Substack victime d’une fuite de données : ce que vous devez savoir
La plateforme de newsletters Substack a confirmé une fuite de données affectant des millions d’utilisateurs. Selon un email envoyé par le PDG Chris Best, un tiers non autorisé a accédé à des adresses e-mail, numéros de téléphone et métadonnées internes en octobre 2025. Bien que les données financières aient été épargnées, cette faille soulève des questions cruciales sur la sécurité en ligne. Pourquoi Substack a-t-il mis cinq mois à détecter l’intrusion ? Et comment protéger vos informations personnelles face à ces risques croissants ?
Les détails de la cyberattaque
Substack a révélé que la fuite de données remonte à octobre 2025, mais l’incident n’a été identifié qu’en février 2026. L’entreprise affirme avoir corrigé la vulnérabilité et lancé une enquête, sans préciser le nombre exact d’utilisateurs touchés. Les éléments compromis incluent :
- Adresses e-mail
- Numéros de téléphone
- Métadonnées internes (non spécifiées)
Le PDG Chris Best a présenté des excuses, reconnaissant que la plateforme n’a pas rempli son obligation de protection des données. Cependant, Substack n’a pas fourni de détails techniques sur la faille exploitée, ni confirmé si les hackers ont exigé une rançon.
Pourquoi un délai aussi long ?
Cinq mois se sont écoulés entre la cyberattaque et sa détection, un laps de temps qui interroge. Les experts en cybersécurité soulignent que les entreprises doivent investir dans des systèmes de surveillance en temps réel pour limiter les risques. Substack, qui compte plus de 50 millions d’abonnements actifs, aurait pu être une cible privilégiée pour les pirates.
Les questions restent en suspens :
- Quels mécanismes de détection étaient en place ?
- Pourquoi les utilisateurs n’ont-ils été alertés qu’en février ?
- Les autorités ont-elles été informées ?
Comment protéger vos données ?
Bien que Substack assure que les données sensibles (mots de passe, cartes bancaires) sont intactes, les utilisateurs doivent rester vigilants. Voici quelques mesures préventives :
- Activez l’authentification à deux facteurs (2FA)
- Méfiez-vous des e-mails ou SMS suspects (hameçonnage)
- Changez vos mots de passe régulièrement
La plateforme recommande aussi de surveiller toute activité inhabituelle liée à votre compte. En cas de doute, signalez-le immédiatement.
L’impact sur la réputation de Substack
Cette fuite de données survient alors que Substack, valorisé à plusieurs milliards après un financement de 100 millions en 2025, cherche à consolider sa position face à des concurrents comme Ghost ou Beehiiv. La confiance des créateurs et lecteurs pourrait être ébranlée, surtout si l’enquête révèle des négligences.
Les startups doivent comprendre que la sécurité n’est pas un luxe, mais une nécessité. À l’ère des cyberattaques sophistiquées, un seul incident peut anéantir des années de réputation.
Conclusion : vigilance et transparence
La fuite de données de Substack rappelle que même les plateformes les plus populaires ne sont pas à l’abri. Si les données financières ont été protégées, l’accès aux coordonnées personnelles expose les utilisateurs à des risques de hameçonnage. L’entreprise doit maintenant faire preuve de transparence pour regagner la confiance perdue.
À l’avenir, les attaques ciblant les infrastructures cloud vont se multiplier. Les entreprises qui investissent dès aujourd’hui dans des protocoles robustes seront les gagnantes de demain.