Fuite de données massive : 1 milliard d’enregistrements exposés !

par | Fév 22, 2026 | accessible, Actualité, Articles, France, International


Warning: Undefined array key "extension" in /htdocs/wp-content/themes/Divi/epanel/custom_functions.php on line 1471

Une faille de sécurité critique chez un prestataire spécialisé dans la vérification d’identité par IA a exposé environ un milliard d’enregistrements personnels sensibles. Cette exposition touche 26 pays, dont la France avec plus de 52 millions d’enregistrements.

Une base de données non sécurisée découverte

Le 11 novembre 2025, des chercheurs en cybersécurité ont identifié une instance MongoDB totalement ouverte sur internet, sans mot de passe ni chiffrement. Cette base, d’une taille d’environ 1 To, appartenait à IDMerit, une entreprise américaine spécialisée dans les solutions KYC (Know Your Customer) et AML pour les banques, fintechs, assurances et opérateurs télécoms.

L’entreprise a été alertée le lendemain et a sécurisé la base le 12 novembre 2025. La divulgation publique est intervenue le 18 février 2026 via des médias spécialisés comme Cybernews. Aucune exploitation malveillante confirmée n’a été signalée à ce jour, mais des robots automatisés ont très probablement copié les données pendant les heures d’exposition.

Les données sensibles concernées

La base contenait environ 3 milliards d’enregistrements au total, dont un milliard de fiches personnelles qualifiées issues de processus de vérification d’identité. Parmi les données exposées figurent :

  • Noms complets, adresses postales et codes postaux
  • Dates de naissance et genres
  • Numéros de pièces d’identité nationales (CNI, passeports, etc.)
  • Numéros de téléphone et adresses e-mail
  • Métadonnées télécom (opérateurs, etc.)
  • Annotations de profils sociaux et statuts de fuites antérieures

Ces informations proviennent principalement de vérifications KYC réalisées par des entreprises clientes d’IDMerit.

Une exposition internationale touchant la France

La fuite concerne 26 pays. Les pays les plus impactés en nombre d’enregistrements sont :

  • États-Unis : plus de 203 millions
  • Mexique : environ 124 millions
  • Philippines : 72 millions
  • Allemagne : environ 61 millions
  • France et Italie : environ 52-53 millions chacun

D’autres nations comme la Turquie, le Brésil, l’Espagne, le Canada ou l’Australie figurent également dans la liste. Il s’agit d’enregistrements, et non nécessairement d’un nombre équivalent de personnes uniques, car une même personne peut générer plusieurs entrées lors de tentatives de vérification multiples.

Les risques potentiels pour les victimes

Ces données ultra-qualifiées facilitent les attaques d’usurpation d’identité, les prises de contrôle de comptes (account takeover), les fraudes au crédit, les SIM swapping (transfert de numéro de téléphone) et les campagnes de phishing hyper-ciblées. Les escrocs peuvent désormais disposer d’informations précises pour rendre leurs arnaques beaucoup plus crédibles.

Que faire pour se protéger immédiatement

  1. Changez vos mots de passe : Priorité absolue sur vos comptes bancaires, e-mails, espaces personnels (impôts, Ameli, etc.). Utilisez des mots de passe uniques et longs (au minimum 16 caractères). Installez un gestionnaire de mots de passe tel que Bitwarden (gratuit) ou 1Password.
  2. Activez la double authentification (2FA) : Partout où c’est possible. Privilégiez une application d’authentification (Google Authenticator, Authy, Microsoft Authenticator) ou une clé physique (YubiKey). Évitez impérativement le SMS, vulnérable au SIM swapping.
  3. Activez les alertes en temps réel : Sur tous vos comptes bancaires et financiers pour tout mouvement ou connexion suspecte. Vérifiez régulièrement vos relevés.
  4. Méfiez-vous des contacts non sollicités : Si vous recevez un appel, SMS ou e-mail de votre banque, opérateur ou administration qui cite votre nom, adresse ou numéro de pièce d’identité, raccrochez ou ignorez. Contactez toujours vous-même via le numéro officiel figurant sur le site ou l’application.
  5. Vérifiez si vos données ont fuité : Consultez Have I Been Pwned (haveibeenpwned.com) avec vos e-mails et numéros de téléphone.

Démarches spécifiques en France

  • Signalez tout incident suspect sur le site cybermalveillance.gouv.fr (outil « Ai-je été victime ? ») ou via votre banque.
  • En cas de fraude avérée (virement suspect, ouverture de crédit à votre nom) : contactez immédiatement votre banque pour opposition et faites une déclaration sur le site Perceval (pour les fraudes à la carte) ou déposez plainte en ligne sur pre-plainte-en-ligne.gouv.fr.
  • Surveillez votre situation auprès de la Banque de France (fichier FICP) pour détecter tout endettement frauduleux.
  • Mettez à jour vos logiciels et appareils, et activez les Passkeys lorsque disponibles (sur Google, Apple, etc.).

Cette affaire rappelle la dépendance croissante des institutions financières à des prestataires tiers et les conséquences d’une simple erreur de configuration. Même si la base a été rapidement fermée, la prudence reste de mise dans les mois à venir. Les autorités et l’entreprise n’ont pour l’instant pas communiqué davantage sur d’éventuelles suites judiciaires ou indemnisations.

Restez vigilant et agissez sans tarder : mieux vaut prévenir que guérir face à un risque d’usurpation d’identité.