La société a envoyé un e-mail aux utilisateurs concernés après qu’une source du Dark Web ait affirmé que les données de près de 700 000 utilisateurs avaient été compromises.
Substack, une plateforme de publication de haut niveau largement utilisée par les universitaires, les journalistes, les experts en la matière et les controversés, a subi une violation de données affectant un nombre inconnu de ses créateurs et abonnés.
Selon des courriels envoyés cette semaine à certains utilisateurs, l’entreprise a « identifié le 3 février des preuves » selon lesquelles un tiers avait exploité une faiblesse non précisée dans les systèmes de l’entreprise pour accéder aux adresses électroniques, aux numéros de téléphone et, plus vaguement, « à d’autres métadonnées internes » des utilisateurs.
La violation s’est produite en octobre 2025, ce qui signifie que les données, qui, selon la société, n’incluaient pas de numéros de carte de crédit, de mots de passe ou d’informations financières, ont été exposées pendant une période pouvant aller jusqu’à quatre mois.
« Nous avons résolu le problème de notre système qui a permis que cela se produise. Nous menons une enquête complète et prenons des mesures pour améliorer nos systèmes et processus afin d’éviter que ce type de problème ne se reproduise à l’avenir », indique l’e-mail du PDG de Substack, Chris Best.
« Nous n’avons aucune preuve que ces informations soient utilisées à mauvais escient, mais nous vous encourageons à faire preuve d’une prudence particulière concernant tout e-mail que vous recevez et qui pourrait être suspect. »
Aucun mot de passe à perdre
Au moment de la publication, Substack n’avait pas encore fait d’annonce sur le Web concernant la violation, se limitant à envoyer des e-mails aux utilisateurs. Cela implique que la violation n’affecte qu’un sous-ensemble de ses 35 millions d’utilisateurs actifs estimés.
En effet, le langage de l’alerte par courrier électronique minimise l’incident, décrivant les données exposées comme étant simplement « partagées sans votre permission ».
Cependant, le fait que la violation n’ait été découverte que cette semaine, après un retard de quatre mois, laisse entrevoir la possibilité que sa portée puisse encore s’étendre à mesure que Substack mène des investigations plus approfondies. Une source du Dark Web a affirmé que la violation avait compromis 697 313 enregistrements, bien que cela reste non confirmé. Il a également signalé que les identifiants du système de paiement Stripe, utilisé par les créateurs pour recevoir les paiements de leurs abonnés, avaient été compromis.
L’ampleur de ce qui a été exposé est moins claire. Outre les adresses e-mail et les numéros de téléphone, l’entreprise a mentionné les « métadonnées », un terme fourre-tout. Dans sa politique de confidentialité, Substack décrit un large éventail de données pouvant inclure, en fonction de la manière dont le site est utilisé, notamment les identifiants d’utilisateur, les photos de profil, les biographies et les adresses IP.
Comment les utilisateurs de Substack doivent-ils réagir ? Normalement, le conseil après toute violation de données est de changer le mot de passe du compte. Cependant, la méthode d’accès par défaut de Substack se fait via l’adresse e-mail, avec une authentification confirmée par l’envoi d’un « lien magique » à l’adresse e-mail de l’utilisateur. Cela supprime le problème de la compromission des mots de passe et des attaques de phishing en ne disposant pas de mot de passe pour le phishing. Si l’authentification multifacteur facultative est activée, l’utilisateur doit en outre saisir un code à usage unique à partir d’une application.
Les mots de passe sont toujours possibles – les utilisateurs qui se sont inscrits avant 2023 pourraient en avoir un – mais en 2026, l’utilisateur devra choisir activement d’en créer un. La société ne précise pas si ce sous-ensemble d’utilisateurs devrait envisager de changer leurs mots de passe par mesure de précaution, mais a proposé la déclaration suivante :
« Nous ne pouvons pas partager de détails sur nos systèmes et processus de sécurité, mais nous pouvons confirmer que le problème a été résolu et que des mesures de protection ont été mises en place pour éviter que ce problème ne se reproduise. »
Le seul autre incident de sécurité connu de Substack s’est produit en 2020 lorsqu’il a accidentellement exposé les adresses e-mail des utilisateurs en les ajoutant au champ « cc » (copie carbone) au lieu du champ « bcc » (copie carbone invisible) d’un e-mail lors de l’envoi d’une mise à jour de politique.
