[MàJ] Fuite de données et pièces d’identité : Discord pointe du doigt 5CA, qui réfute

Call of Data : Warzone Breach

Discord reconnait une fuite de données, causée par un tiers, dont l’identité fait débat. Elle concerne des informations personnelles et bancaires de certains utilisateurs, mais aussi certains documents internes de la société. Les clients touchés sont en train d’être contactés par e-mail.

Sébastien Gavois

Le 15 octobre à 15h00

5 min

Sécurité

Mise à jour du 15 octobre à 15 h. Dans un nouveau rebondissement, 5CA affirme ne pas être à l’origine de la fuite : « nous pouvons confirmer qu’aucun des systèmes de 5CA n’était impliqué et que 5CA n’a traité aucune pièce d’identité émise par le gouvernement pour ce client […] Sur la base des résultats intermédiaires, nous pouvons confirmer que l’incident s’est produit en dehors de nos systèmes et que 5CA n’a pas été piraté ».

5CA ne parle que d’articles de presse « désignant 5CA comme la cause d’une fuite de données », sans jamais mentionner Discord. La plateforme, de son côté, mentionne toujours 5CA. Cette dernière affirme enfin que ses « systèmes de contrôle d’accès, de chiffrement et de surveillance sont parfaitement opérationnels et, par mesure de précaution, font l’objet d’un examen intensif ».

Selon les résultats de son enquête préliminaire, les premières informations « suggèrent que l’incident pourrait avoir résulté d’une erreur humaine »… sans préciser de qui, ni dans quelle société, il travaille.

Mise à jour du 10 octobre à 11h53. Après l’annonce par Discord d’une fuite de données chez un de ses prestataires, de nouvelles informations ont été mises en ligne. Les pirates revendiqueraient 1,5 To de données avec pas moins de 2,1 millions de documents officiels.

Discord s’est exprimée sur le sujet, affirmant à The Verge que « les chiffres partagés sont incorrects et font partie d’une tentative de rançon contre Discord ». La plateforme annonce au passage qu’elle ne paiera pas. Le même chiffre se retrouve dans le billet de blog initial qui a été mis à jour. Discord en profite pour donner le nom de son partenaire : 5CA.

Article original du 4 octobre à 16h54. Vous connaissez certainement la chanson qui commence par « la protection de la confidentialité et de la sécurité de nos utilisateurs est une priorité absolue », puis enchaine sur une fuite de vos données personnelles et/ou bancaires. C’est aujourd’hui au tour de Discord de nous jouer cette partition.

You’ve got a mail… « Important information regarding your personal data »

« Nous avons récemment découvert un incident durant lequel une personne non autorisée a compromis l'un des partenaires. Cette personne a ensuite eu accès à des informations d'un nombre limité d'utilisateurs ayant contacté Discord via notre service client ou les Trust & Safety agents », explique la plateforme dans un billet de blog. Le nombre de clients affecté n’est par contre pas précisé. L’éditeur revendique « plus de 200 millions d’utilisateurs actifs mensuels dans le monde », dont « plus de 90 % jouent à des jeux ».

Dès que le pot aux roses a été découvert, l’accès du tiers a évidemment été révoqué, colmatant ainsi la brèche. Une enquête interne a été lancée, avec l’aide d’experts externes et des forces de l'ordre, affirme Discord.

Les personnes affectées par cette fuite sont contactées par email. C’est le cas d’un lecteur qui nous a fait suivre l’email Discord intitulé « Important information regarding your personal data ». Il reprend le billet de blog, mais avec des détails supplémentaires comme un « numéro de ticket » associé à ce compte :

Noms, pseudos, IP, messages au service client, derniers chiffres de CB…

De quoi parle-t-on exactement ? Dans le lot, il y a des noms, des adresses IP des pseudos Discord, des email et d’autres informations de contact qui auraient pu être partagés avec le service client de Discord, ainsi que des messages échangés avec le service client.

Des informations de facturation bancaires « limitées » comme le mode de paiement, les quatre derniers chiffres de votre carte bancaire et l'historique des achats si ces informations sont rattachées à votre compte. Enfin, « certaines données de l'entreprise (supports de formation, présentations internes) » ont aussi pu être exfiltrées.

Mais aussi des documents d’identités officiels

C’est déjà pas mal, mais ce n’est pas encore terminé. Des documents officiels ont pu être récupérés par le ou les pirates : « un petit nombre de documents d'identité officiels (par exemple, permis de conduire, passeport) d'utilisateurs ayant fait appel d'une décision de détermination de l'âge. Si votre pièce d'identité a pu être consultée, cela sera précisé dans l’email que vous recevrez ».

Discord précise enfin que les numéros de carte bancaire complets ainsi que les codes CCV n’ont pas été consultés. Pas plus que les messages envoyés à un autre destinataire que le service client, pas plus que les mots de passe ou les données d'authentification.

Dans l’email envoyé aux clients dont Next a reçu une copie, Discord précise que l’incident s’est déroulé le 20 septembre. Comme toujours, la prudence est désormais de mise face à des tentatives de phishing. Des pirates peuvent tenter de se faire passer pour Discord avec les données dérobées pour essayer d’en récupérer toujours plus.

Commentaires (30)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

sebmil Premium

Le 04/10/2025 à 22h06

Pourquoi avoir stocké les documents d'identité (pour ensuite se les faire voler) ?
Une fois la vérification d'age effectuée il n'y a aucune raison valable de les conserver. ça mériterait une petite enquête CNIL.

Gilbert_Gosseyn Premium

Le 05/10/2025 à 08h21

Discord est américain ...

fdorin Premium

Le 05/10/2025 à 08h48

Ca ne change rien. Une bonne frange des utilisateurs de discord sont européens. Le RGPD s'applique donc.

linconnu

Le 11/10/2025 à 16h09

Le RGPD est très souvent contourné, on le voit même en France où certaines sociétés genre AliExpress bloquent des offres nouveaux clients même en ayant supprimé son ancien compte.

fdorin Premium

Le 11/10/2025 à 16h34

Contourné ne signifie pas qu'il ne s'applique pas;)

CharlesP. Premium

Le 15/10/2025 à 15h28

Attention avec cet argument, le simple fait qu'ils bloquent ce comportement ne veut pas dire qu'ils enfreignent le RGPD.
Par exemple, on peut considérer que stocker un hash de l'adresse email de l'utilisateur pour l'empêcher de déclencher plusieurs fois les promotions de nouveau client peut rentrer dans l'intérêt légitime (le hash de l'adresse email est une donnée d'importance minime, et la désinscription/réinscription est un usage abusif du service).

À voir si c'est cette technique qu'utilise AliExpress ou s'ils utilisent d'autres techniques utilisant des données plus personnelles, auquel cas la balance est à revoir, et potentiellement à sanctionner.

linconnu

Le 16/10/2025 à 15h52

Apparemment ils stockent l'adresse postale des anciennes commandes même si le compte est supprimé.

CharlesP. Premium

Le 20/10/2025 à 09h24

Ça peut être une obligation légale de conserver les factures pendant une certaine durée même après la suppression du compte client ou de la fin du contrat.
En France c'est 10 ans pour les factures clients : https://entreprendre.service-public.gouv.fr/vosdroits/F10029

linconnu

Le 20/10/2025 à 14h36

Mais ont-ils le droit d'utiliser les données des factures pour d'autres raisons après fermeture d'un compte ?

CharlesP. Premium

Le 20/10/2025 à 16h05

Ils doivent les garder en cas de contrôle fiscal/enquête judiciaire. Donc c'est normal qu'elles soient toujours stockées.

fdorin Premium

Le 05/10/2025 à 08h46

Il existe pourtant une raison, et qui est bien précisée dans le RGPD quant à la durée de conservation des données. Si les données peuvent servir en tant que "preuve" pour se défendre dans le cadre d'une information judiciaire ou autre (ici, administrative de la part de la CNIL), alors elles peuvent être conservées.

Si demain, Discord se prend une action en justice parce que untel était en fait un gamin de 10 ans dans le cadre d'une affaire de pédocriminalité (j'en sais rien, j'invente hein), alors Discord pourra ressortir les éléments qui lui ont permis de procéder à la vérification de l'âge, et ainsi se dédouaner.

fred42 Premium

Le 05/10/2025 à 10h00

J'ai l'impression que tu fais allusion à une exception au droit à l'effacement où malgré la demande d'effacement, on peut dans ce cas garder les données (article 17) :

3. Les paragraphes 1 et 2 ne s'appliquent pas dans la mesure où ce traitement est nécessaire :

e) à la constatation, à l'exercice ou à la défense de droits en justice.

Donc, le principe de minimisation s'applique par défaut et devrait entraîner la suppression des documents d'identité une fois la majorité constatée. Au moment où l'on vérifie l'âge, il n'y a pas de procédure judiciaire en cours concernant ces données, donc aucun besoin de les garder.

fdorin Premium

Le 05/10/2025 à 12h37

il n'y a pas de procédure judiciaire en cours concernant ces données, donc aucun besoin de les garder.

Ce sont les procédures en cours mais aussi à venir, jusqu'à ce qu'il y ait prescription. Donc ça peut être assez long.

C'est exactement le même principe que pour la conservation des données concernant un ex-employé par exemple. Ainsi, un employeur peut conserver des documents comme une copie de la carte grise après le départ de son salarié tant que le délai de prescription n'est pas passé pour contester un remboursement/calcul de note de frais par exemple.

Je prends la carte grise car c'est un cas très simple et parlant. Mais cela touche également d'autres documents que l'employeur pourrait conserver si cela peut lui être utile en cas de litige, même s'il n'a plus besoin de ces documents dans le cadre des traitements concernant son ex-employé (attestation de mutuelle dans le cas où l'employé serait sur la mutuelle du conjoint, RIB, etc.)

fred42 Premium

Le 05/10/2025 à 13h16

La carte grise, ça correspond plutôt à l’obligation légale de conserver les preuves par rapports aux impôts ou à l’Urssaf.

J'ai les mêmes doutes sur la conservation de l’attestation de mutuelle (que le cas de la vérification d'identité). Si tu as des sources pour appuyer cela, n'hésite pas.

En plus, comme je l'ai rappelé, ce n'est que le cas où l'on exerce son droit à l'effacement, donc sur des données dont le traitement est couvert par l'intérêt légitime que l'on peut donc invoquer le e) que j'ai cité précédemment.

Dans un cas de vérification d'âge liée à une obligation légale ou contractuelle (CGU), par exemple cet alinéa ne peut être invoqué.

fdorin Premium

Le 05/10/2025 à 15h13

J'ai les mêmes doutes sur la conservation de l’attestation de mutuelle (que le cas de la vérification d'identité). Si tu as des sources pour appuyer cela, n'hésite pas.

En cas de contrôle URSSAF, tu dois pouvoir justifier que ton employé n'avait pas souscrit à la mutuelle de ton entreprise car il était assuré ailleurs.

Pour la source, c'est dans un mail de mon cabinet comptable qui reprenait justement cet exemple, et qui fait des analyses juridiques sur de nombreux aspects. Je ne suis pas sur de pouvoir le retrouver, comme je fais le ménage très fréquemment dans mes mails.

En plus, comme je l'ai rappelé, ce n'est que le cas où l'on exerce son droit à l'effacement, donc sur des données dont le traitement est couvert par l'intérêt légitime que l'on peut donc invoquer le e) que j'ai cité précédemment.

Tu as raison sur le fait que cet alinéa en particulier ne concerne que le droit à l'effacement.

Toutefois, c'est le responsable de traitement qui définit la durée de conservation des données en fonction de nombreux critères : minimisation des données, objectifs poursuivi, durée légale, etc. Le RGPD n'impose pas la suppression des données dès la fin des traitements. Il le recommande, mais ne l'impose pas.

On retrouve cela dans des guides de la CNIL. Par exemple, celui-ci. On y retrouve notamment la liste des données questions à se poser pour définir la durée de conservation, parmi lesquelles figurent :
- Dois-je conserver certaines données en vue de me protéger contre un éventuel contentieux ? Lesquelles ?
- Jusqu’à quand puis-je faire valoir ce recours en justice ?

En espérant avoir répondu à ta question

fred42 Premium

Le 05/10/2025 à 18h22

Merci pour le rappel de cette page de la CNIL que j'avais déjà dû lire. Et elle indique que pour garder des données personnelles à des fins administratives ou légales, une fois le traitement initial fait (dossier clos), il faut un archivage intermédiaire où seules des personnes spécifiquement habilitées peuvent accéder. Ce ne doit donc pas être accessible au premier pirate venu comme ici. Une bonne pratique devrait être de faire ces archivages intermédiaires hors ligne ou au moins dans une autre partie du SI peu accessible.

fdorin Premium

Le 05/10/2025 à 18h25

il faut un archivage intermédiaire où seules des personnes spécifiquement habilitées peuvent accéder

Tout à fait. Mais sans le détail du piratage, difficile de savoir si cela a été mis en oeuvre ou non. Car un archivage ne signifie pas un stockage dans une base de données à part ou autre, juste une gestion de droit très fine.

Si la faille est une simple faille SQL par exemple, ben on peut facilement passer outre cet archivage...

fred42 Premium

Le 05/10/2025 à 18h35

Et on tombe sur la violation de l'article 32 du RGPD (Sécurité du traitement) si c'est une simple faille SQL, comme tu le dis.

CharlesP. Premium

Le 06/10/2025 à 15h26

Non. Pour une validation d'identité, la conservation des données n'est pas nécessaire puisque devant un tribunal, les mesures organisationnelles (par ex les règles qui dit que les reviewers doivent vérifier tel, tel et tel élément) peuvent normalement suffire pour se dédouaner (soit Discord se dédouane en disant que c'est la faute de l'employé qui a enfreint le règlement en validant sans vérifier tous les éléments, soit que c'est la faute de l'utilisateur qui a falsifié).

fdorin Premium

Le 06/10/2025 à 15h32

Attention, ça c'est peut être vrai en France. Mais Discord doit faire face à la législation de nombreux pays.

gouge_re Premium

Le 05/10/2025 à 00h49

Je ne comprends pas trop ces histoires de pièces d’identité …. Si l’âge des utilisateurs était vraiment vérifiée il n’y aurait pas toutes les dérives que lon connaît sur ce réseau …. (Pour les curieux la chaîne YouTube « No Text To Speech » présente tout ce qui se fait de pire sur Discord et le manque de modération de leur part….)

rxPyOm Premium

Le 05/10/2025 à 11h07

Vous faites bien de mettre entre guillemets le discours minimaliste quant aux fuites de données personnelles. C’est parfaitement inacceptable cette façon de communiquer : « un certain nombre d’informations trèès limitées ont pu être éventuellement consultées comme vos numéros de carte bancaire, carte d’identité complète, historique de facturation, e-mail, adresse postale, numéro de téléphone, identifiants uniques d’appareil, données biométriques ».
J’invente mais c’est à chaque fois l’impression que ça me donne, qu’on se fout un peu de notre pomme, un peu comme un gamin pris dans ses mensonges…
Les acteurs numériques : de gros irresponsables ?
Dans ce cas il faut s’en protéger

SebGF Premium

Le 05/10/2025 à 12h02

Mais aussi des documents d’identités officiels

Et avec le fait que les vérifications d'âge vont se généraliser sur le Web, autant dire que nos documents officiels d'identité sont désormais en open data.

Soriatane Premium

Le 05/10/2025 à 15h50

Avec l'application France Identité qui te permet de créer un document attestant de ton Identité (attestation avec limitation dans le temps), le risque sera limité.

SebGF Premium

Le 05/10/2025 à 19h02

Comment cela évite-t-il la fuite des informations d'identité ?

Soriatane Premium

Modifié le 05/10/2025 à 19h30

Cela évite la réutilisation de ce document d'identité par un tiers.
À terme, il est prévu que cette attestation ne donne qu'une partie des informations, celles nécessaires (exemple que l'âge ou le fait que tu sois majeur).

SebGF Premium

Le 06/10/2025 à 07h40

Le hic, c'est que c'est marginal à la France. Et dans l'immédiat, la preuve de majorité on se tape des services tiers à la qualité, voire respect des législations, douteuse

Vekin

Le 06/10/2025 à 07h29

Jusqu'à la prochaine fois où ce seront les messages privés et le contenu des serveurs privés qui fuiteront...

C'est le plus gros problème de Discord je trouve et dont la majorité des utilisateurs ne sont pas conscients : oui, c'est un formidable outil communautaire, ergonomique et puissant, mais toutes les données sont stockées en clair sur les serveurs, donc à la merci du premier pirate ou employé malhonnête venu. Sans compter les agences étatiques (US, coucou), ou simplement un ancien modo/admin du serveur qui pète un câble...

Que des discussions autour des jeux donc peu critique, me direz-vous ? Détrompez-vous, en restant dans la plus parfaite légalité j'entends, il y a des canaux qui s'échangent parfois des contenus très intimes et la fuite de telles données serait catastrophique pour les personnes concernées...

refuznik Premium

Modifié le 10/10/2025 à 14h02

5CA n'a pas une réputation très reluisant comme boite de BPO sur le net.

::1

Le 12/10/2025 à 15h25

bonjour,

je trouve cela très très étonnant (ton volontairement semi-condescendant) que discord ait une fuite de… carte d'identité. De CNI donc?

J'arrive pas à savoir lequel me surprend le plus :
que discord demande la CNI?
que certains aient cédé à cette demande stupéfiante?

J'espère avoir mal lu ;)

pour ma part, je déconseille rigoureusement de transmettre sa CNI sans aucun filigrane. Ma CNI ne se montre jamais de manière "pure" aux objectifs. Pour la consulter sans aucun filigrane, c'est dans la vraie vie. Trop facile d'en avoir une copie non filigrannée.

-services de l'état (police, médical, administration, etc)
-services de base (assurances, banques, énergies, etc)
-services complémentaires (opérateur mobile & fixe, hotellerie, covoiturage)

.. sont les trois types de services pour lesquels j'accepte de mettre une copie de ma CNI, évidemment systématiquement filigrannée (f' obligatoire, sauf IRL si pas de copie). En guichet, ils ne la photocopient jamais (et j'y veille). Via système numérique? soit filigrannée via un logiciel (gimp, celui de l'état..), soit filgirannée via bout de papier, apposé sur le document si un logiciel exige "l'original". Comprendre : à l'exception d'une personne physique vérifiant ma CNI "pure", pour les autres situations : filigrane papier ou numérique obligatoire, systématiquement.

Pour ma part, il m'est inimaginable de transmettre un document d'identité de manière "pure" via électronique : trop d'abus, et les usurpations d'identité sont un calvaire.

Je crois que meme mon opérateur mobile n'a jamais demandé ma CNI, car mon RIB/CB font foi.

Le filigrane a deux énormes avantages :
-pouvoir identifier, et poursuivre le fautif d'une fuite
-dissuader fortement l'utilisation frauduleuse de ce genre de documents

ces deux avantages, sont des indispensables, "si-ne-qua-non" dans ma gestion de documents personnel : hors de question que quiconque passe outre ma règle d'or. Même si je suis en hospitalisation.

Son histoire, à elle, devrait être contée dans toutes les chaumières, au meme titre que les escroqueries au faux conseiller bancaire :
https://www.leparisien.fr/faits-divers/escroquerie-contre-la-banque-palatine-virginie-rosselot-enfin-reconnue-victime-dusurpation-didentite-29-04-2025-MF6ZTYYW2FCMHOALCCXBFKGLKI.php

Donner ses documents administratifs, de la CNI à la simple attestation en passant par le relevé bancaire ou autre justificatif, sans aucun filigrane, revient à :
-ne pas avoir d'A/V dans les années 2000
-surfer sans bloqueur de pub/JS dans les années 2020

aucune différence..

Comme le soutient Nathan Tacchi, jeune journaliste qui s'est lourdement fait avoir par escroquerie : "soyez parano" (et revendiquez le)