Vimeo confirme la fuite de 119 000 dossiers utilisateurs via un prestataire d'analyse tiers
ShinyHunters n'a pas piraté Vimeo. Le groupe a compromis Anodot, le prestataire d'analyse voisin, et reparti avec 106 Go de données clients. La leçon vaut pour tout SaaS qui traite des fichiers utilisateurs.
VaultTools · 12 mai 2026
Photo de Bernard Hermant sur Unsplash
Table des matières
- Ce qui s’est passé
- Comment l’attaque s’est déroulée
- Ce qui a été exposé
- La leçon sur la chaîne d’approvisionnement
- Sources
Ce qui s’est passé
Le 28 avril 2026, Vimeo a déclaré une violation de données touchant environ 119 000 utilisateurs. Have I Been Pwned a intégré le jeu de données le 5 mai 2026 et confirmé 119 200 adresses e-mail uniques. Le groupe d’extorsion ShinyHunters a revendiqué l’attaque et publié 106 Go de données volées après l’échec des négociations de rançon.
Comment l’attaque s’est déroulée
Les attaquants n’ont pas compromis Vimeo directement. Ils ont compromis Anodot, un prestataire d’analyse tiers utilisé par Vimeo, et récupéré des jetons d’authentification donnant accès aux environnements Snowflake et BigQuery de Vimeo. Ces jetons suffisaient à lire les données clients présentes dans le pipeline analytique. Aucune faille logicielle n’a été exploitée côté Vimeo.
Ce qui a été exposé
Vimeo a confirmé l’exposition d’adresses e-mail (parfois accompagnées de noms), de titres de vidéos, de données techniques et de métadonnées. L’entreprise précise que les contenus vidéo, les identifiants valides et les informations de paiement n’ont pas été touchés. Malgré cela, plusieurs centaines de gigaoctets de données relatives aux clients ont quitté le périmètre de Vimeo via un prestataire dont la plupart des utilisateurs ignoraient l’existence.
La leçon sur la chaîne d’approvisionnement
Vimeo exploite sa propre infrastructure avec des contrôles de sécurité raisonnables. Les données ont tout de même fui, parce qu’elles avaient été copiées vers une plateforme d’analyse tierce. Tout SaaS qui traite du contenu utilisateur, y compris les convertisseurs de fichiers en ligne, les éditeurs d’images et les outils PDF, transmet par défaut des métadonnées à des prestataires d’analyse, de télémétrie et d’observabilité. Chaque intégration est une porte de plus.
Les outils qui s’exécutent dans le navigateur, sur l’appareil de l’utilisateur, ferment ces portes par construction. Aucun fichier ne quitte la machine, aucune métadonnée ne part vers un prestataire, et aucun identifiant ne protège l’accès à un serveur puisqu’aucun serveur ne stocke les données. L’incident Vimeo rappelle que la confidentialité des données téléversées dépend non seulement du prestataire choisi, mais aussi de chaque prestataire que celui-ci a choisi.
Sources
- Vimeo data breach exposes personal information of 119,000 people (DataBreaches.net)
- ShinyHunters claims dump puts 119K Vimeo emails in the wild (The Register)
- Vimeo Data Breach 2026: ShinyHunters Exploit Anodot Integration (Rescana)
- Have I Been Pwned: Vimeo Data Breach (Have I Been Pwned)
- Vimeo breach by ShinyHunters exposes personal info of 119,000 users (Paubox)