Discord est une plateforme de communication utilisée par des centaines de millions de personnes dans le monde, initialement conçue pour les joueurs mais servant aujourd’hui aussi bien des communautés, des entreprises que des salles de classe. Au cœur de son concept, elle combine messagerie, voix et espaces communautaires pour former l’une des plus grandes plateformes sociales d’internet.
Avec cette envergure vient la pression des régulateurs pour imposer une vérification obligatoire de l’âge, afin de s’assurer que les mineurs ne soient pas exposés à des contenus nuisibles. Bien qu’animées de bonnes intentions, ces exigences poussent souvent les plateformes à stocker des pièces d’identité gouvernementales sensibles, une décision qui en fait des cibles idéales pour les cybercriminels.
Lors de l’incident de septembre 2025 (divulgué le 3 octobre), des attaquants ont eu accès à un système de service client tiers utilisé par Discord. Cette intrusion a exposé des noms d’utilisateurs, adresses e-mail, pseudos Discord, adresses IP, des détails de paiement limités comme les quatre derniers chiffres des cartes bancaires, et dans certains cas des pièces d’identité officielles soumises lors de recours sur des comptes. Bien que les numéros complets de cartes bancaires et les mots de passe n’aient pas été compromis, la présence de pièces d’identité scannées a rendu cette violation particulièrement grave pour une partie des utilisateurs.
La violation n’a pas touché l’infrastructure principale de Discord mais un prestataire externe de helpdesk. Les plateformes de support client contiennent bien plus que de simples rapports de bogues ; elles centralisent les détails bruts et non filtrés des interactions des utilisateurs. Adresses e-mail, adresses IP, fragments de paiements, pièces d’identité scannées et pièces jointes privées alimentent quotidiennement ces systèmes.
C’est pour cette raison que les attaquants ciblent systématiquement les helpdesks : nous l’avons déjà vu avec Okta, Salesforce, Zendesk et d’autres. Ces systèmes deviennent le guichet unique idéal pour le vol d’identité et l’ingénierie sociale. Les données sensibles envoyées aux équipes de support restent souvent dans les bases de données bien plus longtemps que nécessaire. Les bonnes pratiques exigent que ces données soient nettoyées, minimisées et éphémères, jamais stockées indéfiniment, et certainement pas de manière à exposer des identités complètes.
L’ironie est frappante : les obligations de vérification d’âge visent à protéger, mais elles amplifient le risque en forçant les plateformes à collecter et conserver des pièces d’identité sensibles. Une alternative potentielle réside dans les systèmes d’identité numérique (E-ID), où les utilisateurs peuvent prouver qu’ils remplissent certains critères comme l’âge sans révéler toute leur identité. Tant que de telles solutions ne seront pas adoptées, chaque nouvelle réglementation imposant le téléchargement de pièces d’identité crée un bassin de cibles toujours plus vaste pour les attaquants.