Une montagne de données personnelles volées à la plateforme Deezer en 2019 refait surface

La plateforme française de streaming Deezer fait face depuis plusieurs semaines à la publication sur internet d’un fichier contenant des données de 250 millions de comptes utilisateurs, apparemment volées en 2019 chez un prestataire. La base de données a émergé début novembre sur des forums de trafic de données personnelles.

« Les données exposées comprennent des informations de base, comme les prénoms et noms de famille, la date de naissance, l’adresse email » mais elles ne comprennent pas d’informations « sensibles » comme les mots de passe ou les données de paiement, a assuré Deezer dans une déclaration à la presse. Les données volées à Deezer ne permettent pas à elles seules d’attaquer directement un internaute. Mais elles peuvent faciliter des attaques plus élaborées type hameçonnage, le pirate pouvant par exemple se servir d’informations personnelles pour gagner la confiance de sa cible.

Deezer s’est refusé à confirmer le nombre de comptes utilisateurs concernés. Selon le traqueur de données volées de Damien Bancal, auteur du blog spécialisé Zataz.com, les données de 257 millions d’utilisateurs ont été mises en ligne, représentant plus de 260 Go (gigaoctets) d’informations. Le site américain restoreprivacy.com, qui avait évoqué l’affaire dès novembre, a précisé pour sa part avoir recensé « plus de 240 millions » de comptes concernés.

Deezer a prévenu en novembre la Cnil, le gardien français de la vie privée sur internet, et travaille « depuis en étroite collaboration » avec elle. « Nous sommes en train de contacter par email les utilisateurs concernés afin de les sensibiliser aux risques de phishing [hameçonnage] et de les encourager à faire preuve de vigilance », a expliqué Deezer.

« Nous recommandons à nos utilisateurs, à titre de précaution, de changer de mot de passe », a ajouté l’entreprise. La base de ces données volées « était déjà en vente depuis longtemps dans des espaces privés » de pirates, « on en entendait parler » de manière indirecte, a expliqué Damien Bancal à l’AFP. Et « le 23 décembre », soit plus de trois ans après le vol initial selon Deezer, « le fichier a été rendu accessible gratuitement » sur un site facilement accessible, bien connu des pirates et hackers, a-t-il ajouté.

Après un vol de données, le pirate s’efforce d’abord « de les presser comme un citron » en tentant d’en extraire le maximum de valeur lui-même, ou en les vendant à quelques VIP du piratage, a-t-il expliqué. Puis peu à peu le cercle des personnes qui disposent du fichier augmente, et la valeur des données diminue. Jusqu’à ce que quelqu’un décide de les mettre en ligne gratuitement, à des fins d’auto-promotion notamment, explique l’expert.