Suno, la start-up spécialisée dans la génération de musique par IA, ne fait plus mystère de la provenance de ses données d’entraînement : elle a moissonné « pratiquement tous les fichiers musicaux de qualité raisonnable accessibles sur l’internet ouvert ». L’entreprise l’avait admis en 2024, à l’occasion d’une procédure en justice menée aux États-Unis par l’industrie du disque. On ignorait en revanche l’ampleur de cet « emprunt ».

Un hacker a partagé avec 404media des données internes de Suno qui détaillent la manière dont l’entreprise a constitué ses bases de données. Elle a en fait mangé à tous les râteliers : YouTube Music, Deezer, Genius, Pond5, Jamendo, Freesound ou encore IMSLP. Les volumes sont considérables : il y a par exemple plus de deux millions d’extraits provenant de YouTube Music, ou encore des dizaines de milliers d’heures issues du catalogue de Deezer.
Le code subtilisé par le pirate montre aussi que Suno cherchait spécifiquement des versions a cappella sur YouTube, probablement pour mieux isoler et analyser les voix. Pour mener ses opérations à grande échelle, la start-up aurait fait appel aux infrastructures de Bright Data, spécialiste de la collecte automatisée de données.
Les documents et données présentés par le hacker semblent confirmer les accusations des maisons de disques selon lesquelles Suno aurait pillé absolument tout ce qu’il était possible de voler, sans s’occuper de la légalité du procédé. Le puissant lobby musical américain RIAA soutenait ainsi que Suno avait procédé à de l’extraction directe de fichiers audio depuis YouTube, en contournant les mécanismes anti-copie de la plateforme.
« Comme nous l’avons indiqué dans des documents publics, les modèles d’IA de Suno ont été entraînés à partir de fichiers musicaux accessibles au public et de métadonnées associées, disponibles sur des sites tiers sur l’internet ouvert », a expliqué un porte-parole à 404media. Son moissonnage du « web ouvert » s’arrête aux paywalls et aux protections par mot de passe, assurait aussi l’entreprise durant une procédure judiciaire.
Elle reprend aussi la défense classique des labos IA qui affirment que l’entraînement de leurs modèles relève du « fair use », l’exception américaine au droit d’auteur. Ce piratage pourrait en tout cas renforcer les arguments des ayants droit, en particulier s’il est prouvé que la jeune pousse a contourné des verrous techniques, siphonné des catalogues commerciaux ou enfreint les conditions d’utilisation des plateformes.
Le pirate explique également avoir eu accès aux coordonnées de centaines de milliers de clients de Suno, ainsi qu’à des informations liées à des paiements Stripe en pénétrant les systèmes de la société avec les identifiants compromis d’un salarié. L’entreprise a reconnu un incident survenu en novembre dernier, mais elle assure qu’aucune information personnelle sensible n’a été compromise. Elle indique également n’avoir aucun accès aux numéros complets des cartes bancaires stockées par Stripe.
Sur le front judiciaire, l’horizon s’est éclairci pour Suno, qui a signé en novembre dernier un accord avec Warner. Cela va lui permettre d’utiliser le catalogue de la major.





