Discord (via 5CA) : fuite de pièces d'identité

En octobre 2025, Discord a révélé une compromission affectant l’un de ses prestataires tiers de support client. Selon le communiqué officiel de l’entreprise (mis à jour le 9 octobre 2025), un acteur non autorisé a accédé à un système utilisé pour le service client, exposant les données d’utilisateurs ayant contacté le support ou le pôle Trust & Safety, ou ayant soumis une vérification d’âge. Discord chiffre à « environ 70 000 » le nombre d’utilisateurs dont des photos de pièces d’identité gouvernementales ont pu être exposées. Le prestataire concerné a été identifié par la presse (TechCrunch, Bitdefender) comme 5CA, société d’expérience client basée aux Pays-Bas, bien que 5CA conteste que ses propres systèmes aient été piratés et affirme ne pas traiter de pièces d’identité pour Discord.

Au-delà des pièces d’identité, les données exposées comprennent, selon Discord, des noms, noms d’utilisateur Discord, adresses e-mail, échanges avec le support, des métadonnées de facturation limitées (type de paiement, quatre derniers chiffres de carte, historique d’achat) et des adresses IP. Discord précise que les numéros de carte complets, les codes CVV, les mots de passe et l’activité des utilisateurs sur la plateforme n’ont pas été concernés. L’accès non autorisé aurait débuté vers le 20 septembre 2025 selon certaines analyses, dans un contexte d’extorsion : les attaquants auraient réclamé une rançon (initialement 5 millions de dollars, ramenée à 3,5 millions selon des sources de presse).

La dimension européenne est avérée à plusieurs titres : le sous-traitant 5CA est établi dans l’Union européenne (Pays-Bas), ce qui place l’incident sous le RGPD ; l’autorité britannique (ICO) a confirmé avoir reçu un signalement de Discord ; et la collecte de pièces d’identité résulte directement des obligations de vérification d’âge en vigueur au Royaume-Uni et dans plusieurs juridictions. Discord étant une plateforme grand public mondiale (plus de 200 millions d’utilisateurs actifs revendiqués) avec une base importante en France et en Europe, les utilisateurs européens et français ayant contacté le support ou soumis une vérification d’âge sont concernés au même titre que les autres.

À noter, des incertitudes subsistent sur l’ampleur réelle. Le groupe cybercriminel revendiquant l’attaque (« Scattered LAPSUS$ Hunters ») affirme avoir dérobé 1,5 To de données portant sur 5,5 millions d’utilisateurs, dont plus de 2,1 millions de photos de pièces d’identité, des chiffres que Discord qualifie d’incorrects et liés à une tentative d’extorsion. Le chiffre retenu ici (environ 70 000 photos d’identité) correspond à la borne basse confirmée par Discord. Aucune communication publique spécifique d’une autorité française (CNIL) ni de décompte précis d’utilisateurs français n’a été identifiée à la date de cette fiche.