Skip to content
hacker_posts

Top4Fans : 75 Go publiés, des milliers de cartes d'identité collectées pour la vérification d'âge

Top4Fans, plateforme adulte concurrente d'OnlyFans et MYM, voit 75 Go de données publiées après non-paiement de la rançon. Cartes nationales d'identité collectées pour la conformité d'âge.

Publié le 4 min de lecture
fuitetop4fansverification-agergpd

Top4Fans, plateforme française de monétisation de contenus pour adultes (positionnée face à OnlyFans et MYM), a vu publier 75 Go de données internes après le refus d'une rançon. L'enquête primaire est signée ZATAZ, avec une consolidation chez FunInformatique. Aucune communication publique de la plateforme n'a été identifiée à la date de cet article.

Le cœur du lot exposé : des milliers de cartes nationales d'identité que Top4Fans collectait pour vérifier la majorité de ses utilisateurs et créateurs.

Chronologie revendiquée

  • Compromission de l'infrastructure de Top4Fans.
  • Demande de rançon, montant non précisé publiquement.
  • Cinq jours d'attente sans paiement.
  • Publication du lot par les attaquants — 75 Go déposés en accès libre sur un canal cybercriminel.

Le périmètre annoncé par les auteurs : cartes d'identité (recto/verso, photo, état civil complet), fiches utilisateurs et fiches créateurs. ZATAZ chiffre le volume publié à environ 75 Go — soit, à titre de comparaison, plusieurs centaines de milliers de documents textuels ou plusieurs milliers d'images haute résolution.

Personnes concernées

D'après les échantillons examinés par ZATAZ et FunInformatique, les victimes sont majoritairement françaises, avec une présence significative d'utilisateurs suisses, belges, vietnamiens, colombiens et d'autres nationalités. La plateforme étant ouverte à l'international, l'exposition dépasse le seul périmètre métropolitain.

Aucun chiffre consolidé n'a été publié par Top4Fans. Aucune notification CNIL publique n'a été identifiée à ce stade.

Pourquoi ces données existent

Top4Fans appartient à la catégorie d'éditeurs soumis, en France comme dans plusieurs juridictions, à une obligation de vérification d'âge pour l'accès aux contenus pornographiques. Le contrôle, dans la pratique observable du marché, repose sur le téléversement d'une pièce d'identité officielle par chaque utilisateur et créateur — solution la plus simple, la moins onéreuse, et de loin la plus dangereuse en cas de compromission.

La donnée stockée n'est pas un mot de passe que l'on peut faire pivoter. Une carte d'identité française reste valable jusqu'à quinze ans après émission. Un lot publié aujourd'hui sert à de l'usurpation pendant la décennie qui suit.

Attribution

ZATAZ rattache l'opération à un groupe revendiquant des intrusions antérieures contre l'Armée de l'air saoudienne, l'entreprise belge Cadorim et la chinoise Enflame Technology. L'attribution est revendiquée par les attaquants eux-mêmes et n'a pas, à ce stade, fait l'objet d'un avis indépendant d'une autorité ou d'un éditeur de renseignement sur la menace.

Que faire

  1. Utilisateurs et créateurs Top4Fans : considérer la pièce d'identité fournie à la plateforme comme publiquement diffusée. Inscription gratuite sur le téléservice de signalement Cybermalveillance.gouv.fr, opposition préventive sur le téléservice de renouvellement anticipé de la pièce d'identité auprès de l'ANTS si l'usurpation est jugée probable, vigilance accrue sur toute demande d'ouverture de crédit, abonnement téléphonique ou compte bancaire.
  2. Mots de passe Top4Fans réutilisés ailleurs : à changer immédiatement, avec mots de passe uniques par service et un gestionnaire dédié.
  3. Plainte CNIL : si Top4Fans n'a pas notifié individuellement les personnes concernées en cas de risque élevé, plainte possible via le formulaire en ligne de l'autorité.
  4. Plainte pénale : dépôt envisageable pour atteinte à la vie privée et collecte/conservation négligente de données sensibles, en parallèle de la notification CNIL.
  5. Éditeurs soumis à l'obligation de vérification d'âge : la collecte directe d'une pièce d'identité n'est plus une solution acceptable de gestion du risque. Les schémas attendus par la CNIL et l'Arcom — preuves d'âge anonymes via un tiers attestant, sans transmission du document à l'éditeur de service — doivent être déployés.

Contexte

L'attaque s'inscrit dans une série prévisible : à mesure que la vérification d'âge devient une obligation réglementaire, les éditeurs concernés deviennent les dépositaires obligés d'un patrimoine d'identités officielles dont ils n'ont ni le métier, ni l'architecture, ni la maturité opérationnelle pour assurer la garde. Top4Fans rejoint une liste qui n'a pas vocation à se vider.

La piste tracée par la CNIL — délégation de la preuve d'âge à un tiers de confiance qui ne transmet à l'éditeur qu'une assertion booléenne — est connue, documentée, et techniquement disponible (Anonyme par défaut, attribut d'âge majeur d'un identifiant régalien type FranceConnect+). Tant qu'elle n'est pas la norme effective, chaque nouvel acteur conforme à la loi sur le papier est un futur dossier ZATAZ.

Articles liés