🛡️ Communication de sécurité | Incident résolu

Le 12 mai 2026, un incident de sécurité a été détecté, contenu et corrigé sur arcadia-echoes-of-power.fr. Voici l'intégralité des faits, dans la transparence la plus totale.

✅ Statut actuel : Résolu

L'incident est entièrement contenu. La faille a été corrigée à la source, le site est sécurisé, l'éditeur du CMS a corrigé son côté, la CNIL a été notifiée dans les délais légaux et une plainte pénale est en cours de dépôt. Aucune action malveillante n'a pu être effectuée par l'attaquant sur Arcadia.

📋 Ce qui s'est passé

Un plugin officiel d'Azuriom — le système de gestion de contenu (CMS) sur lequel notre site web est construit — a été temporairement compromis par un attaquant externe. Cette même attaque a touché plusieurs autres serveurs Minecraft utilisant le même CMS.

L'attaquant tentait de créer des comptes administrateurs frauduleux sur les sites cibles. Sur notre site, un compte frauduleux a effectivement été créé le 12 mai 2026 à 12h28 via le détournement d'une session d'administration.

Cependant, l'attaque a été détectée et neutralisée en moins de 15 heures, avant qu'aucune action malveillante n'ait pu être effectuée par ce compte. Notre analyse forensique confirme qu'aucune modification de contenu, aucune action administrative, et aucune exfiltration de données n'a été constatée.

🕒 Chronologie de l'incident

🔴 12 mai 2026 — 12h28 : un compte administrateur frauduleux est créé sur notre site par un script malveillant exécuté à notre insu via la dépendance compromise.
🟠 12 mai 2026 — entre 12h28 et 13h47 : aucune action n'est effectuée par le compte frauduleux (confirmé par nos journaux d'audit).
🟡 13 mai 2026 — 04h00 : détection de l'anomalie lors d'une vérification de routine du panel d'administration.
🟢 13 mai 2026 — 04h27 : le compte frauduleux est démoté et désactivé.
🟢 13 mai 2026 — journée : investigation forensique complète, identification du vecteur d'attaque, neutralisation du composant compromis, audit de l'intégralité du code source et de la base de données.
🟢 13 mai 2026 — soir : notification CNIL effectuée dans les 72 heures légales (article 33 RGPD), préparation du dépôt de plainte pénale.

🔒 Ce qui n'a PAS été compromis

Nous tenons à être totalement transparents sur les données potentiellement concernées et celles qui sont strictement hors de portée. Les points suivants ne sont en aucun cas affectés par cet incident :

🔐 Vos mots de passe — Nous ne stockons aucun mot de passe joueur sur notre serveur. L'authentification s'effectue exclusivement via Microsoft OAuth. Vos comptes Microsoft eux-mêmes sont intacts et n'ont pas été touchés.
💳 Vos données bancaires — Aucun moyen de paiement n'est stocké sur notre serveur. Les paiements éventuels effectués sur la boutique sont gérés par notre prestataire externe, qui n'a pas été affecté par cet incident.
📧 Vos adresses email — Nous ne stockons aucune adresse email joueur dans notre base de données.
🎮 Votre launcher Minecraft — L'analyse de notre launcher distribué via le site confirme qu'aucune anomalie n'a été détectée. Vous pouvez continuer à l'utiliser sans inquiétude.
📂 Le code source de notre site — Aucun fichier de notre installation Azuriom n'a été modifié par l'attaquant.
📤 Exfiltration de données — Aucune confirmée à ce stade par l'analyse forensique des journaux serveur.

🔍 Données potentiellement consultables pendant la fenêtre de 15h

Pendant la période où le compte administrateur frauduleux existait (entre sa création à 12h28 et sa neutralisation à 04h27 le lendemain), les données suivantes auraient pu être visibles dans notre panel d'administration :

👤 Pseudonymes Minecraft
🌐 Adresses IP de connexion
⏱️ Horodatages de connexion et de création de compte

L'analyse forensique de nos journaux montre qu'aucune action de consultation ou d'export n'a été effectuée par le compte frauduleux. Cependant, par mesure de prudence et par devoir d'information, nous tenons à vous lister précisément ce qui aurait pu être théoriquement visible.

🔧 Mesures correctives appliquées

Dès la détection de l'incident, nous avons immédiatement mis en œuvre l'ensemble des mesures suivantes :

🛑 Désactivation du vecteur d'attaque — Le composant tiers compromis a été immédiatement désactivé. Plus aucun script externe non maîtrisé n'est chargé sur notre site.
🗑️ Suppression du compte frauduleux — Le compte créé par l'attaquant a été démoté, désactivé puis supprimé. Une copie complète de ses traces est préservée à des fins probatoires pour l'enquête judiciaire.
🔄 Invalidation de toutes les sessions administrateur — Toutes les sessions en cours ont été révoquées. Tout membre du staff a dû se reconnecter via Microsoft.
🔑 Rotation complète des accès staff — Mots de passe, clés d'API, tokens, accès FTP et base de données : tout a été régénéré.
🔍 Audit complet du code — Inspection exhaustive de l'ensemble du code source de notre installation, de tous les plugins, des thèmes et des configurations. Aucune anomalie identifiée hors du composant compromis déjà neutralisé.
📦 Préservation des preuves — Constitution d'un dossier de preuves techniques complet (journaux serveur, dump de la base de données, captures du payload malveillant, captures réseau) avec empreintes cryptographiques SHA-256, conservé hors ligne sur support sécurisé pour les enquêteurs.
🤝 Communication avec l'éditeur Azuriom — L'équipe Azuriom a été informée et a corrigé la faille de son côté.

⚖️ Démarches légales

Conformément à nos obligations légales et à notre engagement envers vous, nous avons immédiatement entrepris les démarches suivantes :

🇫🇷 Notification à la CNIL — Effectuée dans les 72 heures suivant la découverte de l'incident, au titre de l'article 33 du RGPD (Règlement Général sur la Protection des Données). La notification documente la nature de la violation, les catégories de données concernées, les conséquences probables et les mesures prises.
⚖️ Plainte pénale en cours de dépôt — Auprès du Tribunal Judiciaire de Paris, contre l'auteur de l'attaque. Les qualifications retenues sont les suivantes : accès et maintien frauduleux dans un système de traitement automatisé de données (article 323-1 du Code pénal), modification frauduleuse de données (article 323-3), diffusion d'un programme conçu pour commettre ces infractions (article 323-3-1), avec circonstance aggravante de bande organisée (article 323-4-1).
📋 Tenue d'un registre interne de violation de données — Conformément à l'article 33-5 du RGPD.

🚨 Vigilance — Ce que nous ne ferons JAMAIS

Suite à cet incident, des tentatives de phishing exploitant le nom d'Arcadia pourraient apparaître. Soyez extrêmement vigilants.

Le staff Arcadia ne vous demandera JAMAIS, ni par message privé Discord, ni par mail, ni par aucun autre canal :

❌ Votre mot de passe
❌ Votre adresse email
❌ Un code 2FA Microsoft
❌ Un code reçu par SMS ou par mail
❌ Vos coordonnées bancaires
❌ Toute autre information personnelle

Toute personne se faisant passer pour le staff Arcadia et vous demandant ce genre d'information est un faux. Bloquez-la et signalez-la immédiatement dans les salons d'entraide du Discord.

⚠️ Bonnes pratiques — Téléchargements

Les attaques de ce type s'appuient souvent sur des fichiers malveillants distribués par chat. Voici les règles à respecter en toute circonstance :

🎮 Launchers fiables uniquement — Les seuls launchers Minecraft que nous considérons comme sûrs pour notre communauté sont :
- Arcadia Launcher (officiel, distribué uniquement depuis notre site)
- CurseForge (officiel)
Tout autre launcher prétendant être lié à Arcadia, téléchargé depuis un lien Discord, un site tiers ou un message privé, doit être considéré comme suspect par défaut.
📁 Aucun fichier d'un joueur inconnu — Ne téléchargez jamais un mod, une archive, un exécutable, un script ou tout autre fichier envoyé par un joueur que vous ne connaissez pas, même si le nom du fichier paraît anodin.
⚠️ Méfiance même envers les personnes de confiance — Un joueur peut être infecté à son insu et propager un fichier malveillant sans en avoir conscience. En cas de doute sur un fichier, même envoyé par un ami, demandez systématiquement l'avis du staff dans les salons d'entraide avant de l'ouvrir.

💡 Comment nous signaler un problème

Si vous recevez un message suspect, identifiez un comportement étrange sur le site ou avez le moindre doute :

💬 Signalez sur Discord dans les salons d'entraide — Jamais en message privé à un membre du staff isolé. Passer par les salons publics permet à toute l'équipe d'être au courant et de réagir plus vite.
🎫 Ouvrez un ticket de support pour les cas qui nécessitent de la confidentialité (ex : signalement détaillé d'un autre joueur) : ouvrir un ticket.
🌐 Vérifiez toujours l'URL — Le seul site officiel est arcadia-echoes-of-power.fr. Aucun autre nom de domaine n'est lié à nous.

❓ Questions fréquentes

Q : Mon compte Microsoft est-il en danger ?

R : Non. L'authentification passe directement par Microsoft (mode mc-online d'Azuriom). Nous ne stockons aucun élément lié à votre compte Microsoft sur notre serveur. Vos identifiants restent uniquement chez Microsoft.

Q : Dois-je changer mon mot de passe Microsoft ?

R : Ce n'est pas nécessaire pour cet incident, vos identifiants n'ont jamais transité par notre infrastructure. Cela reste néanmoins une bonne pratique générale de sécurité.

Q : Mes achats sur la boutique sont-ils concernés ?

R : Non. Les paiements sont entièrement gérés par notre prestataire externe. Aucune donnée bancaire ne transite ni n'est stockée par Arcadia.

Q : Le launcher Arcadia est-il compromis ?

R : Non. Notre analyse confirme l'intégrité du launcher distribué via le site. Vous pouvez le télécharger et l'utiliser sans inquiétude.

Q : Vais-je recevoir des emails de phishing à cause de cet incident ?

R : Très peu probable, puisque nous ne stockons aucune adresse email joueur. Restez néanmoins vigilants face à toute communication non sollicitée prétendant venir d'Arcadia.

Q : Aurais-je dû être prévenu plus tôt ?

R : Nous avons fait le choix de procéder dans cet ordre précis : (1) détection, (2) confinement immédiat de la menace, (3) analyse forensique complète pour mesurer l'étendue exacte, (4) notification CNIL, (5) communication publique. Cette séquence en moins de 48 heures depuis la détection est conforme aux meilleures pratiques de gestion d'incident.

Q : Comment puis-je obtenir plus d'informations ?

R : Toute l'équipe staff est disponible dans les salons d'entraide du Discord pour répondre à vos questions. Aucune question n'est bête, et la transparence est notre priorité.

🙏 Un mot personnel

Je tiens à vous remercier sincèrement pour la confiance que vous nous accordez. La sécurité de votre expérience sur Arcadia est, et restera toujours, ma priorité absolue.

Cet incident, bien qu'externe à notre infrastructure et issu d'une dépendance tierce, m'a rappelé une chose : la transparence et la réactivité sont les deux piliers d'une communauté forte. C'est pourquoi je tenais à vous communiquer l'intégralité des faits, sans rien cacher, et à vous expliquer précisément quelles mesures ont été prises.

Nous continuerons à investir dans le renforcement de la sécurité de notre infrastructure et à appliquer les meilleures pratiques pour prévenir tout incident futur.

Si vous avez la moindre question, n'hésitez pas. Je suis là, avec toute l'équipe staff, pour vous répondre.

La confiance avant tout 🛡️

Un incident géré dans la transparence est un incident maîtrisé. Merci pour votre patience, votre vigilance et votre soutien continu.

L'aventure continue, en toute sécurité.

— vyrriox, Fondateur Arcadia : Echoes of Power

Communication publiée le 13 mai 2026 — Conformité RGPD article 34

Rejoindre le Discord Ouvrir un Ticket