En bref

  • Un pirate a exfiltré 8 millions de tickets de support Crunchyroll contenant les données de 6,8 millions d'utilisateurs uniques.
  • L'attaque a exploité un compte Okta SSO compromis d'un sous-traitant Telus International ayant accès à l'instance Zendesk.
  • Le hacker exige 5 millions de dollars de rançon. Crunchyroll confirme l'incident et poursuit son investigation.

Ce qui s'est passé

La plateforme de streaming anime Crunchyroll, filiale de Sony avec plus de 15 millions d'abonnés, a confirmé fin mars 2026 être victime d'une fuite de données majeure. Selon les informations rapportées par BleepingComputer et TechCrunch, un attaquant a compromis un compte Okta de single sign-on (SSO) appartenant à un agent de support employé par Telus International, un prestataire de services externalisés (BPO) disposant d'un accès à l'instance Zendesk de Crunchyroll.

L'intrusion, datée du 12 mars, a permis au pirate de télécharger 8 millions d'enregistrements de tickets de support. Parmi ces données figurent 6,8 millions d'adresses e-mail uniques, accompagnées de noms, identifiants de connexion, adresses IP, localisations géographiques approximatives et le contenu intégral des échanges avec le support. Certains tickets contiennent des fragments d'informations bancaires partagées volontairement par les utilisateurs, comme les quatre derniers chiffres de carte ou des dates d'expiration.

Cette attaque via un sous-traitant rappelle la compromission massive de Telus Digital par ShinyHunters et confirme que les prestataires BPO restent un maillon faible de la chaîne de sécurité. Le schéma d'attaque — compromission d'identité SSO suivie d'exfiltration depuis un SaaS tiers — est devenu un classique, comme l'illustrent les campagnes EvilTokens ciblant Microsoft 365.

Pourquoi c'est important

Cette fuite met en lumière trois problématiques structurelles de la sécurité cloud en 2026. D'abord, la surface d'attaque étendue aux sous-traitants : Crunchyroll n'a pas été directement compromis, mais son prestataire Telus International a servi de porte d'entrée. Ensuite, la concentration des données dans les plateformes SaaS comme Zendesk, qui deviennent des cibles à haute valeur. Enfin, l'absence fréquente de MFA résistant au phishing sur les comptes SSO des prestataires externes.

Pour les 6,8 millions d'utilisateurs touchés, le risque principal est le phishing ciblé : les contenus des tickets de support révèlent des problèmes de facturation, des demandes de remboursement et des informations personnelles exploitables pour de l'ingénierie sociale. La demande de rançon de 5 millions de dollars, restée sans réponse de Crunchyroll, laisse présager une publication des données, à l'image de ce qui s'est passé avec la brèche Conduent/SafePay et la fuite de la Commission européenne.

Ce qu'il faut retenir

  • Si vous avez un compte Crunchyroll, changez votre mot de passe et surveillez les tentatives de phishing exploitant vos données de support.
  • Les entreprises doivent imposer le MFA phishing-resistant (FIDO2/WebAuthn) à tous les prestataires externes ayant accès à leurs systèmes SaaS.
  • Auditez les accès Zendesk, Salesforce et autres plateformes de support : les comptes BPO avec accès aux données clients sont des cibles prioritaires pour les attaquants.

Mes données bancaires sont-elles compromises si j'ai un compte Crunchyroll ?

Les données de paiement complètes ne font pas partie de la fuite. Seuls les utilisateurs ayant partagé des informations bancaires dans un ticket de support (derniers chiffres de carte, date d'expiration) sont potentiellement concernés. Le système de paiement de Crunchyroll n'a pas été compromis. Par précaution, surveillez vos relevés bancaires et activez les alertes de transaction sur votre carte.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact