Cette semaine a vu l’une des plus grandes fuites de l’histoire de Netflix et potentiellement de l’histoire d’Hollywood, avec plus d’une douzaine de titres majeurs à venir pour 2024 et 2025 divulgués, provenant à la fois de la liste à venir de Netflix et d’une multitude d’autres distributeurs et streamers.
Remarque : comme pour tous nos rapports précédents, nous ne divulguerons aucun actif divulgué ni aucune information sur la manière de trouver lesdites fuites. Nous décourageons activement quiconque de rechercher ces fichiers et nous vous prions de bien vouloir nous excuser.
Voici un bref résumé de la chronologie. Mercredi, des fuites ont commencé à apparaître sur 4Chan, et tout au long de la journée, des fichiers ont été partagés sur les réseaux sociaux.
Jeudi, le nombre de titres qui ont fuité a continué de croître, avec Envoûté, Terminator Zéro, Plancton : Le Film, Jentry Chau contre les Enfers, Ranma 1/2, Dan Da Danet Parents plutôt bizarres : un nouveau souhait! parmi les titres Netflix qui ont fuité, avec d’autres titres de distributeurs également publiés.
Les fuites ont continué tout au long de la journée avec davantage de titres Netflix mis à disposition, notamment Ésotérique saison 2 et, plus tard dans la soirée, le premier lot d’épisodes de Coup de coeur (saison 3). Cette dernière émission a été le premier titre live-action à être divulgué, et certains avaient spéculé que Choses étranges serait parmi les prochains à fuir.
Ce matin, Netflix a officiellement reconnu les fuites.
« L’un de nos partenaires de post-production a été compromis et des images de plusieurs de nos titres ont malheureusement fuité en ligne », a déclaré Netflix dans un communiqué qui nous a été adressé tôt ce matin. Notre équipe prend des mesures énergiques pour que ces images soient retirées. »
Il semble que ce soit le cas pour de nombreux fichiers vidéo partagés en ligne, ce qui entraîne soit une erreur 404 (qui signifie qu’ils ont été mis hors ligne) soit une erreur 451, qui signifie « indisponible pour des raisons juridiques ». L’un de ces fichiers indique désormais cette information à la suite d’une plainte DMCA déposée par Riot Games.
Vous vous souviendrez peut-être que ce n’est pas la première fuite majeure de Netflix de ce type. En fait, des fuites ont eu lieu au début de l’année avec Parents assez étranges ! : un nouveau souhait ! (c’est ainsi que nous avons appris que Netflix distribuerait la série dans certaines régions). À cette époque, Sauver Bikini Bottom : Le film Sandy Cheeks Les informations d’identification des personnes ayant fait l’objet de cette fuite n’étaient pas disponibles, mais elles étaient dans des formats de fichiers similaires.
Alors, d’où viennent ces fuites particulières ? Selon les fils de discussion 4Chan archivés consultés par What’s on Netflix et la société de sécurité MomentPort (qui avait un client directement impacté), les fuites provenaient d’IYUNO, qui a confirmé une violation (voir ci-dessous).
Avec des sites dans le monde entier, IYUNO se décrit comme une « entreprise mondiale de technologie de divertissement et de localisation » qui travaille avec Netflix sur le doublage et les sous-titres. Leur page d’accueil affiche deux badges de Netflix indiquant qu’ils sont un « partenaire de réalisation privilégié » et font partie du programme Netflix Post Partner. Ils indiquent également qu’ils travaillent avec Warner Bros. Discovery, Paramount, NBCUniversal et RIOT Games, entre autres.
MomentPort détaille le piratage suite à l’utilisation d’un de leurs outils internes conçu pour un partenaire de l’industrie cinématographique, qui les a alertés que des fichiers avaient été trouvés en ligne. Après enquête, l’entreprise détaille comment le piratage s’est produit, des acteurs malveillants externes ayant pu accéder à l’application Web interne d’IYUNO où étaient stockés les fichiers, y compris toutes les émissions et films Netflix qui ont été divulgués.
Alors que certains fichiers avaient supprimé toute information d’identification, d’autres ont identifié que le fichier provenait d’IYUNO.
Selon le billet de blog de MomentPort, un utilisateur de 4Chan « a affirmé que la faille provenait d’une API utilisée lors du processus d’enregistrement de l’application Web interne, qui a été déployée de manière non sécurisée. Cette vulnérabilité aurait permis à n’importe quelle adresse électronique publique d’enregistrer un compte et d’accéder au système de gestion de contenu interne d’IYUNO, qui héberge une pléthore de médias inédits et publiés. »
L’entreprise note également que « tous les fichiers publiés semblent avoir été encodés de la même manière distincte : une résolution de 640 par 360, encodée à l’aide de FFmpeg, un choix courant pour l’encodage côté serveur ».
IYUNO a publié une déclaration à ce sujet le 9 août, déclarant :
« Iyuno est au courant d’un récent problème de sécurité impliquant un accès non autorisé à du contenu confidentiel. Protéger la confidentialité de nos clients et assurer la sécurité de leur contenu est notre priorité absolue. Nous enquêtons activement sur cette faille de sécurité afin d’atténuer les risques potentiels et d’identifier les parties responsables. En cas de changements ou d’informations importants, nous ferons de nouvelles déclarations. »
L’ampleur réelle des fuites n’a pas encore été déterminée, et il n’est pas certain que d’autres émissions de Netflix ou d’autres distributeurs soient bientôt divulguées en ligne.
Nous tiendrons cet article à jour en fonction de tout développement ultérieur.