Accueil / Cybersécurité / Securite informatique / Flickr alerte sur une fuite via un prestataire d’e-mails

Flickr alerte sur une fuite via un prestataire d’e-mails

Par
4 Mins Read
15 février 2026

Sommaire de l'article

Une faille chez un fournisseur tiers a pu exposer des données d’abonnés Flickr. L’entreprise bloque l’accès en quelques heures et redoute surtout une vague d’hameçonnage ciblant ses 35 millions d’utilisateurs mensuels.

Flickr a averti ses utilisateurs d’une possible fuite de données liée à une faille dans les systèmes d’un prestataire de messagerie tiers. L’entreprise dit avoir découvert l’incident le 5 février 2026 et avoir bloqué l’accès au système compromis quelques heures plus tard. Selon Flickr, les identifiants de connexion et les informations financières ne sont pas concernés. En revanche, des données pourraient avoir été exposées, notamment noms d’utilisateur, adresses e-mail, surnoms Flickr, types de comptes, adresses IP, données de géolocalisation et informations d’activité. Les utilisateurs sont invités à vérifier leurs paramètres et à se méfier du phishing. Flickr enquête et renforce ses contrôles fournisseurs.

Une brèche indirecte, et le risque de phishing à grande échelle

L’alerte ne vient pas d’un piratage frontal de Flickr, mais d’un angle souvent sous-estimé : la dépendance à un prestataire. Le service d’hébergement de photos indique qu’une faille de sécurité dans les systèmes d’un fournisseur de messagerie tiers a pu permettre à des pirates d’accéder à des informations d’abonnés. L’entreprise dit avoir eu connaissance du problème le 5 février 2026, puis avoir bloqué l’accès au système compromis quelques heures plus tard.

Flickr précise que les identifiants des utilisateurs et les informations financières n’ont pas été affectés. Cette ligne de défense est essentielle, mais elle ne supprime pas le principal danger opérationnel : l’attaquant n’a pas forcément besoin de mots de passe pour provoquer des dégâts. Des données comme les noms, les adresses e-mail, les surnoms Flickr, les types de comptes, les adresses IP, la géolocalisation et des informations d’activité suffisent à fabriquer des messages de fraude crédibles, personnalisés et difficiles à distinguer d’une communication légitime.

Le contexte donne la mesure du risque. Fondé en 2004, Flickr reste un acteur majeur, revendiquant plus de 28 milliards de photos et de vidéos. La plateforme est utilisée par 35 millions de personnes chaque mois et totalise 800 millions de pages vues. Une exposition même partielle peut donc fournir une base de ciblage massive pour des campagnes de hameçonnage, de prise de compte par tromperie, ou de collecte secondaire via de faux formulaires de support.

Flickr ne communique pas le nom du prestataire touché ni le nombre d’utilisateurs concernés. Ce silence complique l’évaluation externe, mais il ne change pas la logique de menace : dès que des coordonnées et des signaux d’usage circulent, les fraudeurs peuvent orchestrer des attaques “à la bonne adresse”, au bon moment, avec un récit cohérent.

Ce que Flickr demande aux utilisateurs, et ce que l’incident révèle

Dans les notifications par courriel, les utilisateurs potentiellement concernés sont invités à vérifier les paramètres de leur compte pour détecter toute modification suspecte. L’entreprise leur demande aussi de redoubler de prudence face aux messages d’hameçonnage, car des pirates pourraient exploiter des données volées pour usurper l’identité de Flickr. Elle rappelle un point de repère simple : Flickr ne demande jamais un mot de passe par e-mail.

L’entreprise indique enquêter sur l’incident, renforcer son architecture et resserrer ses contrôles sur les fournisseurs tiers. L’aveu implicite est celui d’une surface d’attaque élargie : même si le cœur du service n’est pas touché, un maillon périphérique peut exposer des informations suffisamment riches pour alimenter une fraude rentable. Dans ce schéma, le renseignement utile pour l’attaquant n’est pas le contenu des comptes, mais les métadonnées permettant de choisir une victime, de la profiler et de la convaincre.

À l’échelle cyber, l’épisode illustre une règle constante : les compromis “indirects” via prestataires transforment des données de contact en armes, et déplacent la bataille vers la détection de faux messages et la discipline des accès.

Étiquetté :
Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.

Articles similiares

Trafic de puces IA, trois hommes inculpés
31 mars 2026
Les Émirats face à la cyberguerre dopée à l’IA
31 mars 2026
Un soldat américain au cœur d’un réseau nord-coréen
31 mars 2026
La FCC bloque les routeurs étrangers aux États-Unis
31 mars 2026
Le Royaume-Uni frappe Xinbi, plaque tournante crypto
31 mars 2026
Intesa Sanpaolo sanctionnée pour faille interne
31 mars 2026
Telegram face à une faille critique encore opaque
31 mars 2026
La stratégie cyber de Trump muscle l’offensive américaine
11 mars 2026
Incident de sécurité chez Wikimedia via un ver JavaScript
11 mars 2026

Nos partenaires

Actualités du mois

avril 2026
L M M J V S D
 12345
6789101112
13141516171819
20212223242526
27282930  

Articles en UNE

Actus zataz

Réseaux sociaux

Facebook21,615FansJ'aimeX (Twitter)25,823AbonnésSuivreInstagram17,539AbonnésSuivrePinterest15,260AbonnésEpinglerYoutube8,922AbonnésS'abonnerTiktok4,205AbonnésSuivreTelegram1,203MembresRejoindreSoundcloud15,259AbonnésSuivreVimeo25,096AbonnésSuivreDribbble15,260AbonnésSuivre

Liste des sujets

<!-- Cyber'Émission ZATAZ — badge volant (déplaçable) + réduire/fermer -->
<div class="zataz-yt-float" id="zatazYtFloat" role="region" aria-label="Cyber'Émission ZATAZ">
  <div class="zataz-yt-float__bar" id="zatazYtBar">
    <span class="zataz-yt-float__title">Cyber'Émission ZATAZ</span>

    <div class="zataz-yt-float__actions">
      <button type="button" class="zataz-yt-float__btn" id="zatazYtMin" aria-label="Réduire">—</button>
      <button type="button" class="zataz-yt-float__btn zataz-yt-float__btn--close" id="zatazYtClose" aria-label="Fermer">×</button>
    </div>
  </div>

  <a class="zataz-yt-badge" href="https://www.youtube.com/@ZATAZCOM" target="_blank" rel="noopener noreferrer"
     aria-label="Regarder Cyber'Émission ZATAZ sur YouTube (nouvel onglet)">
    <span class="zataz-yt-badge__thumb" aria-hidden="true">
      <span class="zataz-yt-badge__play" aria-hidden="true"></span>
    </span>
  </a>
</div>

<style>
  .zataz-yt-float{
    position:fixed;
    right:18px;
    bottom:18px;
    z-index:99999;
    width:320px;
    max-width:calc(100vw - 36px);
    border-radius:14px;
    overflow:hidden;
    background:linear-gradient(135deg,#111827,#0b1220 55%,#111827);
    border:1px solid rgba(255,255,255,.12);
    box-shadow:0 14px 40px rgba(0,0,0,.35);
    transform:translateZ(0);
    user-select:none;
    touch-action:none; /* drag mobile */
  }

  /* Barre de drag + boutons */
  .zataz-yt-float__bar{
    display:flex;
    align-items:center;
    justify-content:space-between;
    gap:10px;
    padding:10px 10px 10px 12px;
    font-family:system-ui,-apple-system,Segoe UI,Roboto,Arial,sans-serif;
    color:#fff;
    background:rgba(0,0,0,.18);
    border-bottom:1px solid rgba(255,255,255,.10);
    cursor:grab;
  }
  .zataz-yt-float__bar:active{ cursor:grabbing; }
  .zataz-yt-float__title{
    font-weight:800;
    letter-spacing:.2px;
    font-size:15px;
    line-height:1;
    white-space:nowrap;
    overflow:hidden;
    text-overflow:ellipsis;
  }
  .zataz-yt-float__actions{ display:flex; gap:8px; }
  .zataz-yt-float__btn{
    appearance:none;
    border:1px solid rgba(255,255,255,.18);
    background:rgba(0,0,0,.28);
    color:#fff;
    width:32px;
    height:28px;
    border-radius:10px;
    font-weight:900;
    line-height:1;
    cursor:pointer;
    display:grid;
    place-items:center;
  }
  .zataz-yt-float__btn:hover{ background:rgba(255,255,255,.08); border-color:rgba(255,255,255,.28); }
  .zataz-yt-float__btn--close:hover{ background:rgba(239,68,68,.22); border-color:rgba(239,68,68,.45); }

  /* Contenu (votre vignette) */
  .zataz-yt-badge{
    display:block;
    text-decoration:none;
    color:#fff;
  }
  .zataz-yt-badge__thumb{
    display:block;
    height:180px;
    background:#0f172a url("https://i.ytimg.com/vi/HUo8dnD6Swk/hqdefault.jpg") center/cover no-repeat;
    position:relative;
  }
  .zataz-yt-badge__play{
    position:absolute;
    left:50%;
    top:50%;
    width:54px;
    height:54px;
    margin:-27px 0 0 -27px;
    border-radius:999px;
    background:rgba(0,0,0,.55);
    border:1px solid rgba(255,255,255,.25);
    box-shadow:0 10px 22px rgba(0,0,0,.35);
  }
  .zataz-yt-badge__play:before{
    content:"";
    position:absolute;
    left:22px;
    top:16px;
    width:0;height:0;
    border-top:11px solid transparent;
    border-bottom:11px solid transparent;
    border-left:16px solid #fff;
  }

  .zataz-yt-float:hover{
    box-shadow:0 18px 55px rgba(0,0,0,.45);
    border-color:rgba(255,255,255,.18);
  }
  .zataz-yt-badge:active{ transform:scale(.99); }

  /* Etat réduit */
  .zataz-yt-float.is-min .zataz-yt-badge{ display:none; }
  .zataz-yt-float.is-min{ width:260px; }

  /* Mobile : plus compact */
  @media (max-width:480px){
    .zataz-yt-float{ width:280px; right:12px; bottom:12px; }
    .zataz-yt-badge__thumb{ height:158px; }
    .zataz-yt-float.is-min{ width:220px; }
  }
</style>

<script>
(() => {
  const box = document.getElementById('zatazYtFloat');
  const bar = document.getElementById('zatazYtBar');
  const btnMin = document.getElementById('zatazYtMin');
  const btnClose = document.getElementById('zatazYtClose');

  if (!box || !bar || !btnMin || !btnClose) return;

  // Réduire / restaurer
  btnMin.addEventListener('click', (e) => {
    e.stopPropagation();
    box.classList.toggle('is-min');
    btnMin.textContent = box.classList.contains('is-min') ? '▢' : '—';
    btnMin.setAttribute('aria-label', box.classList.contains('is-min') ? 'Restaurer' : 'Réduire');
  });

  // Fermer
  btnClose.addEventListener('click', (e) => {
    e.stopPropagation();
    box.remove();
  });

  // Drag (souris + tactile) via Pointer Events
  let dragging = false;
  let startX = 0, startY = 0;
  let startLeft = 0, startTop = 0;

  // Position initiale: on convertit right/bottom en left/top pour le drag
  const init = () => {
    const r = box.getBoundingClientRect();
    box.style.left = r.left + 'px';
    box.style.top  = r.top  + 'px';
    box.style.right = 'auto';
    box.style.bottom = 'auto';
  };
  init();

  const clamp = (v, min, max) => Math.min(Math.max(v, min), max);

  bar.addEventListener('pointerdown', (e) => {
    // pas de drag quand on clique sur les boutons
    if (e.target === btnMin || e.target === btnClose) return;

    dragging = true;
    bar.setPointerCapture(e.pointerId);

    const r = box.getBoundingClientRect();
    startX = e.clientX;
    startY = e.clientY;
    startLeft = r.left;
    startTop = r.top;

    e.preventDefault();
  });

  bar.addEventListener('pointermove', (e) => {
    if (!dragging) return;

    const dx = e.clientX - startX;
    const dy = e.clientY - startY;

    const r = box.getBoundingClientRect();
    const w = r.width;
    const h = r.height;

    const maxLeft = window.innerWidth - w - 8;
    const maxTop  = window.innerHeight - h - 8;

    box.style.left = clamp(startLeft + dx, 8, maxLeft) + 'px';
    box.style.top  = clamp(startTop + dy, 8, maxTop) + 'px';
  });

  const endDrag = () => { dragging = false; };
  bar.addEventListener('pointerup', endDrag);
  bar.addEventListener('pointercancel', endDrag);

  // Re-clamp au resize
  window.addEventListener('resize', () => {
    const r = box.getBoundingClientRect();
    const maxLeft = window.innerWidth - r.width - 8;
    const maxTop  = window.innerHeight - r.height - 8;
    box.style.left = clamp(r.left, 8, maxLeft) + 'px';
    box.style.top  = clamp(r.top, 8, maxTop) + 'px';
  });
})();
</script>