Nintendo of America a confirmé un vol de données via TinyPulse, un prestataire RH tiers. Le groupe de pirates ShadowByt3$ revendique 859 Mo de données exfiltrées et exige 2 millions de dollars. Nintendo a refusé de payer.
Le 12 juin 2026, le groupe ShadowByt3$ a revendiqué une cyberattaque contre Nintendo of America. Le mode opératoire est rodé : plutôt que de s’attaquer directement aux systèmes du géant japonais, les pirates ont ciblé un maillon faible, TinyPulse, une plateforme de sondages internes RH appartenant à WebMD Health Services. Le groupe criminel, actif depuis octobre 2025, se spécialise dans l’attaque des prestataires plutôt que des cibles directes, une méthode qui contourne les protections renforcées des grandes entreprises. En ciblant un fournisseur de sondages RH, ShadowByt3$ a pu accéder à des informations que les défenses périphériques de Nintendo ne pouvaient pas protéger, illustrant les limites du modèle de sécurité traditionnel face aux risques liés à la chaîne d’approvisionnement logicielle.
859 Mo de données : ce que les pirates disent avoir volé
Selon ShadowByt3$, 859 mégaoctets de données ont été exfiltrés, couvrant la période 2016-2026. Le groupe revendique la possession de noms complets d’employés, d’adresses e-mail professionnelles, de relevés bancaires en PDF et de formulaires fiscaux W-9 avec numéros de salariés. Des rapports de progression internes et des messages issus de sondages anonymes figurent aussi dans le lot, d’après le groupe. Ces informations couvrent une décennie d’activité chez Nintendo of America.
Nintendo a rapidement réagi. Dans un communiqué officiel, la société a confirmé l’incident tout en minimisant son ampleur. « Les données concernées se limitent au contenu des enquêtes internes pour un petit nombre d’employés, et la plupart des informations remontent à plusieurs années », a précisé Nintendo. L’éditeur a également indiqué qu’aucune donnée client ni information financière n’était concernée, seuls des retours de sondages internes étant stockés sur la plateforme TinyPulse.
Cette version contredit en partie les revendications du groupe pirate. Selon 01net, qui a confirmé l’information auprès de sources proches du dossier, Nintendo maintient sa position malgré les échantillons de données publiés par ShadowByt3$ sur le dark web. Le flou persiste sur l’étendue réelle du vol, chaque partie ayant intérêt à présenter sa version des faits. Ce type de désaccord est fréquent dans les attaques par rançon : les pirates gonflent l’ampleur de leur butin pour maximiser la pression, tandis que la cible minimise pour rassurer employés et investisseurs. L’incident soulève aussi des questions sur la conformité RGPD des données d’employés stockées chez un sous-traitant américain.
2 millions de dollars de rançon, Nintendo refuse
ShadowByt3$ a fixé un premier ultimatum de 48 heures le 12 juin 2026 avec une demande de rançon de 2 millions de dollars. Nintendo a refusé d’entrer en discussion. Face à ce refus, les pirates se sont tournés vers TinyPulse le 14 juin, fixant une nouvelle échéance au 16 juin 2026. Aucun paiement n’a été effectué à ce jour.
Le groupe a alors commencé à publier des échantillons de données sur le dark web. Leur menace : divulguer l’intégralité des fichiers, y compris les messages privés des employés issus des enquêtes internes, des contenus que Nintendo considère comme limités mais que les pirates jugent suffisamment sensibles pour faire pression. « Nintendo a refusé de payer, nous exigeons donc que Tinypulse règle sa dette, faute de quoi toutes les données seront divulguées », a menacé le groupe dans un message cité par 01net.
Une attaque par la chaîne d’approvisionnement, le vrai talon d’Achille
Cette affaire illustre un schéma devenu classique en cybersécurité : plutôt que de forcer les défenses renforcées d’un géant comme Nintendo, les pirates attaquent ses prestataires. TinyPulse, service hébergé chez WebMD Health Services, collecte des retours anonymes d’employés, un terrain fertile pour l’exfiltration de données sensibles. Une brèche chez un prestataire RH peut exposer bien plus de données que le prestataire lui-même ne le soupçonne.
Ce n’est pas la première fois que Nintendo subit une fuite via un tiers. Les précédents « gigaleak » et « teraleak » avaient déjà exposé des sources et documents internes via des partenaires. La différence aujourd’hui : les données RH sont directement monnayables, et la rançon cible un maillon moins protégé que les serveurs de Kyoto. Nintendo avait aussi été victime d’une intrusion en 2020 où environ 160 000 comptes utilisateurs avaient été compromis après l’exploitation de vulnérabilités critiques dans son infrastructure. Cette récurrence d’incidents chez le même éditeur montre que même les groupes les mieux protégés peinent à sécuriser l’intégralité de leur chaîne de sous-traitance.
WebMD Health Services, propriétaire de TinyPulse, n’a pas répondu publiquement à ce stade. Nintendo a indiqué travailler avec le prestataire pour résoudre l’incident et limiter l’impact pour les employés concernés. L’affaire rappelle une règle simple en cybersécurité : votre sécurité vaut celle de votre prestataire le moins protégé. Pour les RSSI, le message est clair, l’audit des sous-traitants n’est plus une option, c’est une nécessité opérationnelle.
