Vie privée & cybersécurité

Piratage Discord : une fuite de données via un prestataire du support client

Discord confirme une fuite de données après le piratage d’un prestataire du support client. Aucune intrusion directe dans la plateforme.

Image d'un écran représentant le logo de discord compromis

Discord a confirmé un incident de sécurité le 3 octobre 2025, après la compromission d’un prestataire tiers chargé de son service client. Si l’attaque ne touche pas directement la plateforme, certaines données d’utilisateurs ayant contacté le support ont été exposées.

Un piratage indirect mais préoccupant

Selon la communication officielle de Discord, un acteur non autorisé a compromis l’un de ses prestataires externes qui gérait les services de Customer Support et de Trust & Safety. L’attaque aurait eu pour objectif d’extorquer une rançon à Discord, sans accès direct à ses serveurs ni à ses messages internes.

L’entreprise précise que seul un nombre limité d’utilisateurs est concerné, notamment ceux ayant échangé avec le support. Les données potentiellement consultées incluent :

  • Nom, pseudo Discord, adresse e-mail et coordonnées de contact
  • Informations de paiement partielles (type de carte, quatre derniers chiffres, historique d’achats)
  • Adresses IP
  • Messages envoyés au support
  • Dans certains cas, copies de pièces d’identité (passeport, permis de conduire) transmises pour vérification d’âge

Ce qui n’a pas été compromis

Discord affirme que les serveurs de la plateforme n’ont pas été violés. Les éléments suivants n’ont donc pas été touchés :

  • Mots de passe et données d’authentification
  • Messages privés ou contenus échangés sur les serveurs Discord
  • Numéros complets de carte bancaire et codes CVV

La société indique avoir révoqué immédiatement l’accès du prestataire compromis, ouvert une enquête interne et fait appel à des experts en cybersécurité et à la police. Les utilisateurs concernés seront contactés par e-mail via noreply@discord.com.

Les risques pour les utilisateurs

Même si l’incident reste limité, plusieurs conséquences potentielles doivent être prises au sérieux :

  1. Phishing ciblé : les pirates pourraient utiliser les informations récupérées pour envoyer de faux e-mails Discord crédibles.
  2. Usurpation d’identité : pour les utilisateurs dont les pièces d’identité ont été compromises, le risque de fraude administrative existe.
  3. Recoupement de données : les informations collectées peuvent être croisées avec d’autres bases de données piratées.
  4. Perte de confiance : cet incident souligne la fragilité de la chaîne de sous-traitance en cybersécurité, souvent maillon faible des grandes plateformes.

Bon réflexe : vigilance et vérification

Discord invite les utilisateurs à rester attentifs aux messages suspects et à :

  • Vérifier l’origine des e-mails (seule l’adresse noreply@discord.com est officielle)
  • Ne jamais partager ses identifiants ou codes d’authentification
  • Activer la double authentification (2FA)
  • Surveiller ses relevés bancaires et l’activité de son compte
  • Consulter les canaux officiels pour toute confirmation

Une nouvelle alerte pour la cybersécurité des plateformes

Cet incident rappelle que même les géants du web peuvent être touchés par ricochet via leurs prestataires. Sous le RGPD, Discord devra probablement rendre des comptes aux autorités de protection des données européennes. L’entreprise affirme avoir renforcé ses audits de sécurité auprès de ses fournisseurs pour éviter que ce type de brèche ne se reproduise.

Sources