Fuite OnlyFans : 340 millions de comptes en vente, mais aucun piratage

Un fichier présenté comme les données personnelles de 340 millions d’utilisateurs d’OnlyFans est mis en vente sur un forum spécialisé dans les fuites, pour une fraction d’un seul Bitcoin. L’annonce promet des adresses e-mail, des numéros de téléphone, des noms réels, les quatre derniers chiffres d’une carte bancaire et le détail qui compte le plus sur une plateforme de ce type : les comptes de réseaux sociaux reliés à chaque profil.

Sur presque n’importe quel service, ce serait un problème de confidentialité ordinaire. Sur OnlyFans, c’est plus tranchant. Toute la relation entre la plateforme et ses usagers repose sur un mur qui sépare l’identité légale d’une personne de ce qu’elle fait derrière un paywall. Un fichier qui relie un vrai nom et un numéro de téléphone à un pseudo OnlyFans est un outil conçu pour abattre ce mur, et qu’il soit authentique ou non, il s’adresse à ceux qui veulent précisément cela.

Le vendeur décrit une fiche par compte : identifiant, pseudo, nom complet, date d’inscription, e-mail, téléphone, nombre d’abonnés et de « j’aime », volume de contenus publiés, une mention indiquant s’il s’agit d’un fan ou d’un créateur, et des liens vers des profils sur d’autres réseaux. Il en demande 0,313 Bitcoin, environ soixante-seize mille dollars pour l’ensemble. Vendu ainsi, le tout ressemble moins à un tableur qu’à un kit de ciblage. Le champ des profils reliés est celui qui transforme une base de données en arme : pour un créateur, rattacher son pseudo OnlyFans à un Instagram vérifié fait tomber la séparation dont dépend son activité.

OnlyFans affirme qu’il ne s’est rien passé. « Ces informations sont fausses », a répondu un porte-parole au média de sécurité qui a révélé l’annonce. Le chiffre lui-même nourrit le doute : 340 millions, c’est proche de l’ensemble des comptes enregistrés, ce genre de total rond qui survit rarement à une véritable intrusion. Et l’argument le plus solide contre un piratage vient du vendeur : contacté, il a reconnu que les données n’étaient jamais sorties d’OnlyFans. Il les a constituées en recoupant d’anciennes fuites d’autres plateformes, dont Twitter, Instagram et Spotify, avec des informations de profil déjà publiques. C’est une compilation, pas une intrusion.

Cette distinction est toute l’affaire, et le marché clandestin vit de la brouiller. Une vraie fuite exfiltre des données auxquelles le public n’avait jamais accès ; une compilation réordonne des données déjà fuitées ailleurs et leur colle une marque neuve et inquiétante. « OnlyFans » se vend sur un forum comme jamais ne se vendrait « une liste bâtie sur des fichiers Twitter vieux de cinq ans ». Les prétendus « piratages » de milliards de comptes WhatsApp ou Gmail qui refont surface régulièrement fonctionnent de la même façon et se révèlent presque toujours des listes d’identifiants recyclées.

Rien de tout cela ne rend le fichier inoffensif. L’arme, ici, c’est la corrélation, pas la nouveauté. Un nom déjà public d’un côté et un e-mail fuité de l’autre ne valent pas grand-chose isolément ; reliés à un pseudo OnlyFans, ils deviennent une carte qui mène de l’identité quotidienne d’une personne à son compte de contenu pour adultes. Cette carte est la matière première des messages de sextorsion qui citent de vrais détails pour paraître crédibles, du hameçonnage visant les comptes de paiement des créateurs, et du harcèlement et de l’usurpation d’identité que beaucoup subissent déjà sans qu’un attaquant ait le tri tout fait.

Pour quiconque a un jour relié un compte Instagram ou X à un profil OnlyFans, fan ou créateur et quel que soit le pays, mieux vaut partir du principe que ce lien est déjà repérable et peut désormais être empaqueté à la vente. Le conseil des spécialistes est sans éclat : traiter tout message qui semble « connaître » votre activité OnlyFans comme un moyen de pression et non comme une preuve, ne jamais payer une demande de chantage, et activer la double authentification pour qu’un mot de passe fuité ne suffise pas à ouvrir le compte. L’annonce reste en ligne et les chercheurs analysent des échantillons pour mesurer la part de réel, de recyclé ou d’inventé, seule question dont dépend vraiment le prix. Tant qu’un nom célèbre sur un forum vaudra plus que les données qui le sous-tendent, la prochaine « méga-fuite » est déjà assemblée à partir des débris des dix précédentes.