La plateforme française de streaming Deezer fait face depuis plusieurs semaines à la publication sur internet d’un fichier contenant des données de 250 millions de comptes utilisateurs, apparemment volées en 2019 chez un prestataire. La base de données a émergé début novembre sur des forums de trafic de données personnelles.
« Les données exposées comprennent des informations de base, comme les prénoms et noms de famille, la date de naissance, l’adresse email » mais elles ne comprennent pas d’informations « sensibles » comme les mots de passe ou les données de paiement, a précisé Deezer dans une déclaration à la presse.
Les données volées à Deezer ne permettent pas à elles seules d’attaquer directement un internaute. Mais elles peuvent faciliter des attaques plus élaborées type hameçonnage, le pirate pouvant par exemple se servir d’informations personnelles pour gagner la confiance de sa cible. Deezer s’est refusé à confirmer le nombre de comptes utilisateurs concernés.
Selon le traqueur de données volées Damien Bancal, auteur du blog spécialisé Zataz.com, les données de 257 millions d’utilisateurs ont été mises en ligne, représentant plus de 260 Go (gigaoctets) d’informations. Le site américain restoreprivacy.com, qui avait évoqué l’affaire dès novembre, a indiqué pour sa part avoir recensé « plus de 240 millions » de comptes concernés.
Deezer a prévenu en novembre la Cnil, le gardien français de la vie privée sur internet, et travaille « depuis en étroite collaboration » avec elle. « Nous sommes en train de contacter par email les utilisateurs concernés afin de les sensibiliser aux risques de phishing (hameçonnage) et de les encourager à faire preuve de vigilance », a expliqué Deezer.
« La plus importante » depuis Facebook
« Nous recommandons à nos utilisateurs, à titre de précaution, de changer de mot de passe », a ajouté l’entreprise. La base de ces données volées « était déjà en vente depuis longtemps dans des espaces privés » de pirates, « on en entendait parler » de manière indirecte, a expliqué M.Bancal à l’AFP.
Et « le 23 décembre », soit plus de trois ans après le vol initial selon Deezer, « le fichier a été rendu accessible gratuitement » sur un site facilement accessible, bien connu des pirates et hackers, a-t-il ajouté. Après un vol de données, le pirate s’efforce d’abord « de les presser comme un citron » en tentant d’en extraire le maximum de valeur lui-même, ou en les vendant à quelques VIP du piratage, a-t-il expliqué.
Puis peu à peu le cercle des personnes qui disposent du fichier augmente, et la valeur des données diminue. Jusqu’à ce que quelqu’un décide de les mettre en ligne gratuitement, à des fins d’auto-promotion notamment, indique l’expert. Deezer a précisé qu’il ne travaillait plus « depuis 2020 » avec le prestataire visé par le vol de données.
« Les systèmes de sécurité de Deezer restent efficaces, et nos propres bases de données sont en sûreté », avait expliqué l’entreprise dans un billet de blog en anglais, publié en novembre alors que les données commençaient à émerger. Selon restoreprivacy.com, la base de données contient notamment les données de 46,2 millions d’utilisateurs en France, 37,1 millions au Brésil, 15,3 millions en Allemagne.
Haveibeenpwned, un site qui prévient les internautes quand leur adresse email circule chez les pirates, a prévenu ses abonnés s’ils étaient dans la base de données volées. Selon Troy Hunt, l’animateur du site, la fuite Deezer est « la plus importante » traitée par le site, depuis la découverte d’un fichier contenant des données sur près de 530 millions de comptes Facebook au premier semestre 2021.
L’affaire survient dans un contexte général tendu pour Deezer, qui lutte pour trouver sa place face aux géants du secteur comme Spotify, Apple Music. Le cours de l’action a baissé à un niveau se situant autour de 3 euros, alors qu’elle avait été introduite sur la Bourse de Paris à 8,5 euros en juillet 2022.