Le média CyberNews met en lumière une brèche de sécurité d’une base de données de l’un des leaders de la vérification d’identité. 1 milliard de données personnelles auraient été exposées sur le web, durant une période non-connue.
52 millions de Français touchés : des identités entières compromises
D’après les investigations du média, plus de 52 millions d’entre elles appartiendraient à des citoyens français. De plus, il ne s’agit pas de simples mots de passe, mais de
« personal identifiable information » (PII) permettant de cibler précisément un individu. Cartes d’identité, numéros de téléphone, adresses physiques et électroniques font partie du lot.
Une base de données en source ouverte ?
Concrètement, une base de données sensible appartenant à une filiale d’
IDMerit, un groupe leader dans le secteur de la vérification d’identité numérique, s’est retrouvée en accès libre sur le web, sans aucune authentification requise. Si
CyberNews indique avoir alerté l’entreprise dès la découverte de la faille en novembre 2025 et affirme que celle-ci a été colmatée depuis, le risque que ces informations aient été siphonnées par des pirates reste existant. Celles-ci pourraient être exploitées pour des campagnes de
spear phishing (hameçonnage ultra-ciblé), des fraudes au crédit ou des usurpations d’identité.
Le KYC : un patrimoine informationnel critique
À l’origine de cette base de données se trouve
IDMkyc. Cette filiale d’
IDMerit fournit des solutions de vérification d’identité très prisées par la
FinTech et le secteur bancaire, indispensables à leurs processus de
KYC (
Know Your Customer) pour collecter, contrôler et vérifier l’identité de leurs clients. Les données issues des processus KYC ne sont pas uniquement des obligations réglementaires, mais un patrimoine informationnel critique. Leur exposition vulnérabilise l’ensemble de la chaîne de valeur financière banques,
FinTechs en l’occurrence, fragilisant la confiance des clients.
En marge de l’interdiction des réseaux sociaux aux mineurs de moins de 15 ans, les récents débats parlementaires sur la vérification d’âge se sont cristallisés autour de deux enjeux majeurs :
la souveraineté des données d’identité et le
droit à l’anonymat. Néanmoins, il est impératif de ne pas négliger un troisième pilier fondamental : la sécurité numérique élémentaire des organisations qui seront chargées de manipuler ces données critiques. Qu’il s’agisse de la sphère financière ou des plateformes sociales, la maîtrise et la sécurisation des données d’identité font partie intégrante de notre souveraineté numérique.
Jean Baldeck
Pour aller plus loin :
