principe qu’une fuite serait catastrophique et les isoler rigoureusement dans un service séparé, avec un accès strictement limité

    • Je travaille dans un autre secteur, mais lorsque nous devons vérifier une identité, nous extrayons uniquement les métadonnées au moment de l’affichage, puis nous détruisons immédiatement l’image. Conserver ce type d’images sur le long terme sans validation du service juridique serait en général impensable, et pour une simple vérification d’âge ou de nom, il n’y a a fortiori aucune raison de le faire

    • Rien ne prouve forcément qu’elles aient été stockées ; cela peut aussi être une supposition sans fondement. Dans cette fuite, il se peut que les données aient été interceptées temporairement au moment du traitement, et qu’il ne s’agisse pas d’une compromission d’un stockage statique permanent

    • C’est une hypothèse, mais ils ont peut-être conservé certaines images originales de pièces d’identité pour auditer les comptes en double. Si un modèle de machine learning soupçonne que deux comptes appartiennent à la même personne, ils peuvent comparer avec l’image originale pour confirmer un doublon

    • Dans l’UE (Union européenne), c’est plutôt l’inverse. Avec le GDPR (règlement général sur la protection des données), seules les données minimales doivent être utilisées, et tout usage hors finalité est interdit ; par exemple, des données soumises pour une vérification d’âge doivent être supprimées après la vérification

  • ZenDesk se félicite que « Discord fournisse une assistance fluide grâce à ses investissements dans le self-service alimenté par l’IA sur la plateforme Zendesk CX »