Le service de streaming d’anime populaire Crunchiroll a fait l’objet d’un recours collectif devant un tribunal fédéral de Californie à la suite d’une violation massive de données qui a exposé les informations personnelles de millions d’utilisateurs.
Le procès allègue que la société appartenant à Sony n’a pas réussi à protéger les données de 6,8 millions d’utilisateurs, qui ont été divulguées en ligne après une cyberattaque en mars 2026.
Des informations sensibles, notamment des adresses e-mail et, dans un petit nombre de cas, des numéros de carte de crédit, ont été révélées après que des pirates ont ciblé une société tierce qui travaillait avec la plateforme de streaming.
La plainte, déposée le 24 mars par le plaignant Max Agres, allègue que Crunchiroll a violé les lois nationales et fédérales sur la protection des consommateurs en ne sécurisant pas correctement les données des clients.
Selon le procès, les informations volées peuvent être utilisées à des fins d’usurpation d’identité, de vol financier ou même pour usurper l’identité des victimes lorsqu’elles postulent à un emploi ou à des documents officiels.
Les enquêteurs pensent que la violation provient d’un fournisseur, où les cybercriminels auraient déployé des logiciels malveillants leur donnant accès à des données privées connectées aux systèmes de Crunchiroll.
Le grand nombre d’utilisateurs impliqués fait de cet incident l’une des violations les plus importantes ayant affecté la plateforme de streaming de divertissement cette année.
La violation ciblait spécifiquement le système de tickets de l’entreprise utilisé pour traiter les demandes de service client, soulevant des inquiétudes quant à la profondeur avec laquelle les attaquants ont pu pénétrer dans les réseaux internes.
Le procès allègue que le service de streaming n’a pas réussi à protéger les données de 6,8 millions d’utilisateurs qui ont été divulguées lors de la violation de données (Image : Crunchiroll)
Crunchiroll organise chaque année les Anime Awards pour récompenser le meilleur anime de l’année précédente. L’auteur-compositeur-interprète Kacey Musgraves assiste à une séance photo pour les Crunchiroll Anime Awards 2025.
Crunchiroll est un service mondial de streaming majeur dédié à l’anime, proposant plus de 1 300 titres et plus de 200 séries dramatiques d’Asie de l’Est, souvent avec des diffusions simultanées peu de temps après les diffusions japonaises.
La société organise également les Anime Awards annuels pour récompenser le meilleur anime de l’année précédente. Les prix ont été annoncés en décembre 2016 et décernés pour la première fois en janvier 2017.
La violation provenait de Telus, la société qui fournit un soutien opérationnel à Crunchiroll, et impliquait un compte de support lié à un employé qui serait basé en Inde.
Les attaquants, qui ont affirmé dans des commentaires sur le site technologique BleepingComputer, ont affirmé avoir déployé des logiciels malveillants… leur donnant accès à des systèmes internes, notamment Zendesk, Vizer, MaestroKA, Mixpanel, Google Workspace Mail, Jira Service Management et Slack.
Selon les pirates, ils ont téléchargé environ huit millions de dossiers d’assistance, dont 6,8 millions d’adresses e-mail ainsi que des noms de connexion, des adresses IP et des messages d’assistance client.
Dans un petit nombre de cas, les informations de carte de crédit ont également été exposées lorsque les utilisateurs ont inclus les numéros de carte directement dans les tickets d’assistance, a rapporté BleepingComputer.
Les attaquants auraient maintenu l’accès pendant environ 24 heures, durant lesquelles ils auraient téléchargé des millions de communications d’utilisateurs.
Le site Web de sécurité Have I Been Pwned permet désormais aux utilisateurs de vérifier si leur adresse e-mail ou leurs informations personnelles ont été exposées lors d’un piratage.
Crunchiroll est un important service de streaming mondial dédié à l’anime, proposant plus de 1 300 titres et plus de 200 séries dramatiques d’Asie de l’Est, souvent avec des diffusions simultanées peu de temps après les diffusions japonaises.
Drai Agha, responsable principal des opérations de sécurité chez Huntress, a déclaré à DailyMail.com : “Crunchiroll apprend à ses dépens que la collecte d’énormes quantités d’habitudes d’utilisateurs et de données personnelles est une arme à double tranchant. Non seulement cela invite à des poursuites en matière de confidentialité lorsqu’il est partagé en coulisses, mais cela crée également un trésor énorme et écrasant pour les pirates.”
“C’est un avertissement clair à l’ensemble de l’industrie du streaming pour qu’elle cesse de stocker des données dont elle n’a absolument pas besoin et qu’elle limite strictement qui peut voir ce qu’elle stocke”, a ajouté Aga.
“Un représentant du service client compromis ne devrait pas devenir la clé principale qui ouvre des millions de dossiers clients sensibles et d’informations de carte de crédit.”
Crunchiroll a déclaré dans un communiqué à l’époque : « Notre enquête est en cours et nous continuons de travailler avec des experts de premier plan en cybersécurité. Pour le moment, nous pensons que les informations se limitent principalement aux données des tickets d’assistance client suite à un incident avec un fournisseur tiers.
“Nous n’avons identifié aucune preuve d’un accès continu aux systèmes liés à ces réclamations et continuons de surveiller la situation de près”, a ajouté la société.
DailyMail.com a contacté Crunchiroll pour obtenir de plus amples commentaires.
Max Agres, qui a intenté le recours collectif, allègue dans le procès qu’un employé de Telus a exécuté un logiciel sur son système qui a permis à des criminels d’accéder sans autorisation aux données de Crunchiroll.
Agress cherche à représenter des personnes à travers les États-Unis dont les informations ont été exposées lors de la violation survenue le 12 mars 2026 et rendue publique le 22 mars.
Le procès allègue que Crunchiroll n’a pas mis en œuvre des mesures de sécurité raisonnables, en violation à la fois de l’article 5 de la Federal Trade Commission Act et du California Consumer Records Act.
Selon la plainte, la société n’a pas non plus surveillé correctement la sécurité du système et n’a pas informé en temps opportun les utilisateurs concernés.
Le procès indique : “En ayant accès à des informations personnelles identifiables, les criminels peuvent faire plus que simplement vider le compte bancaire d’une victime ; ils peuvent commettre toutes sortes de fraudes, y compris obtenir un permis de conduire ou une pièce d’identité officielle au nom de la victime, mais avec la photo du voleur.”
Il poursuit : “Les voleurs d’identité peuvent trouver un emploi, louer une maison ou obtenir des services médicaux au nom de la victime. Ils peuvent même donner les informations personnelles de la victime à la police lors d’une arrestation, ce qui entraîne l’émission d’un mandat d’arrêt au nom de la victime.”
La plainte allègue en outre que Crunchiroll n’a pas suivi les pratiques standard de cybersécurité, notamment en éduquant correctement les employés, en appliquant des exigences strictes en matière de mots de passe, en mettant en œuvre des protections multicouches telles que des pare-feu et des logiciels anti-malware, en cryptant les données sensibles, en exigeant une authentification multifactorielle, en sauvegardant les données et en limitant l’accès aux informations des employés à des fins de divulgation.
