À cause d'une fuite remontant à 2019, les données de 250 millions d'utilisateurs de Deezer sont en libre circulation sur des forums spécialisés. La plateforme conseille, par précaution, de changer de mot de passe.

L'année 2022 s'est révélée très lucrative pour les hackers, avec des piratages à répétition du gestionnaire de mots de passe LastPass – les pirates ont même mis la main sur le contenu des coffres –, de La Poste Mobile, de la Nintendo Switch ou des Google Home – et ce n'est qu'un échantillon. Et 2023 semble continuer dans la même veine ! En effet, Deezer, qui est une des plus importantes plateformes de streaming de musique au monde, a été victime d'une fuite de données en... 2019. Et, aujourd'hui, les données que le criminel a volées sont en libre circulation sur le Dark Web. Celles-ci "étaient déjà en vente depuis longtemps dans des espaces privés" de pirates, "on en entendait parler" de manière indirecte, explique Damien Bancal, un journaliste pour le site cybersécurité Zataz, au Parisien. C'est le 23 décembre, soit plus de trois ans après le vol, que le fichier a été rendu accessible gratuitement sur un site facilement accessible et bien connu des pirates.

Piratage Deezer : une fuite qui remonte à 2019

La fuite massive de données a eu lieu en 2019 suite à une erreur d'un partenaire de Deezer – avec qui la firme a cessé toute collaboration en 2020 – quant à la configuration d'un espace de stockage. Sur son site, elle promet que "les systèmes de sécurité de Deezer restent efficaces, et nos propres bases de données sont fiables et sécurisées." Le hacker, bien connu par la communauté des pirates sous le nom de Péché, est parvenu à s'infiltrer par l'intermédiaire d'une attaque de l'homme du milieu (man-in-the-middle attack) – une attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre puisse se douter que le canal de communication entre elles a été compromis. Il a pu récupérer un total de 260 Go de données, comme a pu le constater Zataz.

Ces données comprennent notamment les noms et prénoms des utilisateurs, leurs dates de naissance, leurs adresses électroniques et IP, leur sexe, leurs données de localisation, la date d'adhésion et l'ID unique attribué à chaque compte. Deezer affirme qu'aucun mot de passe ou donnée de paiement n'a été dérobé. En novembre 2022, l'entreprise a averti la Commission nationale de l'informatique et des libertés (CNIL) et travaille vraisemblablement "en étroite collaboration" avec l'organisme de surveillance. Elle s'efforce désormais de prévenir les 46,2 millions d'utilisateurs français qui ont été touchés par la faille. "Nous sommes en train de contacter par e-mail les utilisateurs concernés afin de les sensibiliser aux risques de phishing (hameçonnage) et de les encourager à faire preuve de vigilance", explique-t-elle. On peut en effet craindre que des personnes malveillantes puissent se servir d'informations personnelles pour gagner la confiance de leurs cibles.

Par mesure de précaution, Deezer recommande à tous ses utilisateurs de changer leur mot de passe. Il les encourage également à consulter le site du ministère de l'Économie, des Finances et de la Souveraineté industrielle et numérique. En tout cas, la nouvelle tombe vraiment mal pour la plateforme française, qui connait actuellement quelques difficultés financières et tente de revoir sa stratégie.