VRChat affirme que la fuite de données signalée n'a jamais eu lieu

| 11, 2026 juin
Logo VRChat

Une notification de violation de données a été déposée auprès du procureur général du Maine, indiquant que les données de plus de 2,4 millions d'utilisateurs de VRChat ont été compromises.

La question est de savoir si c'est VRChat qui a publié l'avis de violation, ou si c'est quelqu'un se faisant passer pour un représentant de l'entreprise qui l'a publié à sa place. Sur Reddit, un représentant de VRChat a publié :

VRChat n'a pas transmis cette notification d'incident de données, et nous n'avons aucune raison de penser que nos systèmes aient été compromis. Nous sommes en train de contacter le bureau du procureur général du Maine afin que cette notification soit retirée.

L'avis de violation indique que VRChat a subi un accès non autorisé à certaines données de compte entre le 10 et le 12 mai 2026. Cet accès aurait eu lieu dans l'environnement cloud de VRChat et concernerait des données relatives aux profils des utilisateurs et à la connexion.

Selon l'avis, les informations exposées variaient d'un compte à l'autre, mais pouvaient inclure :

  • Nom d'utilisateur VRChat
  • Adresse e-mail associée au compte VRChat
  • État de l'abonnement à VRChat+
  • Historique des connexions, y compris les informations sur les appareils, les identifiants matériels et les adresses IP

VRChat est une plateforme sociale principalement conçue pour les casques de réalité virtuelle, qui permet aux utilisateurs d'interagir avec d'autres personnes par le biais d'avatars et d'univers 3D créés par les utilisateurs eux-mêmes. Les utilisateurs peuvent accéder à VRChat via Steam sur PC, la boutique Meta Quest ou sous forme Android pour les appareils compatibles.

Le communiqué précise qu'aucun mot de passe ni aucune donnée de carte de paiement n'ont été compromis. Toutefois, même en l'absence de mots de passe ou de données de carte, d'autres données piratées peuvent présenter des risques potentiels.

Phishing

Les cybercriminels peuvent utiliser des noms d'utilisateur et des adresses e-mail dans le cadre de tentatives de hameçonnage ciblées. Par exemple, les utilisateurs peuvent recevoir des e-mails de hameçonnage ou des messages sur la plateforme prétendant provenir du « service d'assistance », contenant de fausses alertes de sécurité ou des invites à « confirmer leur âge » via un lien malveillant.

Le fait de connaître le statut d'un abonnement pourrait rendre les escroqueries plus convaincantes. Un escroc pourrait envoyer des messages personnalisés, tels que « problème de facturation concernant votre abonnement » ou des escroqueries au remboursement, qui ont tendance à générer des taux de clics plus élevés chez les utilisateurs payants.

Reprise de compte

Les cybercriminels peuvent associer des identifiants et des adresses e-mail issus d'une violation de données à des mots de passe volés lors d'autres violations, puis les utiliser pour tenter d'accéder à des comptes. Cette technique, appelée « credential stuffing », exploite le fait que les utilisateurs réutilisent souvent les mêmes mots de passe sur plusieurs sites.

Ces comptes de valeur peuvent ensuite être vendus à d'autres joueurs ou utilisés à des fins frauduleuses.

Identity

Les identifiants Steam et Meta associés à des comptes piratés peuvent aider les cybercriminels à relier des identités entre les plateformes de jeux et les réseaux sociaux, surtout si la même adresse e-mail ou le même nom de profil est réutilisé.

Les adresses IP, l'historique de connexion, les informations sur l'appareil et d'autres identifiants peuvent également contribuer à établir un profil publicitaire ou de suivi plus détaillé d'un utilisateur.

Comment rester en sécurité

Que cette violation s'avère être réelle ou non, voici quelques mesures que vous pouvez prendre pour vous protéger :

Avant tout, méfiez-vous des e-mails, SMS ou appels prétendant provenir de VRChat ou des plateformes de jeux sur lesquelles vous l'utilisez, car les cybercriminels exploitent souvent ces failles pour mener des attaques de phishing.

Si vous avez utilisé votre mot de passe VRChat sur d'autres sites, modifiez immédiatement les mots de passe de ces comptes et activez l'authentification à deux facteurs (2FA) sur votre compte VRChat si ce n'est pas déjà fait.

Vous trouverez des conseils plus généraux dans notre article consacré àla marche à suivre lorsque vous découvrez que vous êtes victime d'une violation de données.

Mise à jour du 11 juin 2026 : l'article a été mis à jour pour tenir compte de la publication de VRChat sur Reddit.

Avant de publier notre article original, nous avons tenté de contacter VRChat à deux adresses e-mail différentes, mais nous n'avons reçu aucune réponse pertinente.


Soyons réalistes, une fenêtre de navigation privée a ses limites.

Fuites de données, commerce sur le dark web, fraude à la carte de crédit. Malwarebytes Identity Theft surveille tous ces risques, vous alerte rapidement et inclut une assurance contre l'usurpation d'identité. 

À propos de l'auteur

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.