La plateforme française de streaming musical Deezer est confrontée depuis plusieurs semaines à une importante fuite de données, connue depuis le début du mois de novembre 2022. Si « aucune information concernant des mots de passe ou des informations de paiement n’a été découverte », a voulu rassurer la plateforme, la diffusion des données volées devrait entraîner des tentatives de vol de comptes et des attaques par hameçonnage.
Dans un premier temps, les utilisateurs victimes de la fuite de données peuvent ainsi s’attendre à des attaques par bourrage d’identifiants de leurs comptes Deezer, une partie du couple identifiant-mot de passe étant désormais connue. La plateforme a d’ailleurs conseillé à ses utilisateurs de changer leur mot de passe.
Des attaquants devraient en effet vraisemblablement tenter d’exploiter cette faiblesse humaine bien connue, à savoir la réutilisation du même mot de passe sur différentes plateformes, avant ensuite de revendre l’accès aux comptes compromis sur des marchés noirs, un commerce frauduleux déjà très pratiqué.
Mais il faut s’attendre également, au vu des informations qui ont fuité – le nom et prénom des utilisateurs, leur date de naissance, leur adresse de messagerie électronique, leur genre, leur localisation géographique ou encore leur pseudo sur la plateforme – à voir la fuite de données alimenter des attaques par hameçonnage. L’archive diffusée contient en effet suffisamment d’éléments pour rendre plus crédible un message malveillant.
Volume flou
Le volume précis de la fuite de données est encore flou, avec plus de 200 millions d’utilisateurs concernés. Selon l’administrateur du forum Breached, consacré aux fuites de données, l’archive de 262 Go qui a été divulguée gratuitement à la fin décembre 2022 contient des informations relatives à 257 millions d’utilisateurs.
Mais selon le service Have I Been Pwned, la fuite concernerait 229 millions d’adresses de messagerie uniques. Enfin, le site Restore privacy, qui avait repéré la tentative de vente des données en novembre 2022, évoquait lui des données relatives à plus de 240 millions d’utilisateurs.
L’internaute ayant lancé la vente malveillante estimait également que 46 millions d’utilisateurs français étaient concernés par la fuite. L’Hexagone, le marché d’origine de la plateforme, est logiquement le premier pays concerné devant le Brésil, la Grande-Bretagne ou l’Allemagne.
Communication maladroite
Deezer, interrogée par Restore privacy au début du mois de décembre 2022, avait confirmé l’incident et indiqué travailler avec les autorités françaises. Elle a par exemple l’obligation légale de notifier la CNIL, le gendarme français des données personnelles. Toutefois, l’entreprise n’a pas vraiment brillé par sa communication.
Elle a ainsi choisi de communiquer sur la brèche non pas par un communiqué de presse, mais en publiant plus discrètement un nouvel article dans son espace d’assistance. Deezer y explique être la victime indirecte d’une violation de données subie par un partenaire, non dévoilé, en 2019.
Autre exemple de cette communication maladroite : alors que la fuite de données concerne des utilisateurs de plusieurs pays, dont de nombreux Français, l’entreprise renvoie simplement ses clients à un guide du New York Times pour se renseigner sur les risques liés à la protection des données personnelles.
Deezer, lancée en 2007, vient d’être introduite en Bourse cet été. L’entreprise, soutenue par la famille Pinault et le banquier Matthieu Pigasse, revendique 30 % de parts de marché en France, mais pèse peu dans le monde, avec 2 % du marché mondial du streaming, très loin derrière Spotify.
La plateforme vient tout juste de changer de président et de vice-président de son conseil d’administration, ses deux cadres dirigeants Guillaume d’Hauteville et Iris Knobloch ayant échangé leurs positions.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));