// LES NUMÉRIQUES — GAMING
Actualité : Nintendo confirme que des données ont été volées, les pirates lui réclamaient 2 millions de rançon
Nintendo of America a confirmé un vol de données de ses employés via son prestataire TinyPulse. La filiale étasunienne du groupe japonais a précisé que ses propres systèmes ne sont pas touchés.
"Nous avons connaissance d'un problème impliquant TinyPulse, un service tiers utilisé pour les enquêtes internes auprès des employés de Nintendo of America", a déclaré la société dans un communiqué.
Il s'agit d'une attaque qui cible la chaîne d'approvisionnement logicielle, pas le réseau de Nintendo lui-même. TinyPulse appartient à WebMD Health Services et sert à recueillir les retours anonymes des salariés. On parle de 859 mégaoctets de données exfiltrés selon le groupe Shadowbyt3$.
La plateforme TinyPulse héberge des informations sensibles. Le groupe revendique le vol de noms complets, d'adresses mails, de relevés bancaires, de formulaires fiscaux W-9 avec numéros de salariés et de rapports de progression. Les données couvrent la période 2016-2026.
Nintendo a réfuté l'ampleur du vol décrit par Shadowbyt3$. "Les données concernées se limitent au contenu des enquêtes internes pour un petit nombre d'employés, et la plupart des informations remontent à plusieurs années", a précisé la société dans son communiqué.
Il faut dire que la position de Nintendo s'explique par la nature limitée des informations stockées sur TinyPulse. C'est-à-dire des retours d'enquêtes anonymes. La société a aussi déclaré qu'aucune donnée personnelle de clients ou donnée financière n'ont été consultée.
Le groupe Shadowbyt3$ revendique son existence depuis octobre 2025. Pour rappel, le mode opératoire de ce groupe ne touche pas aux systèmes des sociétés visées, mais à ceux de leurs prestataires.
Le 12 juin 2026, Shadowbyt3$ a publié sa première revendication avec un ultimatum de 48 heures et une demande de rançon de 2 millions de dollars. Nintendo a refusé d'entrer en discussion. Sauf que voilà, l'absence de paiement a déclenché une seconde phase de l'attaque.
Puis deux jours après, le 14 juin 2026, Shadowbyt3$ a envoyé un nouvel ultimatum directement à TinyPulse, avec une échéance fixée au 16 juin 2026. Cette deuxième échéance a aussi expiré; sans paiement. Le groupe a commencé à publier des échantillons de données sur le dark web.
L'affaire confirme la fragilité des chaînes logicielles RH dans les grandes entreprises. En clair, attaquer un prestataire externe permet d'éviter les protections renforcées de Nintendo. Résultat, des données de salariés se sont retrouvées en libre accès sans toucher à l'infrastructure de Nintendo. Bref, ce piratage rejoint la longue liste des fuites qui ont déjà ciblé Nintendo lors de la décennie passée, comme "gigaleak" et "teraleak".