8 millions de tickets de support aspirés, 6,8 millions d’adresses e-mail uniques récupérées, le tout en à peine 24 heures. Voilà ce que revendique un pirate informatique qui affirme avoir vidé le système d’assistance de Crunchyroll, la plus grande plateforme de streaming d’anime au monde, le 12 mars dernier. La faille n’était pas dans le code de la plateforme. Elle se trouvait dans l’ordinateur d’un agent de support sous-traitant, à des milliers de kilomètres de Tokyo.
Un malware, un accès, 24 heures de pillage
Tout commence par un logiciel malveillant installé sur le poste de travail d’un agent de support client. Cet agent ne travaille pas directement pour Crunchyroll : il est employé par Telus International, une société canadienne de sous-traitance (BPO, pour « business process outsourcing ») qui gère le support technique de plusieurs grandes entreprises technologiques.
Le malware a permis de capturer les identifiants de connexion Okta SSO de l’agent, un système d’authentification unique qui ouvre les portes de plusieurs applications internes en un seul clic. Résultat : l’attaquant a pu accéder non seulement à Zendesk, la plateforme de gestion des tickets, mais aussi à Slack, Google Workspace, Mixpanel et plusieurs autres outils internes de Crunchyroll, selon les captures d’écran partagées avec le site spécialisé BleepingComputer.
En 24 heures, avant que l’accès ne soit révoqué, le pirate affirme avoir téléchargé l’intégralité de la base de tickets de support. Soit environ 8 millions de fiches contenant : noms, identifiants de connexion, adresses e-mail, adresses IP, localisations géographiques approximatives, et le contenu intégral des échanges entre les utilisateurs et le service client.
Les données bancaires, elles, n’apparaissent que lorsque les abonnés les ont eux-mêmes partagées dans leurs messages, ce qui reste rare selon BleepingComputer, qui a pu consulter un échantillon des tickets avant sa suppression. Quelques cas contiennent tout de même des numéros de carte complets.
Le pirate réclame 5 millions de dollars à Crunchyroll pour ne pas publier les données. La plateforme, propriété de Sony, n’a pas répondu à la demande d’extorsion. Sa seule déclaration publique, rapportée par Anime News Network : « Nous sommes au courant des récentes allégations et travaillons actuellement en étroite collaboration avec des experts de premier plan en cybersécurité pour examiner la situation. »
Le vrai problème s’appelle sous-traitance
Le scénario de Crunchyroll n’est pas un cas isolé. Il reproduit presque à l’identique le piratage de Discord révélé en octobre dernier. Dans cette affaire, des hackers avaient compromis le compte d’un agent BPO pour accéder à l’instance Zendesk de Discord et siphonner les données de 5,5 millions d’utilisateurs uniques, dont environ 70 000 photos de pièces d’identité, selon les chiffres confirmés par Discord.
La coïncidence ne s’arrête pas là. Telus International, le sous-traitant dont l’employé a été compromis chez Crunchyroll, a lui-même confirmé une brèche de grande ampleur en mars. Le groupe ShinyHunters, spécialisé dans l’extorsion de données, affirme y avoir dérobé près d’un pétaoctet d’informations en exploitant des identifiants Google Cloud trouvés dans des données volées lors d’un précédent piratage de la plateforme Salesloft Drift, rapporte BleepingComputer. Crunchyroll a toutefois précisé que les deux incidents n’étaient pas liés.
Au Royaume-Uni, les enseignes Marks & Spencer et Co-op ont subi des attaques de ransomware après que des pirates ont manipulé des agents de support BPO par ingénierie sociale. Aux États-Unis, la chaîne Clorox a été piratée quand un attaquant s’est fait passer pour un employé auprès du help desk du sous-traitant Cognizant. Le gouvernement britannique a publié un guide de sécurité spécifique en réponse à cette vague d’attaques ciblant les prestataires de support externalisé.
Le constat est simple : les entreprises ont délocalisé leur support client, mais avec lui, elles ont transféré les clés d’accès à des millions de données personnelles. Un seul employé compromis chez un sous-traitant peut ouvrir les vannes de tout le système.
Pourquoi les fans d’anime doivent surveiller leur boîte mail
La France est le deuxième marché mondial de l’anime après le Japon, et Crunchyroll y compte des millions d’abonnés. Si les 6,8 millions d’adresses e-mail volées incluent une proportion significative de comptes francophones, ce que la plateforme n’a pas encore confirmé ni infirmé, les conséquences pourraient être très concrètes.
Le danger immédiat n’est pas tant la fuite des e-mails que le contenu des tickets de support eux-mêmes. Un ticket contient souvent bien plus qu’un simple signalement de bug : problèmes de paiement, demandes de remboursement, réclamations incluant parfois des informations personnelles sensibles. Croisées avec les adresses IP et les données de géolocalisation, ces informations offrent aux cybercriminels un matériau de choix pour des campagnes de hameçonnage ciblé.
D’autant que Crunchyroll n’est pas un service anodin pour ses utilisateurs. L’attachement émotionnel à la plateforme en fait une cible idéale pour les arnaques par e-mail du type « Votre compte Crunchyroll a été suspendu, cliquez ici pour le réactiver ». Ce genre de message, crédibilisé par des données personnelles authentiques tirées des tickets volés, aurait toutes les chances de tromper même les utilisateurs les plus vigilants.
La facture cachée de l’externalisation
Le modèle BPO n’est pas près de disparaître. Pour les géants du streaming et de la tech, sous-traiter le support client à des entreprises comme Telus International, Cognizant ou Concentrix permet d’économiser des centaines de millions par an. Mais chaque dollar économisé creuse un tunnel potentiel vers les données des utilisateurs.
Discord, après sa propre brèche, avait refusé de payer la rançon et contesté les chiffres avancés par les pirates. Crunchyroll semble suivre la même stratégie du silence. Le problème structurel demeure pourtant : tant que les sous-traitants auront un accès direct aux systèmes centraux de leurs clients sans dispositifs de sécurité renforcés (segmentation réseau, authentification multifacteur systématique, surveillance des sessions en temps réel), chaque agent de support restera une porte d’entrée potentielle.
L’enquête de Crunchyroll est toujours en cours. Si les 6,8 millions de comptes compromis se confirment, l’entreprise sera tenue de notifier les utilisateurs concernés dans les délais imposés par le RGPD en Europe. En attendant, les abonnés ont tout intérêt à changer leur mot de passe, activer l’authentification à deux facteurs s’ils ne l’ont pas encore fait, et surveiller de près les e-mails se présentant comme provenant de Crunchyroll dans les semaines à venir.
