Outils / Actualités / Vimeo confirme la fuite de 119 000 dossiers utilisateurs via un prestataire d'analyse tiers
Presse

Vimeo confirme la fuite de 119 000 dossiers utilisateurs via un prestataire d'analyse tiers

· VaultTools

ShinyHunters n'a pas piraté Vimeo. Le groupe a compromis Anodot, le prestataire d'analyse voisin, et reparti avec 106 Go de données clients. La leçon vaut pour tout SaaS qui traite des fichiers utilisateurs.

VaultTools · 12 mai 2026

Caméra de surveillance noire fixée à un mur Photo de Bernard Hermant sur Unsplash

Table des matières


Ce qui s’est passé

Le 28 avril 2026, Vimeo a déclaré une violation de données touchant environ 119 000 utilisateurs. Have I Been Pwned a intégré le jeu de données le 5 mai 2026 et confirmé 119 200 adresses e-mail uniques. Le groupe d’extorsion ShinyHunters a revendiqué l’attaque et publié 106 Go de données volées après l’échec des négociations de rançon.

Comment l’attaque s’est déroulée

Les attaquants n’ont pas compromis Vimeo directement. Ils ont compromis Anodot, un prestataire d’analyse tiers utilisé par Vimeo, et récupéré des jetons d’authentification donnant accès aux environnements Snowflake et BigQuery de Vimeo. Ces jetons suffisaient à lire les données clients présentes dans le pipeline analytique. Aucune faille logicielle n’a été exploitée côté Vimeo.

Ce qui a été exposé

Vimeo a confirmé l’exposition d’adresses e-mail (parfois accompagnées de noms), de titres de vidéos, de données techniques et de métadonnées. L’entreprise précise que les contenus vidéo, les identifiants valides et les informations de paiement n’ont pas été touchés. Malgré cela, plusieurs centaines de gigaoctets de données relatives aux clients ont quitté le périmètre de Vimeo via un prestataire dont la plupart des utilisateurs ignoraient l’existence.

La leçon sur la chaîne d’approvisionnement

Vimeo exploite sa propre infrastructure avec des contrôles de sécurité raisonnables. Les données ont tout de même fui, parce qu’elles avaient été copiées vers une plateforme d’analyse tierce. Tout SaaS qui traite du contenu utilisateur, y compris les convertisseurs de fichiers en ligne, les éditeurs d’images et les outils PDF, transmet par défaut des métadonnées à des prestataires d’analyse, de télémétrie et d’observabilité. Chaque intégration est une porte de plus.

Les outils qui s’exécutent dans le navigateur, sur l’appareil de l’utilisateur, ferment ces portes par construction. Aucun fichier ne quitte la machine, aucune métadonnée ne part vers un prestataire, et aucun identifiant ne protège l’accès à un serveur puisqu’aucun serveur ne stocke les données. L’incident Vimeo rappelle que la confidentialité des données téléversées dépend non seulement du prestataire choisi, mais aussi de chaque prestataire que celui-ci a choisi.


Sources