2023-08-24 12:30 Temps de lecture : 8 min
Automatisation & IA

Voici pourquoi vous ne devriez pas faire confiance aux e-mails de Duolingo

Les notifications par email émanant de Duolingo peuvent, dans le pire des cas, s'avérer agaçantes. Cependant, des individus malintentionnés exploitent désormais les adresses email et les informations personnelles des utilisateurs de Duolingo pour orchestrer des campagnes de phishing sophistiquées.

Voici pourquoi il est devenu hasardeux de se fier aveuglément aux emails envoyés par Duolingo.

Comment les cybercriminels ont-ils pu obtenir vos données Duolingo ?

Cela peut paraître surprenant, mais une grande partie de vos informations Duolingo est accessible au grand public. En effet, des données de profil basiques telles que le nom d'utilisateur, la photo de profil, ainsi que les langues étudiées peuvent être consultées simplement en visitant l'adresse suivante : https://www.duolingo.com/profile/[nom d'utilisateur]. Il suffit de remplacer [nom d'utilisateur] par le pseudonyme de la personne que vous souhaitez observer.

Avec quelques heures disponibles, il est possible d'explorer un certain nombre de profils, de vérifier si les noms d'utilisateurs sont utilisés sur d'autres plateformes, voire d'effectuer une recherche inversée de l'image de profil pour voir où elle apparaît en ligne.

Certes, cela peut être un passe-temps divertissant, mais cette approche est peu efficace si l'objectif est de collecter d'importants volumes de données. Il est par ailleurs assez simple de développer un programme capable d'extraire automatiquement les données à partir de sites internet.

L'utilisation de l'interface de programmation d'application (API) d'une plateforme facilite grandement la collecte massive de données publiques depuis des plateformes telles que Facebook, Twitter, LinkedIn ou Duolingo.

En janvier 2023, le site d'information The Record a révélé que des pirates avaient utilisé l'API de Duolingo pour récupérer les données publiques de 2,6 millions d'utilisateurs. Ces données ont ensuite été mises en vente sur le forum aujourd'hui disparu violationd.to.

Bien que Duolingo ait confirmé la validité des informations, l'entreprise a souligné qu'il s'agissait de données de profils publiquement accessibles et qu'il n'y avait eu ni piratage ni violation de données.

Le 22 août 2023, la plateforme spécialisée en cybercriminalité VX-Underground a divulgué sur X (anciennement Twitter) que ces données récupérées contenaient également les adresses email des utilisateurs, et qu'elles pouvaient être (et ont été) exploitées pour obtenir des renseignements additionnels tels que le nom et le numéro de téléphone.

Comment vos informations Duolingo peuvent-elles être utilisées contre vous ?

Les emails de Duolingo sont tellement fréquents qu'ils sont devenus un véritable sujet de plaisanterie. Si vous manquez ne serait-ce qu'une seule journée d'exercice d'espéranto, Duo, la mascotte hibou de Duolingo, se manifeste dans votre boîte de réception pour exprimer sa tristesse.

Des messages légèrement menaçants apparaissent peu de temps après, suivis d'emails vous signalant que votre série a été "gelée", puis "interrompue", vous notifiant également de votre baisse dans le classement, puis vous incitant à suivre une leçon de trois minutes.

Chaque email inclut des informations sur votre activité récente d'apprentissage de langues, ainsi qu'un lien vous permettant de vous connecter facilement au site.

Maintenant que votre nom, vos informations Duolingo et votre activité sont entre les mains de potentiels criminels, il est devenu très aisé de générer automatiquement des emails de phishing conçus pour vous inciter à cliquer sur un lien piégé.

Il est fort probable que ce lien vous amènera à saisir vos identifiants de connexion, fournissant ainsi votre mot de passe aux cybercriminels.

Ces emails frauduleux peuvent sembler encore plus authentiques si les pirates tirent profit des nombreux noms de domaine liés à Duolingo. Feriez-vous confiance à un email provenant de duolingo.live, duolingo.tech, duolingo.world ou encore duolingo.life ? Ces domaines sont actuellement disponibles pour moins de 10 dollars. Un domaine plus convaincant tel que duolingo.club peut être acquis pour environ 600 dollars (au moment de la rédaction de cet article).

Une fois en possession de votre email et de votre mot de passe, les criminels peuvent tenter d'accéder à vos autres comptes en ligne.

Comment se prémunir contre les tentatives de phishing Duolingo ?

Si vous craignez que vos données fassent partie du lot de 2,6 millions d'entrées compromises, la première étape est de consulter le site haveibeenpwned et de saisir votre adresse email. Si vos informations y figurent, vous pourrez voir les brèches de sécurité dans lesquelles vos données ont été exposées.

La prochaine étape consiste à vous désinscrire de tous les emails envoyés par Duolingo. Ils sont irritants de toute façon et, si vous en recevez un, vous saurez qu'il provient d'une source malveillante. Faites-le en utilisant un message légitime du service, car même les boutons de désabonnement peuvent être frauduleux !

Il est toujours judicieux d'utiliser un mot de passe différent pour chaque service que vous utilisez. De cette manière, si votre mot de passe est compromis suite à une violation de données ou si vous le révélez involontairement lors d'une tentative de phishing, il ne pourra pas être utilisé sur vos autres comptes.

Dans la mesure du possible, utilisez également une adresse email unique pour chaque site web ou application. Il est facile de masquer votre adresse principale, ce qui permet d'éviter qu'elle ne soit réutilisée pour d'autres tentatives de phishing ou des campagnes de spam. Nous vous recommandons pour cela d'utiliser un simple système de transfert d'emails.

Duolingo n'est pas la seule option pour apprendre une nouvelle langue

Si vous n'êtes pas satisfait de la façon dont Duolingo a rendu publiques vos données personnelles via son API, ou si vous êtes frustré par son approche pédagogique et son caractère parfois un peu trop insistant, il est possible que vous envisagiez d'abandonner Duo définitivement.

Cependant, cela ne signifie pas que vous devez renoncer à vos études linguistiques. Il existe de nombreux excellents sites internet qui peuvent vous aider à faciliter votre parcours d'apprentissage en ligne.

Auteur
Camille Moreau
France

Rédacteur tech, guides pratiques et astuces numériques.

Articles similaires
2025-10-17
IA : HSBC parie gros sur Nvidia et AMD, objectifs revus à la hausse
Le secteur en plein essor de l'intelligence artificielle continue d'être un moteur de croissance significatif pour l'industrie des...
2025-10-17
TSMC : bénéfice record grâce à l'IA, demande soutenue attendue
Taiwan Semiconductor Manufacturing Company (TSMC), le plus grand fabricant de puces sous contrat au monde, a annoncé un solide troisième...
2025-10-15
Oracle et AMD s'allient pour la puissance IA : 50 000 puces MI450
La demande croissante d'une infrastructure d'intelligence artificielle robuste stimule les alliances stratégiques entre les géants de la...
2025-10-14
OpenAI et Broadcom s'allient pour des puces IA sur mesure
OpenAI a conclu un partenariat important avec Broadcom, marquant une étape stratégique pour renforcer son infrastructure d' intelligence...
Article précédent
10 meilleures plateformes d'expérience employé pour un lieu de travail positif
Article suivant
13 meilleurs logiciels de gestion des talents pour les responsables RH