Fuite SoundCloud : 29,8 millions de comptes exposés, pourquoi ces emails suffisent aux escrocs

29,8 millions de comptes SoundCloud ont vu leurs données associées à un incident de sécurité détecté en décembre 2025. Les informations concernées ne sont pas des mots de passe ni des données bancaires, mais des éléments qui servent de carburant aux arnaques, à commencer par les adresses email et des informations de profil visibles publiquement.

Le scénario est plus subtil qu’un simple “piratage de comptes”. D’après les éléments communiqués, des attaquants ont obtenu un accès non autorisé à un tableau de bord interne, puis ont relié des emails normalement non visibles à des profils. Le jeu consiste ensuite à exploiter ces correspondances, pour du hameçonnage ciblé ou des tentatives d’extorsion, avec une diffusion du lot de données survenue après coup.

SoundCloud confirme 29,8 millions de comptes touchés en décembre 2025

Le chiffre de 29,8 millions correspond à une part importante de la base d’utilisateurs, autour de 20% selon les informations disponibles. L’incident a été repéré en mi-décembre 2025, dans un contexte où certains utilisateurs ont signalé des difficultés d’accès et des messages d’erreur. Ce type de perturbation n’est pas rare après une réponse à incident, quand des équipes verrouillent des services, réinitialisent des sessions ou modifient des règles d’accès.

Le point clé, c’est la nature des données exposées. Dans ce dossier, il est question d’emails associés à des informations de profils, comme les noms d’affichage, les pseudos, les avatars, des compteurs d’abonnés et d’abonnements, des statistiques de profil, et parfois le pays. Rien n’indique une exposition de mots de passe, de données de paiement ou de contenus privés. Ça limite certains risques, mais ne les fait pas disparaître.

Ce qui change tout, c’est l’association entre une information “cachée” et des informations “publiques”. Un profil SoundCloud peut être visible, avec un pseudo et un nombre d’abonnés, sans révéler l’email. Là, la fuite permet de relier les deux à grande échelle. Dans la pratique, un escroc n’a plus à deviner quel email se cache derrière un compte, il peut cibler directement une personne avec des détails crédibles, par exemple le pseudo exact et des chiffres d’audience.

Dans l’écosystème des plateformes audio, ce type d’incident touche plus que la simple vie privée. Beaucoup d’utilisateurs utilisent SoundCloud pour publier des maquettes, promouvoir un projet, gérer des collaborations, ou servir de vitrine professionnelle. Quand une base associe email et identité de créateur, elle devient exploitable pour des approches personnalisées, comme “je suis un label, je t’ai repéré”, ou “ton compte est en infraction”, avec un lien de connexion piégé.

Le tableau de bord interne a permis de relier emails et profils publics

Les informations disponibles décrivent un accès non autorisé à un service dashboard interne, une interface d’administration qui n’est pas destinée au public. Ce type d’outil est souvent utilisé pour la modération, le support, ou la gestion de services annexes. Une fois dedans, les attaquants auraient pu “cartographier” des emails et les faire correspondre à des profils déjà consultables, ce qui revient à lever un voile que la plateforme posait par défaut.

Sur le plan technique, l’attaque est présentée comme plutôt “infrastructure” que “utilisateur final”. Autrement dit, pas besoin d’infecter l’ordinateur des utilisateurs. Les éléments évoquent une attaque par identifiants valides, ce que les spécialistes classent souvent dans la logique des valid accounts, via des identifiants compromis, du phishing interne, ou des clés d’accès mal protégées. Dans certains comptes rendus, il est aussi question d’authentification API insuffisante.

Une fois l’accès obtenu, le risque principal devient l’exfiltration à grande échelle. Les traces typiques, ce sont des tentatives d’authentification échouées, puis des connexions réussies depuis des localisations inhabituelles, suivies de volumes de requêtes anormaux. C’est souvent là que les équipes sécurité détectent quelque chose, pas forcément au moment de la première intrusion, mais quand le débit de collecte sort des habitudes. Pour 29,8 millions de comptes, la phase de collecte est forcément structurée.

Le fait que les mots de passe n’aient pas été exposés n’est pas un détail, mais ce n’est pas une assurance tous risques. Une fuite d’emails “propres” et correctement associés à des identités sert à alimenter des attaques sur d’autres services, parce que beaucoup de gens réutilisent le même email partout. Un attaquant peut tenter des campagnes de phishing, ou des essais automatisés sur d’autres plateformes, en s’appuyant sur la crédibilité d’un message qui cite votre pseudo SoundCloud.

ShinyHunters lié à l’extorsion et à la diffusion des données en 2026

L’incident est attribué au groupe ShinyHunters, connu pour des opérations d’extorsion liées à des données volées. Le schéma est classique, pression sur l’entreprise, menace de publication, puis divulgation si la négociation échoue ou si l’objectif est de frapper l’image. Dans ce dossier, les éléments disponibles indiquent une tentative d’extorsion, suivie d’une mise en ligne des données en janvier 2026.

Ce calendrier compte pour les utilisateurs. Entre la détection en décembre 2025 et la diffusion ultérieure, il peut y avoir une période où les données circulent déjà dans des cercles privés. C’est souvent la phase la plus dangereuse, parce que les campagnes d’arnaque démarrent avant que le grand public ne comprenne ce qui se passe. Quand la base devient publique, elle se démocratise, et les attaques se multiplient, y compris par des acteurs opportunistes.

Un autre volet mentionné, c’est la tactique de harcèlement par “email flooding”, une saturation de boîtes mail. Ce n’est pas forcément l’attaque la plus sophistiquée, mais elle peut servir à masquer un message important dans un déluge de notifications, ou à pousser une victime à cliquer sur un faux lien “désinscription”. La mécanique est simple, vous êtes sous pression, vous cherchez une sortie rapide, et vous tombez sur une page qui ressemble à SoundCloud.

Pour donner une idée concrète, imaginez un message qui arrive avec votre nom d’affichage exact, votre pseudo, et une référence à votre nombre d’abonnés. L’escroc peut prétendre être le support, ou un partenaire, et demander une “vérification” via un formulaire. Même sans mot de passe volé, il peut obtenir vos identifiants si vous les saisissez sur un faux site. C’est la raison pour laquelle une fuite d’emails peut déclencher des prises de comptes indirectes.

Pourquoi l’absence de mots de passe ne protège pas contre le phishing

Dire “pas de mots de passe” peut donner un faux sentiment de sécurité. Le risque principal devient le phishing ciblé, parce que l’email est un identifiant universel. Ajoutez à ça des informations de profil, comme un avatar et des stats, et vous obtenez des messages personnalisés. Un mail générique est facile à repérer, mais un mail qui cite votre pseudo SoundCloud et votre activité récente paraît plus crédible.

Un exemple typique, c’est l’arnaque à la “réactivation de compte”. Le message explique qu’une activité suspecte a été détectée, qu’il faut se reconnecter, et qu’un lien est fourni. Un autre exemple, c’est l’arnaque au “copyright” ou à la “monétisation”, très efficace sur les créateurs. Le message promet une opportunité, demande de confirmer un compte, puis redirige vers une page de connexion factice. Le seul but est de récupérer vos identifiants.

La fuite peut aussi alimenter l’usurpation d’identité. Si un attaquant connaît votre email et votre pseudo, il peut vous imiter auprès d’autres créateurs, ou contacter des marques en se faisant passer pour vous. Sur SoundCloud, où les échanges peuvent passer par messages, réseaux sociaux liés, ou email direct, le risque est celui d’une chaîne de confiance cassée. Même une info comme le pays peut aider à adapter la langue et le ton.

Marc, consultant en cybersécurité interrogé pour cet article, résume le problème de façon très concrète, “un email seul, c’est une cible, un email plus un profil, c’est un scénario”. Sa nuance est importante, la plupart des victimes ne se font pas “hacker” par magie, elles se font convaincre. Et là, la fuite fournit les détails qui rendent la persuasion plus facile. La meilleure défense n’est pas seulement technique, elle est aussi comportementale.

Comment vérifier son exposition et réduire les risques sur SoundCloud

Premier réflexe, vérifier si votre adresse apparaît dans des bases de données de fuites, notamment via des services de notification reconnus comme Have I Been Pwned. L’intérêt n’est pas de paniquer, mais d’objectiver le risque. Si votre email est concerné, partez du principe que vous allez recevoir des messages plus crédibles que d’habitude. L’objectif est de durcir vos habitudes, surtout sur les liens reçus par mail.

Deuxième étape, sécuriser l’accès au compte. Même si les mots de passe n’ont pas été exposés, changer votre mot de passe SoundCloud reste un geste utile, surtout si vous l’avez réutilisé ailleurs. Activez l’authentification à deux facteurs si elle est disponible dans votre configuration, et vérifiez les sessions actives. Si SoundCloud demande de vous déconnecter puis de vous reconnecter, faites-le via l’application ou en tapant l’URL vous-même, pas via un lien reçu.

Troisième axe, réduire votre empreinte de données. Les attaquants utilisent un email exposé pour chercher des informations sur des courtiers en données et sur les réseaux sociaux. Moins il y a de correspondances publiques entre votre email, votre pseudo et vos autres comptes, plus l’attaque coûte cher. Dans la pratique, ça veut dire vérifier quelles infos sont visibles sur vos profils publics, éviter d’afficher un email en clair, et cloisonner vos adresses selon les usages.

Dernier point, il faut accepter une critique, la communication “pas de mots de passe” est vraie, mais elle peut être mal comprise. La sécurité ne se limite pas aux mots de passe, elle inclut la capacité d’un service interne à empêcher qu’un email privé soit relié à un profil public à grande échelle. Pour les utilisateurs, la réponse pragmatique consiste à surveiller les tentatives de connexion, à se méfier des mails urgents, et à signaler toute campagne suspecte au support.