En 2019, un internaute a réussi à subtiliser des données d’abonnés de Deezer en piratant un partenaire externe. En novembre 2022, il les a mises en vente sur un forum clandestin. La société tricolore a rassuré ses utilisateurs, affirmant qu’aucune information sensible n’a été volée. L’incident aurait concerné de nombreux pays, dont les États-Unis et le Mexique.
Le site internet spécialisé en cybersécurité a dévoilé une fuite de données sur Deezer. Un hacker vend sur un forum une archive renfermant des renseignements sur des utilisateurs de la plateforme. Approximativement 250 millions de comptes, dont quelque 46,2 millions appartenant à des Français, seraient touchés .
L’entreprise parisienne, auprès de laquelle les business analysts en freelance peuvent chercher des missions, a confirmé l’authenticité de ces informations. En novembre dernier, elle a écrit un article de blog en ce sens sur la partie support de son site. Le leader du streaming musical dans l’Hexagone s’est néanmoins abstenu de s’exprimer sur le nombre de clients potentiellement victimes.
La faille provient d’un prestataire de service
Deezer a confié que les renseignements sont anciens puisque leur subtilisation remonte à 2019 . Cette affirmation a été confirmée par l’internaute qui les propose à la vente. Dans son message, la firme a aussi expliqué que le vol des données n’émane pas de ses systèmes . Mais de ceux d’un prestataire externe avec lequel elle n’avait pas collaboré depuis deux ans. Sans livrer davantage de détails sur l’identité de l’organisation, elle a ainsi précisé :
[…] C’est ce partenaire qui a subi la violation.
La plateforme souligne qu’aucune cyberattaque n’a affecté ses propres bases de données.
Elle conseille toutefois aux usagers de modifier leurs mots de passe par prudence.
Deezer a par ailleurs assuré qu’aucune information sensible, telle que les coordonnées bancaires des clients, n’a été subtilisée . L’entreprise a aussi dit mener une enquête en coopération étroite avec la Commission nationale de l’informatique et des libertés (CNIL). Elle a déclaré :
Nous poursuivons nos investigations et à ce stade, nous ne pouvons pas confirmer le nombre total de comptes affectés.
Les informations dérobées sont de nature variée
Pour le moment, Deezer n’a observé aucune exploitation malveillante des renseignements subtilisés . En outre, le forum a toujours l’annonce de mise en vente de l’archive au 16 décembre 2022. L’on ignore si quelqu’un s’en est procuré et ce qu’il prévoit de faire avec.
Pour remarque, la compromission de ces données, bien que basiques, peut s’accompagner de lourdes conséquences. Des pirates sont en effet susceptibles de s’en servir afin de lancer une campagne de hameçonnage ou d’escroquerie .
Le fichier en question renferme des données personnelles , telles que :
- L’identifiant relatif à chaque compte ;
- La date d’inscription sur Deezer ;
- Le pays (France, Allemagne, Royaume-Uni, Italie, Turquie, Guatemala, Colombie, Mexique, Brésil et États-Unis) et la ville où l’utilisateur habite ;
- Le genre ;
- La date de naissance ;
- Le nom et le prénom.
À en croire le message publié par le hacker, il contient également une autre archive comportant les informations de session. Ces dernières incluent les préférences musicales des clients et des listes d’artistes écoutés .