Les données de millions de comptes en vente sur le Web

Sur un forum, un internaute propose à la vente une archive contenant des données relatives, selon lui, à un peu plus de 250 millions de comptes Deezer, le service d’écoute musicale le plus utilisé en France, relève le site spécialisé Restore Privacy. Le nombre de comptes d’utilisateurs français concernés par cette fuite serait, toujours selon cet internaute, estimé à environ 46,2 millions.

Le fichier contient des informations personnelles, comme l’adresse électronique, le nom, le prénom, la date de naissance, le genre, la ville et le pays de résidence, la date de création et l’identifiant correspondant à chaque compte. Le message posté par le pirate affirme qu’une autre archive contenant les données de session, comprenant des listes d’artistes écoutés et les préférences musicales des utilisateurs, est également disponible dans le fichier.

Des données datant de 2019

Dans un message publié au mois de novembre sur la section de son site réservée au support, Deezer a confirmé l’authenticité de ces données, sans toutefois s’étendre sur le nombre de comptes potentiellement concernés. La plate-forme précise néanmoins qu’aucune donnée sensible, comme les mots de passe des utilisateurs ou leurs informations bancaires, n’est concernée. La société explique par ailleurs que les données sont anciennes et que la fuite date en réalité de 2019, ce que corrobore l’internaute ayant mis en vente les données. Contactée, l’entreprise n’a pas répondu aux sollicitations du Monde.

Deezer ajoute que la fuite ne provient pas de ses systèmes : « Les données en question avaient été traitées par un partenaire tiers avec lequel nous n’avions pas travaillé depuis 2020, et c’est ce partenaire qui a subi la violation », affirme la société dans son message, sans donner plus d’informations sur l’identité du partenaire en question. L’entreprise assure que ses propres bases de données n’ont pas été touchées par une attaque, mais recommande tout de même aux utilisateurs de changer leurs mots de passe « par précaution. »

Deezer n’a pour l’instant constaté aucune utilisation malveillante des informations contenues dans le fichier et l’offre de mise en vente est toujours en ligne sur le forum où elle a initialement été postée. Impossible de savoir si cette archive a été achetée, ni par qui et dans quel but.