Alors que l’on sait que Discord fournit des services à des millions d’utilisateurs, cette fois la plateforme s’est révélée avec un incident de sécurité inattendu. Selon une déclaration faite ce week-end, un accès non autorisé a été obtenu au système d'un fournisseur tiers. Cela a conduit à une fuite qui a directement affecté la sécurité des données sensibles des utilisateurs de Discord. Dès la première annonce de l’incident, la vague d’inquiétude s’est rapidement propagée sur les plateformes de médias sociaux.
Les premières déclarations indiquaient que seul un nombre limité de photos d'identité gouvernementales pouvaient avoir été compromises. Cependant, des allégations se sont rapidement répandues selon lesquelles les attaquants auraient pu accéder à beaucoup plus de données. En particulier sur les forums en ligne, il a été affirmé que les données divulguées comprenaient plus de 2 millions de photos d'identité. Cependant, la société a rapidement publié une déclaration contre ces rumeurs. À cet égard, il a été confirmé que les données d'identité d'environ 70 000 utilisateurs pourraient avoir été divulguées.
Discord : certains chiffres ne sont pas corrects
Selon les informations fournies par l'entreprise ; Outre les photos d'identité, le nom, le prénom, le nom d'utilisateur Discord, l'adresse e-mail et les coordonnées fournies dans les demandes d'assistance sont également menacés. De plus, certains utilisateurs peuvent avoir accès à des informations de facturation limitées. La possibilité que ces données puissent être utilisées dans des tentatives de cyberfraude n'est pas exclue. Le téléchargement de documents d’identité dans l’environnement numérique remet en question la sécurité des processus de vérification en ligne. Toutes ces évolutions montrent que les plateformes doivent être plus transparentes dans leurs processus de traitement des données.
Le porte-parole de la société, Nu Wexler, a déclaré dans une déclaration à The Verge que certains chiffres n'étaient pas corrects et avaient été manipulés par des attaquants et servis à des fins de rançon. En outre, il a été annoncé que Discord avait mis fin à sa relation commerciale avec le fournisseur concerné à la suite de l'attaque. Les processus d'information nécessaires ont été initiés en communiquant directement avec les utilisateurs concernés. À ce stade, les précautions que les utilisateurs doivent prendre ont été clarifiées. Pourtant, les effets du processus sur la confiance des utilisateurs perdurent.
Par ailleurs, le fait que l’incident n’ait pas été causé directement par l’infrastructure Discord, mais par une vulnérabilité d’un prestataire externe, révèle à quel point les maillons faibles de la chaîne de sécurité sont critiques. Bien que les systèmes de sécurité de la plateforme soient robustes, la sécurité des ressources externes avec lesquelles elle travaille peut ne pas être au même niveau. Sur cette base, des contrôles stricts doivent être effectués non seulement au niveau logiciel mais également au niveau opérationnel pour protéger les données des utilisateurs. D'autre part, les informations fournies par les utilisateurs dans leurs demandes d'assistance sont également traitées via ces systèmes. C’est pourquoi il est primordial de divulguer de manière transparente les échanges de données avec des services externes.
Cette évolution a une fois de plus mis en évidence la nécessité pour les fournisseurs de services numériques de revoir leurs politiques de confidentialité. Les documents collectés notamment lors de transactions sensibles telles que la vérification de l’âge font partie des cibles très attractives pour les cyberattaques. On constate que le niveau de sensibilisation des utilisateurs quant aux conditions et avec qui ils partagent ces documents n'est pas encore suffisant. Il est précisé que ces documents ne doivent être traités que dans les cas obligatoires et dans le cadre de la politique de données minimales. Cependant, les plateformes doivent également proposer des politiques claires et compréhensibles sur cette question.
Pour les utilisateurs, le plus grand point d’interrogation est de savoir à qui appartiennent les données divulguées et à quelles fins elles peuvent être utilisées. Les données d’identité peuvent être utilisées entre des mains malveillantes pour ouvrir de faux comptes, commettre des fraudes ou mener des attaques d’ingénierie sociale plus complexes. On ne sait pas encore dans quelle mesure ces données sont diffusées ni si elles sont converties en profit commercial. Cependant, la possibilité que les données soient diffusées de manière irréversible renforce encore les inquiétudes. Par conséquent, renforcer les habitudes individuelles en matière de sécurité des données n’est plus un choix, mais une nécessité.
D’un autre côté, les grandes plateformes comme Discord devraient communiquer plus ouvertement avec leurs utilisateurs. Il est nécessaire d'aller au-delà des notifications générales suite à des failles de sécurité et de mettre en œuvre des systèmes d'alerte au niveau individuel. Or, il est devenu indispensable de réaménager les politiques de sauvegarde, de stockage et de suppression des données sensibles comme les pièces d’identité. Il est précisé que toutes ces réglementations doivent être strictement encadrées non seulement sur le plan technique mais aussi juridique. Toute lacune dans les processus de traitement des données pourrait ouvrir la voie à une nouvelle crise.
La dernière fuite a montré une fois de plus que les plateformes ne peuvent se contenter de seules mesures de sécurité techniques. À l’heure où les questions se multiplient sur la façon dont les données personnelles des utilisateurs circulent entre les différents services, la clarté et la responsabilité deviennent les pierres angulaires de la sécurité numérique. La circulation non autorisée des données des utilisateurs constitue non seulement une faille de sécurité, mais également une violation des droits numériques. Par conséquent, il semble inévitable que non seulement Discord, mais tous les services en ligne restructurent leurs politiques de sécurité.
