La plateforme de musique IA Suno a subi une violation de données en 2025 : un pirate informatique utilisant le ver Shai-Hulud a infiltré les systèmes de l’entreprise et a divulgué le code source interne, révélant l’origine de ses données d’entraînement. Les fichiers divulgués, d’abord signalés par 404 Media, indiquent que Suno a moissonné plus de 113 879 heures depuis YouTube Music, 62 117 heures depuis la bibliothèque de contenus Pond5, et 12 287 heures depuis Deezer, entre autres sources. L’intrusion a aussi mis à nu des e-mails de clients, des numéros de téléphone et des informations de paiement Stripe pour ce que le pirate décrit comme des centaines de milliers d’utilisateurs. Suno a identifié l’incident en novembre 2025 et l’a qualifié de limité, impliquant principalement du code source obsolète. La fuite apporte une confirmation technique des accusations que la Recording Industry Association of America a formulées dans son procès de 2024 contre Suno : l’association accusait l’entreprise d’avoir arraché des morceaux directement depuis YouTube — une allégation que Suno conteste au titre de la défense pour usage équitable (fair use).
Documents du code source divulgué : sources de données d’entraînement et échelle
Le contenu divulgué se compose d’instructions de moissonnage et de journaux internes datant de 2023 et 2024. D’après des commentaires de fichiers internes examinés par 404 Media, la bibliothèque d’entraînement comprenait 113 879 heures de YouTube Music, 152 162 heures de morceaux YouTube étiquetés, 62 117 heures provenant de Pond5, 12 287 heures de Deezer et 17 615 heures dans un ensemble de données identifié comme genius_hq, associé à du contenu collecté via Genius. Le code documentait également des projets visant à télécharger environ 1 million d’heures d’audio de podcasts via des flux RSS. Un fichier interne assurant le suivi de l’ingestion de YouTube Music à lui seul a enregistré 2 013 545 extraits musicaux.
Le pirate affirme avoir utilisé un logiciel malveillant appelé le ver Shai-Hulud, nommé d’après les vers des sables (sandworms) dans Dune de Frank Herbert. Suno, l’une des plus grandes plateformes de génération de musique IA en ligne, permet aux utilisateurs de saisir une description textuelle et d’obtenir une chanson complète en quelques secondes. Pour construire cette capacité, il fallait un ensemble de données d’entraînement substantiel : une collection de fichiers audio servant à apprendre au modèle à reconnaître le son de différents genres et styles.
Suno reconnaît une violation impliquant des données clients
Le pirate a affirmé avoir accédé à des enregistrements associés à des centaines de milliers de clients, incluant des e-mails, des numéros de téléphone et des informations liées à Stripe. Suno conteste que des informations personnelles sensibles aient été compromises. L’entreprise indique qu’elle a identifié l’incident en novembre 2025 et l’a qualifié de limité. Suno a déterminé que l’exposition concernait principalement du code source obsolète qui n’était plus utilisé et a conclu que des notifications individuelles des clients n’étaient pas nécessaires au regard des lois de confidentialité applicables. Les utilisateurs découvrent la violation via des reportages dans les médias.
Suno avait déjà divulgué, conformément à la loi AB 2013 de Californie, que ses données d’entraînement pouvaient inclure de la musique protégée par des droits de propriété intellectuelle et avait listé le corpus comme représentant des dizaines de millions de fichiers audio musicaux disponibles publiquement. Ce que le piratage ajoute, c’est de la précision : la déclaration juridique était vague par conception, et le code divulgué ne l’est pas.
Accusations du procès de la RIAA corroborées par les fichiers divulgués
La Recording Industry Association of America a allégué, dans un amendement en 2025 à son procès initial de 2024 contre Suno, que l’entreprise récupérait des chansons directement depuis YouTube. Le procès vise 150 000 dollars par incident de violation. Le code source piraté corrobore l’allégation centrale de la RIAA. L’affaire de Suno avec Sony et UMG reste en cours devant une juridiction fédérale. La valorisation de l’entreprise s’élève à 5,4 milliards de dollars, avec environ 100 millions d’utilisateurs sur la plateforme.
Udio, qui avait été visé dans un procès parallèle déposé par la même coalition de grands labels, a conclu une transaction avec Warner Music en novembre 2025 et est en train de passer vers une plateforme sous licence. En juin 2026, The Atlantic a publié quatre bases de données consultables décrivant la musique utilisée pour entraîner des modèles d’IA — l’une contenant 12 millions de morceaux, une autre 9 millions, et deux autres avec environ 100 000 chacune.
FAQ
Quel type de données la violation de Suno a-t-elle exposé en 2025 ?
La violation a exposé du code source interne documentant que Suno a moissonné 113 879 heures depuis YouTube Music, 62 117 heures depuis Pond5, 12 287 heures depuis Deezer, et d’autres sources. Le pirate a aussi affirmé avoir accédé à des e-mails clients, à des numéros de téléphone et à des informations de paiement Stripe pour des centaines de milliers d’utilisateurs.
Quand Suno a-t-il identifié l’incident de sécurité ?
Suno a identifié l’incident en novembre 2025 et l’a qualifié de limité, impliquant principalement du code source obsolète qui n’était plus utilisé. L’entreprise a conclu que des notifications individuelles des clients n’étaient pas nécessaires au regard des lois de confidentialité applicables.
Quel est le lien entre la violation et le procès de la RIAA contre Suno ?
Le code source divulgué corrobore l’allégation de la Recording Industry Association of America dans son procès de 2024, selon laquelle Suno a arraché des chansons directement depuis YouTube. Le procès vise 150 000 dollars par incident de violation et reste en cours devant une juridiction fédérale avec Sony et UMG.