La plateforme Chess.com, qui rassemble plus de 100 millions de joueurs et passionnés d'échecs, a récemment officialisé un incident de cybersécurité. Survenu en juin 2025, il a entraîné l'exposition des données personnelles de 4500 utilisateurs.

La source du problème n'est pas une faille dans les serveurs du site lui-même, mais dans une application tierce de transfert de fichiers.

Un piratage discret mais efficace

Entre le 5 et le 18 juin 2025, des attaquants ont eu un accès non autorisé à l'outil externe utilisé par la plateforme. L'intrusion a été découverte le 19 juin, laissant aux attaquants une fenêtre de deux semaines pour opérer.

Dès la détection de l'anomalie, Chess.com a lancé une enquête interne, fait appel à des experts en cybersécurité et alerté les autorités fédérales américaines. L'entreprise a tenu à rassurer sa communauté en précisant que son propre code n'avait pas été compromis.

« En juin, nous avons pris connaissance d'un accès non autorisé à des données stockées dans une application tierce de transfert de fichiers utilisée par Chess.com. Le code de Chess.com n'a pas été compromis », a confirmé un porte-parole à Recorded Future News.

Quelles sont les informations compromises ?

Selon les notifications envoyées aux victimes à partir du 3 septembre 2025, les informations exposées incluent des noms et d'autres identifiants personnels. Le flou demeure sur la nature exacte de ces identifiants.

Chess.com souligne qu'à la suite de l'incident, aucune information bancaire ni aucun compte de membre n'ont été divulgués. Le piratage ne concerne qu'une infime partie des membres, moins de 0,003 % de la base totale.

Pour les personnes affectées, il est proposé un à deux ans de services gratuits pour des solutions de surveillance contre le vol d'identité. Une maigre consolation face au risque de voir ses informations circuler sur des marchés cybercriminels…

Un air de déjà-vu pour la plateforme

Cette fuite de données n'est pas une première pour Chess.com. En novembre 2023, la plateforme avait déjà subi un incident de sécurité. À l'époque, une faille dans une API avait permis l'aspiration des données de plus de 800 000 utilisateurs.

hibp-chess-com-fuite-donnees-2023

Les informations dérobées comprenaient alors les adresses e-mail, les noms complets, les noms d'utilisateur et la localisation géographique des joueurs. Le dernier incident de cybersécurité est moins massif par son ampleur.