La messagerie Discord, un des réseaux de discussion les plus populaires du Web, a apporté des précisions au sujet d’un piratage ayant entraîné une fuite de données de ses utilisateurs, dans un nouveau communiqué publié jeudi 9 octobre. Selon l’entreprise, des données provenant de 5CA, un sous-traitant spécialisé dans le service client, ont ainsi été dérobées. « Il ne s’agit pas d’une fuite provenant de Discord », affirme la messagerie. Contacté, 5CA n’avait pas répondu aux sollicitations du Monde à l’heure de la publication.
Parmi les données exposées, on trouve dans certains cas des copies de documents d’identité. Environ 70 000 utilisateurs de Discord pourraient être concernés par la compromission de ces documents officiels.
Comme de nombreux acteurs du Web, Discord utilise en effet des outils de vérification d’âge, notamment pour s’assurer que les mineurs n’accèdent pas à des contenus sensibles. Les photos de documents d’identité ayant fuité pourraient avoir été envoyées par des utilisateurs considérés comme mineurs ou non vérifiés par Discord qui contestaient cette décision auprès du service client géré par 5CA.
Ce vol de données a lieu alors même que la vérification d’âge en ligne se généralise peu à peu, sous l’impulsion du Royaume-Uni, mais aussi de la France, des Etats-Unis et de l’Union européenne. Controversés, ces outils de plus en plus déployés dans l’objectif de protéger les mineurs en ligne sont vus comme un nouveau facteur de risque pour la vie privée.
Le piratage de documents sensibles envoyés lors de telles procédures de vérification fait partie des risques mis en avant par certaines organisations, comme l’Electronic Frontier Foundation. « Les militants pour la protection des libertés numériques alertent depuis longtemps quant à la possibilité de ce scénario », note ainsi le site spécialisé 404 Media.
Pour l’heure, un flou persiste quant à l’origine exacte du piratage qui a touché Discord. Un groupe spécialisé dans l’extorsion connu sous le nom de Scattered Lapsus$ Hunters, suspecté d’être derrière ce vol de données, a par la suite nié en être à l’origine.
