La nouvelle a fait l'effet d'une douche froide pour les millions d'utilisateurs de la plateforme. Substack, le service populaire de newsletters, a admis avoir été victime d'une importante fuite de données. L'incident, qui remonte à octobre 2025, n'a été identifié que le 3 février 2026, soit plusieurs mois après les faits. Un pirate a réussi à accéder à des informations sensibles, laissant planer une menace directe sur les comptes concernés.
Quelles données ont été précisément compromises ?
Le butin du pirate inclut des informations personnelles critiques. Selon les communications de l'entreprise, les données volées comprennent les adresses e-mail et les numéros de téléphone. Le PDG de Substack, Chris Best, a tenu à rassurer les utilisateurs en précisant que les informations les plus sensibles, comme les mots de passe ou les numéros de cartes de crédit, n'ont pas été exposées.
Cependant, la nature même des données dérobées ouvre la porte à des campagnes de hameçonnage sophistiquées. Les cybercriminels pourraient utiliser ces informations pour créer des messages très personnalisés et convaincants, augmentant significativement le risque pour les victimes.
Comment Substack a-t-il réagi à cette découverte tardive ?
Dans un message direct et sans fioritures adressé aux utilisateurs affectés, Chris Best a présenté des excuses particulièrement franches. « Ça craint. Je suis désolé », a-t-il déclaré, reconnaissant la gravité de la situation. L'entreprise affirme avoir immédiatement corrigé la vulnérabilité qui a permis l'intrusion et la compromission de certaines données.
Une enquête interne approfondie a été lancée pour comprendre les circonstances exactes de la violation et pour renforcer les systèmes et processus de sécurité. Pour l'heure, Substack assure n'avoir aucune preuve que les informations volées, comme un numéro de téléphone, soient activement utilisées à des fins malveillantes.
Quelle est l'ampleur réelle de la fuite et quels sont les risques ?
Si Substack reste discret sur le nombre exact de victimes, des rumeurs alarmantes circulent sur les forums spécialisés. Des sources évoquent une base de données contenant près de 700 000 enregistrements d'utilisateurs. Cette base inclurait noms, identifiants, photos de profil et bien d'autres métadonnées. Le lien entre cette base de données et la brèche reconnue par Substack n'a pas été officiellement confirmé.
Le risque principal pour les utilisateurs est le phishing. Substack encourage donc tout le monde à redoubler de vigilance face à des courriels ou SMS suspects. Cette affaire met en lumière la fragilité des plateformes numériques et l'enjeu capital de la confiance, pilier du modèle économique de l'entreprise.
