Des données issues de serveurs Discord seraient collectées par des acteurs tiers puis revendues, notamment à des forces de l’ordre et à des entreprises d’IA. Il ne s’agit pas d’une vente directe par Discord, mais d’un phénomène d’agrégation et de revente de contenus accessibles publiquement ou semi publiquement via des outils de scraping. Un rapport indique que ces données ont peut-être été récupérées et vendues en ligne pour seulement 5 dollars. Discord fait face à d'importants défis en matière de sécurité. Il y a à peine quatre mois, un prestataire de services d'identité a été piraté, exposant ainsi les informations de plus de 70 000 utilisateurs de la plateforme.En 2024, 404 Media a rapporté qu'un service en ligne appelé Spy Pet récupérait les données de plus de 10 000 serveurs Discord. L'énorme quantité de données accumulées grâce à cette activité est utilisée à des fins multiples : Spy Pet les vend pour seulement 5 $ via des cryptomonnaies (notamment bitcoin, ethereum ou Monero) à toute personne intéressée, mais surtout aux forces de l'ordre et aux organisations qui souhaitent former des systèmes d'IA.
Spy Pet transforme essentiellement la plateforme fragmentée de Discord, où les utilisateurs peuvent publier sur des milliers de serveurs de leur choix, en un moyen facile de cibler l'activité d'un utilisateur. Toute personne qui paie peut décider de voir ce que vous avez publié et où, en un seul endroit pratique.
Les enquêteurs ont testé Spy Pet et ont constaté que le site fonctionnait comme annoncé. Le média ne pouvait pas confirmer à l'époque les affirmations de Spy Pet selon lesquelles il disposerait des données de plus de 14 000 serveurs, 600 millions d'utilisateurs et 3 milliards de messages. Toutefois, il a pu acheter avec succès des données auprès du service. Apparemment, vous pouvez rechercher un utilisateur spécifique pour seulement environ 10 cents.
Spy Pet disposait de données provenant de divers serveurs, allant des communautés de jeux comme Minecraft, Among Us et Runescape aux serveurs liés aux cryptomonnaies. Cela dit, le média rapporte que bon nombre des dizaines de milliers de serveurs répertoriés ici ne contenaient aucune donnée et ne semblaient pas susceptibles d'être piratés. Dans tous les cas, il s'agissait bien évidemment d'une violation massive de la vie privée des utilisateurs.
Spy Pet a connu une existence brève et s’est fait neutraliser assez rapidement après sa médiatisation en avril 2024. À la suite des révélations publiques, Discord a identifié et banni les comptes utilisés pour le scraping. Le nombre de serveurs accessibles par les bots est passé progressivement d’environ 14 000 à zéro, ce qui a rendu la collecte impossible. Dans le même temps, le site Web Spy Pet est devenu indisponible et a été retiré par son hébergeur.
Le projet Spy Pet a mis en lumière un problème de sécurité majeur
La situation est complexe. D'une part, Spy Pet ne récupère pas réellement les messages directs : les messages privés entre les utilisateurs de la plateforme sont en sécurité, seuls les messages publiés sur les serveurs eux-mêmes sont concernés. C'est là que les choses se compliquent : ces messages ne sont pas nécessairement privés. Toute personne qui rejoint le serveur pourra voir tout ce que vous publiez et pourra extraire ces données elle-même.
En théorie, si quelqu'un faisait partie de tous les serveurs Discord sur lesquels vous êtes actif, il pourrait effectuer son propre scraping à la manière de Spy Pet. Ce serait étrange de sa part, mais il pourrait le faire. Ce que faisait Spy Pet va bien sûr au-delà : il récupérait des données et permettait de consulter toutes vos activités pour quelques centimes de dollars. De plus, il les vendait à des sources auxquelles vous n'avez jamais donné votre consentement.
Les forces de l'ordre ne se soucient probablement pas de votre activité sur Discord, mais vous ne vous attendiez pas à ce qu'elles examinent vos mèmes Minecraft. Il en va de même pour les entreprises d'IA : vous n'aimeriez probablement pas que vos données soient utilisées pour entraîner des modèles d'IA.
En somme, le niveau de confidentialité dépend uniquement de la configuration des rôles et de...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.