La société VRChat, Inc. a déposé une notification de violation de données indiquant que les informations de plus de 2,4 millions d'utilisateurs ont été compromises.
Mise à jour du 11 juin 2026
Ou bien est-ce quelqu'un se faisant passer pour un représentant de l'entreprise qui a publié cet avis de violation de données ? Sur Reddit, un représentant de VRChat a publié :
VRChat n'a pas transmis cette notification d'incident de données, et nous n'avons aucune raison de penser que nos systèmes aient été compromis. Nous sommes en train de contacter le bureau du procureur général du Maine afin que cette notification soit retirée.
Avant de publier notre article original, nous avons tenté de contacter VRChat à deux adresses e-mail différentes, mais nous n'avons reçu aucune réponse pertinente.
Selon l'avis, VRChat a fait l'objet d'un accès non autorisé à certaines données de compte entre le 10 et le 12 mai 2026. Cet accès aurait eu lieu dans l'environnement cloud de VRChat et concernerait les profils des utilisateurs ainsi que des données liées à la connexion.
Les informations divulguées variaient d'un compte à l'autre, mais pouvaient inclure :
- Nom d'utilisateur VRChat
- Adresse e-mail associée au compte VRChat
- État de l'abonnement à VRChat+
- Historique des connexions, y compris les informations sur les appareils, les identifiants matériels et les adresses IP
VRChat précise clairement que les mots de passe, les numéros de carte bancaire ou autres informations de paiement, ainsi que les documents d'identité officiels utilisés pour la vérification de l'âge n'ont pas été compromis.
VRChat est une plateforme sociale principalement conçue pour les casques de réalité virtuelle, qui permet aux utilisateurs d'interagir avec d'autres personnes par le biais d'avatars et d'univers 3D créés par les utilisateurs eux-mêmes. Les utilisateurs peuvent accéder à VRChat via Steam sur PC, la boutique Meta Quest ou sous forme Android pour les appareils compatibles.
Aucun mot de passe ni aucune donnée de carte de paiement n'ayant été divulgués, il est peu probable que cette faille donne lieu à une fraude directe par carte ou à une prise de contrôle immédiate des moyens de paiement. Cependant, même en l'absence de mots de passe ou de données de carte, la combinaison d'identifiants, d'adresses e-mail et de données IP/d'appareil fait peser plusieurs risques sur les utilisateurs concernés.
Risques potentiels
Phishing
Les cybercriminels peuvent utiliser les noms d'utilisateur et les adresses e-mail de VRChat dans le cadre de tentatives de hameçonnage ciblées. Par exemple, les utilisateurs peuvent recevoir des e-mails de hameçonnage ou des messages sur la plateforme prétendant provenir du « service d'assistance de VRChat », contenant de fausses alertes de sécurité ou des invites les invitant à « confirmer leur vérification d'âge » via un lien malveillant.
Le fait de connaître le statut de l'abonnement VRChat+ pourrait rendre les escroqueries plus convaincantes. Un escroc pourrait envoyer des messages ciblés tels que « Problème de facturation concernant votre abonnement VRChat+ » ou proposer des escroqueries au remboursement, qui ont tendance à générer des taux de clics plus élevés chez les utilisateurs payants.
Piratage de compte
Les cybercriminels pourraient associer les noms d'utilisateur et les adresses e-mail issus de cette violation de données à des mots de passe volés lors d'autres violations, puis les utiliser pour tenter d'accéder à des comptes VRChat. Cette technique, connue sous le nom de « credential stuffing », tire parti du fait que les utilisateurs réutilisent souvent les mêmes mots de passe sur plusieurs sites.
Ces comptes de valeur peuvent ensuite être vendus à d'autres joueurs ou utilisés à des fins frauduleuses.
Identity
Les identifiants Steam et Meta associés à des comptes VRChat peuvent permettre aux cybercriminels de relier des identités entre les plateformes de jeux et les réseaux sociaux, en particulier si la même adresse e-mail ou le même nom de profil est réutilisé.
Les adresses IP, l'historique de connexion, les informations sur l'appareil et d'autres identifiants peuvent également contribuer à établir un profil publicitaire ou de suivi plus détaillé d'un utilisateur.
Comment rester en sécurité
VRChat indique avoir mis en place des mesures de sécurité supplémentaires et fait appel à des professionnels pour surveiller l'apparition de nouvelles menaces. Si vous avez été victime de cette violation, voici quelques mesures que vous pouvez prendre pour vous protéger :
Avant tout, méfiez-vous des e-mails, SMS ou appels prétendant provenir de VRChat ou des plateformes de jeux sur lesquelles vous l'utilisez, car les cybercriminels exploitent souvent ces failles pour mener des attaques de phishing.
Si vous avez utilisé votre mot de passe VRChat sur d'autres sites, modifiez immédiatement les mots de passe de ces comptes et activez l'authentification à deux facteurs (2FA) sur votre compte VRChat si ce n'est pas déjà fait.
Vous trouverez des conseils plus généraux dans notre article consacré àla marche à suivre lorsque vous découvrez que vous êtes victime d'une violation de données.
Soyons réalistes, une fenêtre de navigation privée a ses limites.
Fuites de données, commerce sur le dark web, fraude à la carte de crédit. Malwarebytes Identity Theft surveille tous ces risques, vous alerte rapidement et inclut une assurance contre l'usurpation d'identité.
