Vos données Discord, notamment vos activités sur les serveurs publics, ont peut-être été récupérées et vendues aux forces de l'ordre et aux entreprises spécialisées dans l'IA pour seulement 5 dollarsDes données issues de serveurs Discord seraient collectées par des acteurs tiers puis revendues, notamment à des forces de l’ordre et à des entreprises d’IA. Il ne s’agit pas d’une vente directe par Discord, mais d’un phénomène d’agrégation et de revente de contenus accessibles publiquement ou semi publiquement via des outils de scraping. Un rapport indique que ces données ont peut-être été récupérées et vendues en ligne pour seulement 5 dollars. Discord fait face à d'importants défis en matière de sécurité. Il y a à peine quatre mois, un prestataire de services d'identité a été piraté, exposant ainsi les informations de plus de 70 000 utilisateurs de la plateforme.
En 2024, 404 Media a rapporté qu'un service en ligne appelé Spy Pet récupérait les données de plus de 10 000 serveurs Discord. L'énorme quantité de données accumulées grâce à cette activité est utilisée à des fins multiples : Spy Pet les vend pour seulement 5 $ via des cryptomonnaies (notamment bitcoin, ethereum ou Monero) à toute personne intéressée, mais surtout aux forces de l'ordre et aux organisations qui souhaitent former des systèmes d'IA.
Spy Pet transforme essentiellement la plateforme fragmentée de Discord, où les utilisateurs peuvent publier sur des milliers de serveurs de leur choix, en un moyen facile de cibler l'activité d'un utilisateur. Toute personne qui paie peut décider de voir ce que vous avez publié et où, en un seul endroit pratique.
Les enquêteurs ont testé Spy Pet et ont constaté que le site fonctionnait comme annoncé. Le média ne pouvait pas confirmer à l'époque les affirmations de Spy Pet selon lesquelles il disposerait des données de plus de 14 000 serveurs, 600 millions d'utilisateurs et 3 milliards de messages. Toutefois, il a pu acheter avec succès des données auprès du service. Apparemment, vous pouvez rechercher un utilisateur spécifique pour seulement environ 10 cents.
Spy Pet disposait de données provenant de divers serveurs, allant des communautés de jeux comme Minecraft, Among Us et Runescape aux serveurs liés aux cryptomonnaies. Cela dit, le média rapporte que bon nombre des dizaines de milliers de serveurs répertoriés ici ne contenaient aucune donnée et ne semblaient pas susceptibles d'être piratés. Dans tous les cas, il s'agissait bien évidemment d'une violation massive de la vie privée des utilisateurs.
Spy Pet a connu une existence brève et s’est fait neutraliser assez rapidement après sa médiatisation en avril 2024. À la suite des révélations publiques, Discord a identifié et banni les comptes utilisés pour le scraping. Le nombre de serveurs accessibles par les bots est passé progressivement d’environ 14 000 à zéro, ce qui a rendu la collecte impossible. Dans le même temps, le site Web Spy Pet est devenu indisponible et a été retiré par son hébergeur.
Le projet Spy Pet a mis en lumière un problème de sécurité majeur
La situation est complexe. D'une part, Spy Pet ne récupère pas réellement les messages directs : les messages privés entre les utilisateurs de la plateforme sont en sécurité, seuls les messages publiés sur les serveurs eux-mêmes sont concernés. C'est là que les choses se compliquent : ces messages ne sont pas nécessairement privés. Toute personne qui rejoint le serveur pourra voir tout ce que vous publiez et pourra extraire ces données elle-même.
En théorie, si quelqu'un faisait partie de tous les serveurs Discord sur lesquels vous êtes actif, il pourrait effectuer son propre scraping à la manière de Spy Pet. Ce serait étrange de sa part, mais il pourrait le faire. Ce que faisait Spy Pet va bien sûr au-delà : il récupérait des données et permettait de consulter toutes vos activités pour quelques centimes de dollars. De plus, il les vendait à des sources auxquelles vous n'avez jamais donné votre consentement.
Les forces de l'ordre ne se soucient probablement pas de votre activité sur Discord, mais vous ne vous attendiez pas à ce qu'elles examinent vos mèmes Minecraft. Il en va de même pour les entreprises d'IA : vous n'aimeriez probablement pas que vos données soient utilisées pour entraîner des modèles d'IA.
En somme, le niveau de confidentialité dépend uniquement de la configuration des rôles et de la taille du serveur. Plus il y a de membres ou d’intégrations, plus le risque d’exposition augmente. Tout contenu visible sur un serveur peut être copié, archivé ou indexé par des outils externes sans compromettre l’infrastructure de la plateforme. Il ne faut donc pas y diffuser d’informations sensibles, confidentielles, contractuelles, d’identifiants techniques, etc.
Les informations récupérées par Spy Pet incluaient le contenu des messages, les pseudonymes, les identifiants d’utilisateurs, ainsi que des éléments contextuels comme les serveurs fréquentés et les interactions. Ces données peuvent être recherchées et corrélées, ce qui facilite la reconstitution de profils d’activité. (Comme souligné ci-dessus, les messages privés ne sont pas accessibles par ce procédé, sauf s’ils ont été publiquement exposés ailleurs.)
Violation des données Discord relatives à la vérification de l'âge
Une cyberattaque récente contre un prestataire tiers de services a révélé une faille critique dans la sécurité opérationnelle de Discord, entraînant le vol de données utilisateur à partir de tickets d'assistance. L'incident, revendiqué par le groupe Scattered Lapsus$ Hunters, ne repose pas sur une exploitation technique de l'infrastructure centrale de Discord, mais sur la compromission stratégique d'un maillon faible de sa chaîne d'approvisionnement.
La cause profonde de cette violation réside dans le risque inhérent aux relations avec les fournisseurs tiers. Selon les rapports sur l'incident, les serveurs centraux de Discord, qui hébergent les messages privés et les données d'authentification, sont restés sécurisés. Les pirates informatiques ont plutôt ciblé un fournisseur de services à la clientèle dédié ayant un accès autorisé au système de tickets d'assistance de la plateforme de médias sociaux :
- objectif : extorsion financière. Le groupe a obtenu un moyen de pression en volant un ensemble de données défini afin de faire pression sur Discord pour obtenir une rançon ;
- méthode : en compromettant le fournisseur, ils ont contourné les défenses principales de Discord, illustrant une attaque classique de la chaîne d'approvisionnement où la sécurité de l'ensemble de l'écosystème est dictée par son partenaire le moins sécurisé.
Les données volées sont une reproduction directe des informations que les utilisateurs divulguent lorsqu'ils contactent le service d'assistance. La compromission est importante non pas en raison de son ampleur parmi la base d'utilisateurs de Discord, mais en raison de la sensibilité des tickets d'assistance concernés.
L'ensemble de données principal comprend :
- les conversations et les pièces jointes des tickets d'assistance ;
- les identifiants des utilisateurs (nom d'utilisateur, e-mail) et les adresses IP ;
- des données de facturation limitées (type de paiement, 4 derniers chiffres de la carte).
Il s'agit en réalité de l'exfiltration d'un nombre limité de documents d'identité délivrés par le gouvernement (permis de conduire, passeports) soumis pour des demandes de vérification d'âge. Cela transforme un incident standard de fuite de données en un risque d'usurpation d'identité très grave. Malgré cette fuite, Discord a annoncé que la plateforme exigera un scan de visage ou une pièce d'identité pour accéder à certains contenus dès mars 2026.
Limites structurelles de la vérification d’âge sur les plateformes
Discord ne fait pas cavalier seul. Ce déploiement mondial fait suite à une introduction des contrôles d'âge au Royaume-Uni et en Australie, en réponse aux législations locales de protection des mineurs en ligne. Roblox a récemment ajouté la vérification faciale obligatoire pour accéder aux chats, et YouTube a lancé son outil d'estimation d'âge aux États-Unis en 2025. TikTok et d'autres plateformes ont toutes emboîté le pas sous pression réglementaire.
Cependant, les récents incidents de violation de données subis par Discord mettent en lumière les limites structurelles de la vérification d’âge. Selon les experts, l'exigence de la vérification de l'âge augmente le taux de données collectées par les plateformes en ligne, ce qui attire davantage les pirates.
Le passage à la vérification par pièce d’identité ou estimation faciale répond à la problématique de l’accès des mineurs, mais introduit un nouveau risque : la collecte de données sensibles. Pour rappel, la fuite subie en octobre 2025 par Discord (via son prestataire tiers) impliquait environ 70 000 photos d’identité. Cette violation de données a renforcé la méfiance des utilisateurs et montré que ces systèmes déplacent le risque au lieu de l'éliminer.
Même avec des contrôles plus stricts, les systèmes restent contournables, dépendants de tiers, et sujets à des erreurs d’inférence d’âge. Ils ne traitent pas non plus le problème principal : le comportement des utilisateurs et la modération des interactions. En synthèse, ces incidents ont transformé la vérification d’âge en exigence réglementaire, mais ont exposé un compromis non résolu entre protection des mineurs et protection des données personnelles.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des activités antérieures du courtier de données Spy Pet ?
La vérification de l'âge est-elle une solution efficace contre l'accès des mineurs aux contenus préjudiciables ?
Ou s'agit-il simplement d'une fausse bonne idée qui exposent les utilisateurs des plateformes à de nouveaux risques ?
Spy Pet a été mis hors ligne, mais pensez-vous que d'autres activités de ce type ont émergé sur Discord ou d'autres plateformes ?Voir aussi
Discord va exiger un scan de visage ou une pièce d'identité pour accéder à certains contenus dès mars 2026 : quatre mois avant, ses prestataires ont pourtant fait fuiter celles de 70 000 utilisateurs
Violation des données relatives à la vérification de l'âge : le partenaire tiers de Discord a divulgué des identifiants gouvernementaux, notamment des documents d'identité et des numéros de carte de crédit
Discord.io reconnait avoir été victime d'une brèche de sécurité informatique : 760 000 comptes d'utilisateurs en vente sur le darknet
Vous avez lu gratuitement 6 177 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.