OnlyFans : 340 M de profils en vente sur le dark web

340 millions de profils OnlyFans en vente : ce que les investigations revelent

Un acteur malveillant operant sous l'alias Euphoric_Reply_5727 a mis en vente sur un forum cybercriminel notoire ce qu'il decrit comme "340 millions de profils utilisateurs" lies a OnlyFans. La plateforme de contenu reserve aux adultes, qui compte des dizaines de millions d'utilisateurs et de createurs de contenu a travers le monde, represente une cible symboliquement et commercialement attractive pour les cybercriminels. L'annonce a immediatement suscite une vague d'inquietudes parmi les utilisateurs, createurs et abonnes confondus, sur l'exposition de leurs donnees personnelles et professionnelles.

La base de donnees est proposee au prix de 0,313 BTC, soit environ 76 000 dollars au cours du bitcoin au moment de la publication de l'annonce. Le vendeur affirme que le fichier contient des donnees incluant des noms d'utilisateur, des adresses e-mail, des dates d'inscription, des informations sur les abonnes et les likes, des types et quantites de contenus publies, ainsi que des comptes de reseaux sociaux lies aux profils OnlyFans. La nature de ces informations, notamment les adresses e-mail associees a des profils de createurs de contenu, rend la base particulierement sensible, car elle peut permettre d'identifier des personnes dont la presence sur OnlyFans est deliberement confidentielle.

Cependant, les investigations menees par plusieurs medias et chercheurs, notamment Security Affairs, Cybernews, PiunikaWeb et Hackread, ont rapidement mis en evidence un element crucial : cette base de donnees n'est pas le produit d'une intrusion directe dans les systemes d'OnlyFans. La source contactee directement par Hackread via Telegram a elle-meme admis que les donnees n'avaient pas ete extraites des serveurs d'OnlyFans. Il s'agit en realite d'une compilation leak : une base construite en croisant d'anciennes fuites de donnees provenant d'autres services avec des informations publiquement disponibles sur les profils OnlyFans, accessibles sans authentification.

Cette distinction technique est importante mais ne doit pas conduire a minimiser les risques. OnlyFans permet en effet l'acces public a certaines informations de profil, nom d'utilisateur, nombre d'abonnes, types de contenus proposes, sans necessiter de compte. Un acteur malveillant peut scraper ces donnees a grande echelle, puis les croiser avec des bases de donnees de fuites anterieures, les combo lists qui circulent depuis des annees sur les forums cybercriminels, pour reconstituer des profils enrichis. La base resultante, meme si elle ne contient pas de mots de passe OnlyFans ni d'informations de paiement directement extraites de la plateforme, represente un agregat potentiellement tres sensible sur le plan de la vie privee.

OnlyFans a reagi en niant formellement tout acces non autorise a ses systemes. La plateforme a indique ne trouver aucune preuve d'une compromission de son infrastructure et a suggere que les donnees proviennent de sources externes. Cette reponse est coherente avec les conclusions des chercheurs independants, mais ne suffit pas a rassurer entierement les millions d'utilisateurs potentiellement concernes par la presence de leurs donnees dans une compilation en vente sur le dark web.

Le risque concret pour les utilisateurs se situe a plusieurs niveaux. Premierement, les adresses e-mail incluses dans la base, meme si elles ne proviennent pas directement d'OnlyFans, permettent d'identifier des personnes qui utilisaient un e-mail particulier pour s'inscrire sur des services adultes, une information que beaucoup souhaitent garder strictement confidentielle. Deuxiemement, l'enrichissement de ces e-mails avec des donnees de profil OnlyFans cree une association potentiellement devastatrice pour la vie privee des createurs exercant sous pseudonyme. Troisiemement, cette base constitue un outil de phishing cible particulierement efficace, les messages frauduleux pouvant etre personnalises avec des details tres credibles.

La sextortion basee sur des donnees relatives aux plateformes adultes n'est pas un phenomene nouveau. Des campagnes similaires ont ete documentees depuis plusieurs annees, exploitant l'anxiete des utilisateurs face a l'exposition de leurs activites sur ce type de plateforme. Mais l'echelle alleguee de cette compilation, 340 millions de profils, et la richesse des donnees associees (comptes sociaux lies, activite detaillee) donnent a de potentielles campagnes d'extorsion une portee et une precision sans precedent, rendant les messages frauduleux beaucoup plus credibles aux yeux des victimes potentielles.

Il convient egalement de noter que la vente en elle-meme, independamment de l'authenticite des donnees, constitue un signal d'alarme pour l'industrie. Meme si la base s'avere partiellement fabriquee a partir de donnees publiques, son existence et sa commercialisation illustrent la sophistication croissante des techniques d'agregation de donnees utilisees par les cybercriminels pour construire des profils exploitables a des fins d'extorsion, d'usurpation d'identite ou de manipulation sociale a grande echelle.

Les compilations de fuites : une menace sous-estimee aux effets bien reels

L'incident OnlyFans illustre parfaitement la categorie des compilation leaks, une menace que la communaute de la securite considere parfois comme secondaire par rapport aux vraies violations de donnees, mais dont l'impact pratique sur les personnes concernees est souvent equivalent. La distinction juridique et technique entre vraie fuite et compilation de fuites n'a que peu d'importance pour un createur de contenu dont l'adresse e-mail, le pseudonyme et l'activite detaillee sur une plateforme adulte se retrouvent agregees et commercialisees sans son consentement sur un forum criminel.

Les compilation leaks sont le produit d'un ecosysteme cybercriminel mature et bien organise. Les grandes fuites historiques, Yahoo (3 milliards de comptes), LinkedIn (700 millions), Adobe, Dropbox, et des centaines d'autres incidents documentes, ont alimente un marche de combo lists qui circulent librement ou sont vendus sur les forums cybercriminels depuis des annees. Des outils automatises permettent de croiser ces bases avec des informations de profil publiquement accessibles sur les reseaux sociaux et les plateformes de contenu. Le resultat est une base enrichie qui, meme sans nouveaux mots de passe, revele des associations d'identite potentiellement explosives pour la vie privee des personnes concernees.

La reglementation europeenne offre un cadre theorique pour adresser ces situations. Le RGPD qualifie la combinaison de donnees publiques avec des donnees de fuites comme un traitement de donnees personnelles potentiellement soumis aux obligations de notification et de protection. Mais l'application pratique reste complexe : les acteurs qui compilent ces bases sont souvent anonymes, operent depuis des juridictions non cooperatives, et les victimes ignorent souvent que leurs donnees ont ete agregees jusqu'a ce qu'un incident d'extorsion revele le probleme. Les autorites de protection des donnees europeennes, dont la CNIL en France, se heurtent a des obstacles considerables pour poursuivre efficacement ces acteurs.

Pour les utilisateurs d'OnlyFans, createurs comme abonnes, la prudence s'impose independamment de la nature exacte de la fuite. L'utilisation d'adresses e-mail dediees, distinctes des e-mails professionnels ou personnels principaux, est une mesure de base souvent recommandee pour limiter l'impact des compilations de fuites sur les plateformes sensibles. La vigilance face aux tentatives de sextortion et de phishing doit etre accrue dans les prochaines semaines, et tout e-mail inhabituel pretendant detenir des informations sur l'activite OnlyFans doit etre traite avec la plus grande mefiance, quelle que soit la precision apparente des informations qu'il contient.

Ce qu'il faut retenir

• Il ne s'agit pas d'une intrusion directe dans les systemes d'OnlyFans, mais d'une compilation de fuites historiques croisees avec des donnees de profil publiques : un type d'incident dont l'impact sur la vie privee reste tres reel pour les personnes concernees.
• Les createurs de contenu et abonnes OnlyFans doivent anticiper une recrudescence de tentatives de sextortion et de phishing cible dans les prochaines semaines, les donnees agregees permettant une personnalisation accrue des messages frauduleux.
• Utiliser des adresses e-mail dediees et des pseudonymes sur les plateformes sensibles est une mesure de base efficace pour limiter l'exposition lors de compilations de fuites futures.