D’après les premiers éléments de l’enquête, les données ont été volées en 2019 à un ancien prestataire de l’entreprise française de streaming.
Après le hack à 400 millions de profils qui a touché Twitter, c’est au tour du français Deezer d’être victime d’un vol phénoménal. Les noms, adresses e-mail, dates de naissances de millions de comptes utilisateurs ont été publiés sur internet. Le leak remonterait à 2019, suite au piratage d’un ex-prestataire de Deezer a indiqué l’entreprise sur Twitter : « Fuite de données chez un tiers : un de nos anciens fournisseurs a subi une violation en 2019. Les mots de passe et les données bancaires ne sont pas concernés. » Deezer a indiqué ne plus travailler avec ce prestataire depuis 2020, que ses systèmes de sécurité « restent efficaces » et que ses bases de données « sont en sûreté ».
Si Deezer n’a pas confirmé le nombre de comptes utilisateurs concernés, le blog spécialisé Zataz.com estime que les données de 257 millions de profils ont été mises en ligne. Ce sont « plus de 260Go d’identités, d’adresses électroniques, dates de naissance, IP, sexes, géolocalisation et noms des utilisateurs. », qui sont en circulation selon les recherches de Damien Bancal, le fondateur du blog. Aucunes données sensibles n’ont donc été dérobées selon la plateforme de streaming. Néanmoins, les informations subtilisées peuvent être utilisées à des fins d’hameçonnage.
Des données déjà exploitées ?
Deezer a indiqué travailler en « étroite collaboration » avec la Commission nationale de l'informatique et des libertés (Cnil). « Nous sommes en train de contacter par email les utilisateurs concernés afin de les sensibiliser aux risques de phishing (hameçonnage) et de les encourager à faire preuve de vigilance ».
Contacté par l’AFP, Damien Bancal a expliqué que les données volées en 2019 « étaient déjà en vente depuis longtemps dans des espaces privés (…) on en entendait parler ». Le fichier a finalement été « rendu accessible gratuitement » le 23 décembre 2023. L’expert explique qu’après un vol de données, un pirate tente d'en extraire un maximum de valeur. Il les vend ensuite à des VIP puis à de plus en plus d’acteurs malveillants. Les données sont finalement mises en ligne gratuitement, à des fins d’auto-promotion principalement.