340 millions d’enregistrements OnlyFans en vente sont des données de violation recyclées

340 millions d’enregistrements OnlyFans en vente sont des données de violation recyclées

Un acteur malveillant propose actuellement une base de données de 340 millions de prétendus enregistrements d’utilisateurs OnlyFans sur les marchés clandestins. Le chiffre annoncé est alarmant, mais l’histoire derrière ce chiffre est sans doute plus importante que son ampleur : les chercheurs en sécurité qui examinent cette annonce indiquent que cette base de données n’est pas le fruit d’une attaque directe contre l’infrastructure d’OnlyFans. Il semble plutôt s’agir d’une compilation d’enregistrements d’utilisateurs issus de violations de données, agrégés à partir de nombreuses brèches plus anciennes et sans lien entre elles. Cette distinction est cruciale pour comprendre votre propre exposition.

Ce que contient réellement la base de données de 340 millions d’enregistrements OnlyFans

Lorsqu’une annonce prétend détenir des centaines de millions d’enregistrements liés à une seule plateforme, la plupart des gens supposent que cette plateforme a été piratée. Dans le cas présent, les enquêteurs estiment que les données ont été compilées en recoupant des adresses électroniques et des identifiants provenant de violations antérieures, puis en les associant à des comptes OnlyFans connus ou supposés.

On appelle parfois cela une « combo list » (liste combinée) ou une décharge d’identifiants agrégés. Elle contient généralement des noms d’utilisateur, des adresses électroniques et des mots de passe exposés ailleurs, regroupés et étiquetés sous le nom d’une plateforme très médiatisée pour en augmenter la valeur perçue et attirer les acheteurs. Les données ne sont peut-être pas récentes, et tous les enregistrements ne correspondent pas forcément à un compte OnlyFans actif, ni même réel. Mais cela ne les rend pas pour autant inoffensifs.

Le vrai danger réside dans le fait que les identifiants sous-jacents sont bien réels, volés lors de véritables violations, et que de nombreux utilisateurs n’ont jamais modifié les mots de passe exposés il y a des années.

Comment les anciennes violations de données sont recyclées dans de nouveaux marchés

Les données issues de violations disparaissent rarement. Une fois les identifiants dérobés, ils circulent sur des forums privés, sont revendus à plusieurs reprises et finissent par être conditionnés dans de nouvelles compilations qui réapparaissent sous des noms différents. Les criminels échangent ces listes comme des collectionneurs échangent des cartes, et la stratégie la plus efficace consiste à les rattacher à une plateforme disposant d’une large base d’utilisateurs potentiellement embarrassés.

OnlyFans est une cible évidente pour ce type de reconditionnement. Ses utilisateurs ont de fortes motivations en matière de vie privée pour payer ou coopérer s’ils sont menacés, ce qui rend la base de données attrayante pour les extorqueurs, même si les données sous-jacentes datent de plusieurs années.

Ce schéma de recyclage n’est pas propre à cet incident. ShinyHunters, l’un des groupes de hackers les plus actifs aujourd’hui, a démontré à maintes reprises comment les données d’une violation alimentent des attaques ultérieures visant des organisations totalement différentes, un phénomène qui ne montre aucun signe de ralentissement. Les attaquants achètent ou dérobent un ensemble de données, l’enrichissent avec d’autres données volées et revendent une image plus complète de chaque utilisateur.

Résultat : une violation que vous avez subie en 2018 peut encore être utilisée contre vous en 2025, surtout si vous n’avez jamais changé votre adresse électronique ou votre mot de passe.

Qui est le plus exposé aux données de violations compilées

Les personnes les plus vulnérables face à une base de données de violations compilées sont celles qui réutilisent leurs mots de passe sur plusieurs comptes. Si votre connexion OnlyFans utilise les mêmes identifiants que votre messagerie, votre application bancaire ou vos profils de réseaux sociaux, un acteur malveillant en possession de cette compilation peut tenter d’accéder à tous ces comptes par des attaques de bourrage d’identifiants (credential stuffing), des outils automatisés qui testent des combinaisons de noms d’utilisateur et de mots de passe volés contre les pages de connexion jusqu’à ce que l’une fonctionne.

La sensibilité des données entre également en jeu. Les comptes OnlyFans contiennent du contenu personnel, des informations de paiement et un historique de messagerie. Même si un acteur malveillant ne peut pas accéder directement à un compte, la menace de divulgation qui pèse sur l’utilisateur suffit à extorquer de l’argent ou à obtenir sa coopération. Une dynamique d’exposition similaire s’est produite lors de la violation d’Eurail qui a compromis 300 000 numéros de passeport, illustrant à quel point les données liées à l’identité personnelle présentent un potentiel de préjudice démesuré.

Ceux qui ont créé leur compte avec leur vrai nom, leur adresse électronique principale ou leur adresse personnelle courent le risque le plus direct. Les personnes qui ont compartimenté leur identité dès le départ sont mieux protégées.

Comment la minimisation des données et les outils de protection de la vie privée réduisent votre exposition

La leçon la plus importante à tirer des compilations de violations de données agrégées est que votre exposition est cumulative. Chaque compte que vous créez avec votre véritable adresse électronique et un mot de passe réutilisé ajoute une entrée supplémentaire au réservoir de données pouvant être rassemblées contre vous.

La minimisation des données, l’utilisation d’adresses électroniques alias, de mots de passe uniques pour chaque compte et de détails personnels limités lors de l’inscription, réduit directement les dégâts que peut causer une telle compilation. Les gestionnaires de mots de passe rendent les identifiants uniques faciles à utiliser. Les services d’alias de messagerie permettent de créer des adresses jetables qui transfèrent les messages vers votre boîte de réception sans exposer votre adresse principale.

Un VPN n’empêche pas vos identifiants d’apparaître dans une fuite de données, mais il réduit la quantité de métadonnées d’identification (votre adresse IP, vos habitudes de navigation et vos données de localisation) qui peuvent être associées à vos comptes au fil du temps. Moins il y a de données corroborantes entre les services, plus il est difficile pour les attaquants de dresser un profil précis à partir d’enregistrements épars. Les attaquants ont également montré leur volonté d’exploiter des points d’accès réseau faibles pour atteindre des systèmes sensibles, ce qui confirme que l’hygiène au niveau du réseau reste une couche de défense importante.

Vérifier régulièrement si votre adresse électronique apparaît dans les bases de données de violations connues est une démarche gratuite, qui ne prend que cinq minutes et vous fournit des informations exploitables sur l’endroit où vos données ont déjà été exposées.

Ce que cela signifie pour vous

L’annonce de 340 millions d’enregistrements OnlyFans nous rappelle que les enregistrements d’utilisateurs issus de violations de données agrégées constituent une menace persistante et cumulative, et non un événement ponctuel. Vous n’avez pas besoin d’être un utilisateur actuel d’OnlyFans pour être concerné. Si vous avez un jour utilisé la même combinaison d’adresse électronique et de mot de passe sur une plateforme ayant déjà été piratée, vos identifiants pourraient apparaître dans une compilation comme celle-ci.

Voici trois mesures concrètes à prendre dès maintenant :

1. Auditez vos mots de passe. Utilisez un gestionnaire de mots de passe pour identifier et remplacer tout identifiant réutilisé ou ancien, en commençant par vos comptes les plus sensibles.
2. Vérifiez l’exposition de votre adresse électronique. Recherchez votre adresse électronique principale dans un service de notification de violations réputé pour voir où vos données ont déjà été exposées.
3. Compartimentez à l’avenir. Utilisez des adresses électroniques alias pour tout compte que vous préféreriez ne pas lier à votre identité réelle.

Cette histoire se répétera. Les compilations grossissent à chaque nouvelle violation, et le marché des données recyclées reste actif et rentable. Adopter de meilleures habitudes dès maintenant réduit les dégâts que chaque nouvelle annonce peut vous causer.