Sécurité et confidentialité sur Discord en 2026 : les paramètres essentiels à configurer

Discord est devenu en quelques années bien plus qu’une application de messagerie pour joueurs. En 2026, la plateforme revendique 150 millions d’utilisateurs actifs mensuels, couvre des communautés qui vont du développement logiciel au soutien scolaire en passant par les cercles d’artistes, d’écrivains et de militants. Des serveurs comme le Discord officiel de Minecraft cumulent des millions de membres. Des communautés francophones de développement et d’informatique, comme celles que l’on retrouve autour de codeyourweb.org, font de Discord leur espace de coordination principal.

Pourtant, malgré cette croissance explosive, Discord est la plateforme que les utilisateurs sécurisent le moins. Une enquête interne citée par l’équipe Trust & Safety de Discord révèle que moins de 20 % des comptes ont activé la double authentification — contre 40 % sur Instagram pour une population d’utilisateurs comparable. Les paramètres par défaut sont permissifs par conception, avec des messages directs ouverts à tout serveur rejoint, une absence de filtrage des liens, et aucune alerte visible lorsqu’un lien scanné présente des risques.

Ce guide détaille les paramétrages essentiels, serveur par serveur et option par option, pour utiliser Discord sans exposer son compte, ses données et ses contacts. Il s’adresse autant aux débutants complets qu’aux utilisateurs confirmés qui n’ont jamais pris le temps d’auditer leurs réglages. Pour une vue plus large sur les bonnes pratiques sur l’ensemble des plateformes, consultez également nos conseils de sécurité sur les réseaux sociaux.

Compte privé vs public sur Discord : ce que ça change vraiment

Discord ne distingue pas les comptes « privés » et « publics » au sens strict où TikTok ou Instagram le font. La logique de confidentialité sur Discord est différente : elle est construite autour des serveurs auxquels on appartient, et non autour du profil lui-même.

Votre profil Discord est, par défaut, visible par toute personne qui partage un serveur avec vous. Elle peut voir votre nom d’utilisateur, votre avatar, votre statut personnalisé, vos jeux joués récemment (si vous ne désactivez pas l’activité), et la liste des serveurs communs. Elle ne peut pas, en revanche, voir les serveurs auxquels vous appartenez si elle n’en fait pas partie — à moins que vous n’ayez activé la vitrine de profil.

La conséquence concrète : rejoindre un serveur public expose votre profil à tous ses membres. Un serveur de 50 000 personnes signifie 50 000 comptes potentiellement inconnus qui peuvent voir votre profil et tenter de vous contacter. C’est le premier vecteur de contact non sollicité sur la plateforme.

Les réglages à vérifier immédiatement.

• Activité de jeu : Discord affiche par défaut le nom du jeu que vous lancez depuis votre ordinateur. Désactiver dans Paramètres > Activité > Partager votre activité de jeu avec les autres. Ce réglage touche à la fois votre statut affiché et l’intégration « Jouer à » dans votre profil enrichi.
• Connexions : Dans Paramètres > Connexions, vous pouvez relier des comptes externes (Twitch, YouTube, GitHub, Spotify, Steam). Chaque connexion liée est visible dans votre profil par les membres des serveurs communs, à moins d’avoir désactivé l’affichage individuellement pour chaque compte.
• Profil serveur personnalisé : Discord permet depuis 2023 de créer un profil différent pour chaque serveur (Nitro). Cette fonctionnalité est utile si vous souhaitez séparer strictement votre identité de joueur de votre identité professionnelle sur un serveur de développement.

En synthèse, la première décision de sécurité sur Discord n’est pas un bouton unique à activer : c’est la sélection rigoureuse des serveurs que vous rejoignez. Chaque serveur public est une nouvelle fenêtre sur votre profil.

Activer la double authentification : la priorité absolue

Si vous ne deviez faire qu’une seule chose après avoir lu cet article, ce serait d’activer la double authentification (A2F) sur votre compte Discord. Le vol de compte Discord est l’une des attaques les plus courantes sur la plateforme en 2026 : un compte volé est immédiatement utilisé pour distribuer des arnaques à vos contacts ou pour prendre le contrôle de serveurs dont vous êtes administrateur.

La procédure est simple et prend moins de cinq minutes.

Étape 1 — Accéder aux paramètres A2F. Ouvrir Discord sur ordinateur (recommandé pour cette étape). Cliquer sur l’icône d’engrenage en bas à gauche pour accéder aux Paramètres utilisateur. Aller dans Mon compte. Dans la section Authentification à deux facteurs, cliquer sur Activer l’A2F.

Étape 2 — Choisir la méthode. Discord propose deux options principales. L’application d’authentification (Google Authenticator, Authy, Microsoft Authenticator) génère un code à 6 chiffres renouvelé toutes les 30 secondes — c’est la méthode la plus courante et la plus simple à mettre en place. La clé de sécurité physique (YubiKey, Titan Security Key) est plus robuste encore, car elle est impossible à phisher à distance, mais elle requiert un investissement matériel.

Évitez l’A2F par SMS si Discord vous la propose : les attaques de type SIM swapping permettent de rediriger vos SMS vers un numéro contrôlé par un attaquant. Pour un compte Discord, l’application d’authentification est nettement supérieure.

Étape 3 — Sauvegarder les codes de secours. À l’activation, Discord génère 10 codes de sauvegarde à usage unique. Ils servent à récupérer l’accès si vous perdez votre téléphone ou votre application d’authentification. Sauvegardez-les hors ligne : dans un fichier texte sur une clé USB, imprimés dans un dossier physique, ou dans un gestionnaire de mots de passe. Un utilisateur qui n’a pas conservé ses codes de secours et perd son téléphone se retrouve souvent définitivement bloqué hors de son compte.

Pour le gestionnaire de mots de passe lui-même, la rédaction a publié un guide détaillé pour choisir un gestionnaire de mots de passe robuste — une lecture complémentaire utile si vous souhaitez sécuriser l’ensemble de vos identifiants en même temps.

A2F et droits administrateur. Sur Discord, certains serveurs exigent l’A2F pour obtenir des rôles d’administration ou de modération. Si vous co-gérez un serveur actif, l’A2F n’est donc pas seulement un choix personnel : elle conditionne vos capacités d’action sur la plateforme.

Contrôler qui peut vous envoyer des messages directs

Les messages directs (DM) sont l’un des vecteurs d’arnaque les plus actifs sur Discord. Par défaut, tout membre d’un serveur que vous avez rejoint peut vous envoyer un message privé — même si vous ne le connaissez pas, même si c’est un bot, même si le serveur en question a des milliers de membres anonymes.

Discord a ajouté au fil des années des options de filtrage progressives. Voici comment les configurer pour chaque niveau de risque.

Réglage global des DM. Dans Paramètres utilisateur > Confidentialité et sécurité, vous trouvez l’option Autoriser les messages directs depuis les membres du serveur. Désactiver cette option empêche tout utilisateur qui n’est pas dans votre liste d’amis de vous envoyer un DM — peu importe le nombre de serveurs communs. C’est le réglage le plus radical, adapté aux utilisateurs qui ne veulent recevoir de messages que de leurs amis Discord connus.

Réglage par serveur (recommandé). Pour une approche plus nuancée, Discord permet de surcharger le réglage global serveur par serveur. Dans les paramètres de chaque serveur (clic droit sur l’icône du serveur > Paramètres du serveur de confidentialité), l’option Autoriser les messages directs peut être désactivée individuellement pour les serveurs publics à fort risque (gaming, crypto, trading) tout en restant activée pour les serveurs privés fermés où vous connaissez les membres.

Filtre de spam. Dans Paramètres > Confidentialité et sécurité, l’option Filtre de messages propose trois niveaux : ne filtrer que les DM des non-amis, filtrer les DM de tous les serveurs, ou ne rien filtrer. Le niveau intermédiaire — filtrer les DM provenant des membres des serveurs publics — est le meilleur compromis pour la majorité des utilisateurs.

Le cas des demandes d’amis. Une tactique courante des escrocs consiste à envoyer une demande d’amis avant d’envoyer un lien malveillant, pour contourner les filtres de DM. Dans Paramètres > Confidentialité et sécurité, l’option Qui peut vous envoyer des demandes d’amis permet de limiter les demandes aux amis d’amis ou de les désactiver entièrement.

La sécurité sur les serveurs : permissions et rôles

La sécurité sur Discord ne concerne pas seulement votre compte personnel — elle s’applique aussi à la façon dont vous interagissez avec les serveurs que vous rejoignez, et à la façon dont vous gérez ceux que vous administrez.

En tant que membre. Rejoindre un serveur, c’est accepter un certain niveau d’exposition. Avant de rejoindre un serveur public de grande taille, vérifiez quelques signaux d’alarme : présence d’un canal exclusivement dédié aux codes de jeu gratuits, messages répétitifs de bots dans le canal général, absence de règles clairement affichées dans un canal dédié. Ces signaux indiquent un serveur non modéré où les arnaques circulent librement.

Les serveurs sérieux disposent systématiquement d’un canal #règles, d’un canal #annonces, et d’un processus de vérification à l’entrée (souvent un bot comme MEE6 ou Captcha.bot). L’absence de ces éléments est un indicateur de risque.

En tant qu’administrateur. Si vous gérez un serveur, la sécurité de votre serveur dépend directement de la configuration des permissions. Quelques règles fondamentales pour réduire les risques.

Premièrement, le principe de moindre privilège : n’accordez jamais à un rôle plus de permissions que ce dont il a strictement besoin. Un modérateur n’a pas besoin de pouvoir gérer les intégrations ou de créer des canaux. Un bot de musique n’a pas besoin d’accéder aux messages privés des membres.

Deuxièmement, la permission Administrateur doit être réservée au propriétaire du serveur et à un nombre minimal de modérateurs de confiance. Cette permission accorde un accès total au serveur, y compris la capacité de supprimer tous les salons, de bannir tous les membres, et de modifier les rôles. Un compte d’administrateur compromis signifie la compromission totale du serveur.

Troisièmement, activez l’A2F obligatoire pour les administrateurs. Dans Paramètres du serveur > Sécurité > Niveau de sécurité A2F, sélectionnez le niveau 1 (A2F requise pour les actions modérateur/admin). Cette option interdit à tout compte sans A2F d’exercer des actions administratives.

Les scams Discord récurrents en 2026 (Steam, Nitro gratuit, faux « staff Discord »)

Discord est devenu l’un des terrains de chasse privilégiés des escrocs en ligne, notamment parce que la plateforme concentre une population jeune, souvent en confiance dans ses communautés de niche. Connaître les schémas récurrents permet de les identifier avant de tomber dans le piège.

L’arnaque Nitro gratuit. C’est la plus répandue. Un utilisateur — parfois un bot, parfois un compte piraté appartenant à quelqu’un que vous connaissez — vous envoie un message du type : « Hé, j’ai un code Nitro à te donner, je peux pas l’utiliser. » Le lien fourni pointe vers une fausse page Discord qui ressemble à une interface de connexion. Vous entrez vos identifiants. Votre compte est immédiatement volé et utilisé pour envoyer le même message à tous vos contacts. Le code Nitro, bien sûr, n’existe pas.

La règle absolue : Discord n’envoie jamais de Nitro par DM, et aucun particulier ne peut « transférer » un code Nitro à quelqu’un. Si un lien vous demande de vous reconnecter à Discord pour récupérer un cadeau, c’est systématiquement une arnaque.

L’arnaque Steam. Variante proche, adaptée aux joueurs. Un inconnu vous contacte sur Discord (souvent après vous avoir repéré dans un serveur de gaming) pour vous demander d’évaluer son jeu Steam ou de voter pour son compte dans un tournoi en ligne. Le lien mène vers une fausse page Steam. Le vol de compte Steam permet ensuite de vendre les jeux de la bibliothèque ou les objets d’inventaire Counter-Strike, qui valent parfois plusieurs centaines de dollars.

Le faux « staff Discord ». Un compte avec un badge ressemblant au badge officiel de Discord vous contacte pour vous informer d’une « violation de conditions d’utilisation » et vous demande de « vérifier votre compte » sous peine de suspension. Le badge peut être imité via l’emoji personnalisé de certains serveurs. Le vrai staff Discord ne contacte jamais les utilisateurs par DM pour des questions de sécurité — toute communication officielle passe par email ou par l’application.

Le scam « test de jeu ». Un utilisateur vous propose de tester un jeu qu’il a développé et vous envoie un fichier .exe ou .zip. Le fichier contient un logiciel malveillant (souvent un stealer, cf. section suivante). Ce scam cible particulièrement les développeurs et les moddeurs actifs dans des communautés techniques.

Pour aller plus loin sur les arnaques par messages frauduleux, la rédaction a documenté les arnaques par SMS (smishing) en 2026 — les mécanismes psychologiques sont très similaires et la connaissance de l’un aide à détecter l’autre.

Les logiciels malveillants distribués via Discord : comment les éviter

Discord est devenu depuis 2022 un vecteur majeur de distribution de logiciels malveillants, pour deux raisons structurelles. D’abord, le CDN de Discord (les serveurs sur lesquels les fichiers partagés dans les salons sont hébergés) est accessible publiquement via des liens cdn.discordapp.com — des liens qui passent facilement les filtres des antivirus car ils proviennent d’une infrastructure légitime et connue. Ensuite, la confiance sociale intrinsèque à une communauté Discord incite les membres à cliquer sur les liens partagés par des comptes qu’ils connaissent, même partiellement.

Les stealers. Ce sont les logiciels malveillants les plus distribués via Discord en 2026. Leur objectif est de voler les tokens de session (qui permettent d’accéder au compte sans mot de passe), les mots de passe sauvegardés dans les navigateurs, les cookies de session, et les données de portefeuilles de cryptomonnaies. Deux familles dominent : Redline Stealer et Raccoon Stealer, disponibles en location sur des forums criminels pour quelques dizaines de dollars par mois.

Les RATs (Remote Access Trojans). Ces logiciels donnent à l’attaquant un accès complet à votre ordinateur à distance. Ils circulent via Discord déguisés en moddeurs de jeux, en extensions d’applications, ou en utilitaires (un faux optimiseur de PC, un faux gestionnaire de téléchargements pour jeux).

Les règles de protection.

Un fichier .exe, .bat, .ps1, .vbs ou .zip partagé dans un salon Discord ou par DM ne devrait jamais être exécuté directement, même s’il provient d’un compte que vous connaissez — car ce compte peut avoir été compromis. Si vous devez absolument analyser un fichier, téléchargez-le et soumettez-le à VirusTotal avant toute exécution.

Maintenez votre système d’exploitation et votre antivirus à jour. Cette règle élémentaire reste la protection la plus efficace contre les stealers, car la majorité exploitent des vulnérabilités connues et corrigées dans les mises à jour déjà disponibles.

Désactivez dans Discord l’ouverture automatique des liens (Paramètres > Texte et images > Désactiver l’aperçu des liens pour les médias non approuvés). Cela ne bloque pas les liens malveillants, mais réduit l’exposition passive aux tentatives d’injection de contenu via des embeds.

Discord pour les mineurs : ce que les parents doivent savoir

Discord est officiellement interdit aux enfants de moins de 13 ans. En pratique, la plateforme ne vérifie pas l’âge lors de l’inscription — un enfant de 10 ans peut créer un compte en entrant une date de naissance falsifiée en trente secondes. Une étude de Common Sense Media publiée en 2025 estime que plus de 30 % des utilisateurs actifs de Discord ont moins de 16 ans, et que la majorité de ces comptes n’ont aucun paramètre de confidentialité configuré.

Les risques spécifiques pour les mineurs sont documentés et réels.

Exposition à des serveurs adultes non vérifiés. Discord marque certains serveurs comme NSFW (Not Safe For Work), ce qui impose en théorie une vérification d’âge. Mais des milliers de serveurs contenant du contenu explicite ne sont pas marqués comme tels, et rejoindre n’importe quel serveur public expose le compte à une invitation dans ces espaces via des messages automatisés.

Grooming. Discord est régulièrement cité dans des enquêtes judiciaires pour des affaires de grooming (manipulation progressive d’un mineur en vue d’abus sexuels). La combinaison messagerie privée ouverte, communautés thématiques (gaming, fan fiction, anime) et appels vocaux/vidéo intégrés crée un environnement propice à ce type de manipulation.

Arnaques ciblées. Les mineurs sont la cible préférentielle des arnaques Discord liées aux jeux vidéo : faux codes de jeu, faux objets Roblox, faux accès à des versions bêta de Fortnite. Ces arnaques exploitent la méconnaissance des processus de distribution officiels.

Ce que les parents peuvent faire concrètement.

• Désactiver les DM depuis tous les serveurs (Paramètres > Confidentialité et sécurité > Autoriser les messages directs depuis les membres du serveur : désactivé).
• Activer le filtre de contenu explicite au niveau maximum (Paramètres > Confidentialité et sécurité > Filtre de médias explicites : Analyser tous les messages directs).
• Passer en revue les serveurs rejoints régulièrement — un mineur peut rejoindre un serveur problématique sans s’en rendre compte via un lien partagé par un pair.
• Avoir une conversation ouverte sur les signaux d’alerte : un inconnu qui demande de garder la conversation secrète, qui offre quelque chose de trop beau pour être vrai, ou qui demande des informations personnelles.

Pour les parents souhaitant encadrer l’usage de Discord, il n’existe pas d’équivalent au Contrôle parental familial de TikTok ou au Supervision d’Instagram. La surveillance passe nécessairement par la confiance et la communication, pas par un outil technique intégré.

Paramètres de confidentialité avancés à connaître

Au-delà des réglages fondamentaux déjà couverts, Discord propose plusieurs paramètres de confidentialité avancés que la majorité des guides n’abordent pas, mais qui méritent d’être connus.

Désactiver l’utilisation des données à des fins d’amélioration. Dans Paramètres > Confidentialité et sécurité, deux options sont activées par défaut : Utiliser les données pour améliorer Discord et Utiliser les données pour améliorer la technologie de nouvelles personnes. Ces options permettent à Discord d’utiliser votre activité (messages envoyés, serveurs rejoints, clics) pour entraîner des modèles et affiner ses recommandations. Désactiver ces deux options réduit le volume de données partagées avec Discord sans impact visible sur votre expérience.

Activité vocal et vidéo. Discord peut accéder à votre microphone et à votre caméra si vous rejoignez des canaux vocaux ou vidéo. Sur ordinateur, les permissions systèmes (Windows ou macOS) contrôlent cet accès de façon globale. Vérifiez dans les paramètres de votre système d’exploitation que Discord n’a pas de permission d’accès permanent à la caméra — l’accès devrait être accordé à la demande, lors d’un appel actif, et non en permanence.

L’option « Connexions » et les OAuth tiers. Plusieurs applications tierces utilisent Discord pour l’authentification (« Se connecter avec Discord »). Chaque connexion OAuth autorisée apparaît dans Paramètres > Autorisations. Passez en revue cette liste et révoquez les accès des applications que vous n’utilisez plus — une application abandonnée mais toujours autorisée reste un vecteur de compromission potentiel si son propre service est piraté.

Tokens de session. Contrairement à un mot de passe, le token de session Discord est stocké localement sur votre appareil dans les données de l’application. Les stealers ciblent spécifiquement ce fichier. Sur Windows, il est localisé dans %AppData%\discord\Local Storage\leveldb. Aucun utilisateur ordinaire n’a besoin d’y accéder directement, mais il faut savoir que quiconque dispose d’un accès physique à votre ordinateur peut extraire ce token et se connecter à votre compte sans connaître votre mot de passe. La protection passe par le chiffrement du disque (BitLocker sur Windows, FileVault sur macOS).

Désactivation des accusés de lecture. Par défaut, Discord indique aux autres membres quand vous avez vu leur message dans les DM. Dans Paramètres > Confidentialité et sécurité, l’option Envoyer les accusés de lecture peut être désactivée si vous souhaitez éviter de signaler votre activité aux contacts qui vous écrivent.

Pour suivre l’actualité des plateformes et leurs évolutions de sécurité, i-actu.fr publie régulièrement des décryptages des mises à jour des grandes applications — une source utile pour rester informé des changements de politique de Discord et des nouvelles menaces documentées.

Pour conclure : Discord en 2026 est une plateforme mature, riche fonctionnellement, mais dont la configuration de sécurité par défaut reste tournée vers la croissance des usages plutôt que vers la protection des utilisateurs. Cinq actions prioritaires résument ce guide : activer la double authentification, restreindre les DM aux amis, désactiver les DM depuis les serveurs publics, sélectionner rigoureusement les serveurs rejoints, et ne jamais exécuter un fichier reçu sur la plateforme sans vérification préalable. Ces cinq réglages prennent moins de quinze minutes à mettre en place et éliminent la grande majorité des vecteurs d’attaque documentés sur la plateforme. Pour les utilisateurs qui souhaitent compléter cette protection par un audit de leur confidentialité sur TikTok, notre guide confidentialité TikTok : comment verrouiller son compte en 2026 couvre les mêmes bases avec la même approche pratique.

Ce guide a été rédigé à partir de l’interface Discord en vigueur en mai 2026. Les libellés des menus peuvent varier selon la version de l’application (bureau, mobile iOS, Android). La logique générale des réglages reste constante entre les versions, mais les chemins d’accès peuvent être légèrement réorganisés au fil des mises à jour. En cas de doute sur l’emplacement d’un paramètre, utiliser la barre de recherche intégrée dans les Paramètres utilisateur.