Le forum d'Affinity compromis le 6 avril via un compte admin piraté. Emails, IP et métadonnées exposés. Changez vos mots de passe et surveillez le phishing ciblé.
TL;DR — En résumé
Fuite de données Affinity : forum compromis via compte admin piraté. Emails et IP exposés. Recommandations pour les utilisateurs et administrateurs.
En bref
- Le forum communautaire d'Affinity (logiciels de création graphique) a été compromis le 6 avril 2026 via le compte d'un administrateur.
- Données exposées : noms d'utilisateur, emails, adresses IP, métadonnées de profil de tous les membres du forum.
- Action requise : changer vos mots de passe si vous avez un compte Affinity, surveiller les tentatives de phishing ciblé.
Les faits
Le 6 avril 2026, l'éditeur britannique Serif (développeur des logiciels Affinity Photo, Designer et Publisher) a informé les membres de son forum communautaire d'une fuite de données. Selon SecurityWeek, un attaquant a réussi à compromettre le compte d'un administrateur du forum, obtenant ainsi un accès privilégié à l'ensemble de la base de données des utilisateurs. L'éditeur a détecté l'intrusion et notifié les utilisateurs dans les 48 heures suivant l'incident.
Les données potentiellement exfiltrées incluent : noms d'utilisateur, scores de réputation, dates d'inscription, nombre de publications, adresses email et dernière adresse IP utilisée. Serif a précisé que les mots de passe stockés étaient hashés et que les données de paiement, gérées par un prestataire tiers, n'ont pas été affectées. Cependant, la combinaison email + IP est particulièrement exploitable pour des campagnes de phishing ciblé contre une population de créatifs et professionnels du design.
Impact et exposition
Affinity compte plusieurs millions d'utilisateurs dans le monde, principalement des photographes, graphistes et éditeurs qui utilisent cette suite comme alternative à Adobe. Le forum communautaire, très actif, concentre une population techniquement avertie mais pas nécessairement formée aux risques cyber. Le principal danger réside dans l'exploitation secondaire des données : les emails et IP permettent de construire des campagnes de phishing ultra-ciblées, imitant par exemple des notifications Affinity légitimes ou des offres de mise à jour vers Affinity 3. Ce type d'attaque par compromission d'un compte admin met en lumière la fragilité des plateformes communautaires qui concentrent des données utilisateurs sensibles avec des niveaux de contrôle d'accès parfois insuffisants.
Recommandations
- Si vous avez un compte sur le forum Affinity : changez immédiatement votre mot de passe et activez l'authentification à deux facteurs si disponible.
- Si vous utilisez le même mot de passe ailleurs : changez-le sur tous les services concernés — utilisez un gestionnaire de mots de passe.
- Soyez vigilant face aux emails se présentant comme provenant d'Affinity ou Serif dans les semaines à venir : vérifiez systématiquement l'expéditeur.
- Pour les administrateurs de forums : auditez les comptes à privilèges, imposez le MFA sur tous les comptes admin et mettez en place une surveillance des connexions inhabituelles.
Mes fichiers de création Affinity sont-ils compromis par cette fuite ?
Non. La fuite concerne uniquement les données du forum communautaire (profil, email, IP). Les logiciels Affinity fonctionnent en local sur votre machine et vos fichiers de création ne sont pas stockés sur les serveurs de Serif. Si vous utilisez des fonctionnalités cloud ou de synchronisation, vérifiez néanmoins vos paramètres de sécurité de compte par précaution.
Comment un simple compte admin compromis peut-il exposer toute une base utilisateurs ?
Les forums communautaires accordent souvent des privilèges étendus aux administrateurs : accès à la base de données, export des membres, modération avancée. Sans MFA obligatoire et sans segmentation des privilèges, un seul compte compromis — par phishing, credential stuffing ou réutilisation de mot de passe — suffit à exfiltrer l'intégralité des données. C'est pourquoi le principe du moindre privilège et le MFA sont essentiels sur tout système d'administration.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditPour approfondir
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Indra Group : ransomware TheGentlemen cible un contractant stratégique de l'OTAN
TheGentlemen, groupe ransomware affilié au programme Qilin, a revendiqué une attaque contre Indra Group, contractant espagnol membre de la coalition cyber OTAN. La filiale touchée a été isolée mais le groupe menace de publier les données volées. L'incident illustre la stratégie de ciblage des filiales pour compromettre les groupes industriels de défense.
CVE-2026-45659 : SharePoint Server RCE exploité activement, Storm-2603 déploie des webshells
CVE-2026-45659, une désérialisation RCE CVSS 8.8 sur Microsoft SharePoint Server, a été ajoutée au KEV CISA après exploitation confirmée par Storm-2603. Un compte avec des droits de membre de site suffit pour déclencher l'attaque. Appliquer le patch de mai 2026 en urgence.
Patch Tuesday juillet 2026 : 127 CVE, RCE wormable CVSS 9.8 et enforcement Kerberos RC4
Le Patch Tuesday du 14 juillet 2026 corrige 127 vulnérabilités dont 38 critiques. CVE-2025-47981, un RCE wormable CVSS 9.8 sur NEGOEX, est le correctif le plus urgent ; l'enforcement Kerberos RC4 entre en vigueur aujourd'hui et peut provoquer des pannes d'authentification sur les environnements non préparés.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires (1)
Laisser un commentaire