Un groupe de pirates informatiques a récemment affirmé avoir mis la main sur des données internes appartenant à Nintendo, dérobées via une plateforme tierce utilisée pour les enquêtes de satisfaction des employés. Les assaillants réclament le paiement d’une rançon de 2 millions de dollars sous peine de publier l’intégralité du butin, qui inclurait des informations bancaires et des échanges privés. De son côté, Nintendo a réagi publiquement pour relativiser l’ampleur de la fuite, évoquant des données limitées et anciennes.
Une fuite revendiquée par le groupe ShadowByt3$
Le 13 juin 2026, le groupe de cybercriminels ShadowByt3$, qui se présente comme un service d’« extortion as a service », a affirmé avoir exfiltré environ 859 Mo de données appartenant à Nintendo of America. Le butin comprendrait des noms et adresses e-mail d’employés, des relevés bancaires, des formulaires fiscaux, des rapports d’analyse interne ainsi que des échanges privés. Ces informations auraient été récupérées via TinyPulse, un service tiers conçu pour recueillir les retours d’expérience des salariés, plutôt que directement sur les serveurs de Nintendo, une méthode fréquente chez les groupes de rançongiciel qui préfèrent souvent cibler un prestataire externe.
Le groupe affirme par ailleurs avoir donné un ultimatum à Nintendo, jusqu’au 15 juin (date déjà passée donc), pour répondre à sa demande de rançon, faute de quoi l’ensemble des données, y compris les messages privés des employés, serait rendu public. Selon ses propres déclarations, ShadowByt3$ indique que Nintendo aurait refusé de payer, poussant le groupe à se tourner vers TinyPulse elle-même pour exiger un paiement.
Nintendo confirme l’incident mais en minimise la portée
Dans un communiqué transmis à plusieurs médias, dont Kotaku et Nintendo Life, Nintendo of America a confirmé qu’un incident impliquant TinyPulse avait bien eu lieu, tout en assurant que ses propres systèmes n’avaient pas été compromis et qu’aucune donnée financière ou personnelle de client n’avait été affectée. L’entreprise précise que les informations concernées se limitent à du contenu d’enquêtes internes touchant une petite partie de ses employés, la majorité des données remontant à plusieurs années. Nintendo ajoute travailler avec le prestataire pour résoudre la situation.
