Une fuite de données massive impliquant IDMerit, une entreprise californienne de vérification d'identité, a exposé plus d'un milliard de dossiers personnels appartenant à des citoyens de 26 pays, selon une enquête publiée par l'équipe de recherche en cybersécurité de Cybernews. Les chercheurs ont découvert une base de données MongoDB non sécurisée contenant environ un téraoctet de données sensibles de type KYC (Know Your Customer), laissée accessible sur Internet sans aucune protection par mot de passe, la rendant librement consultable par quiconque disposant d'une connexion.
Les dossiers exposés comprennent les noms complets, dates de naissance, numéros d'identité nationale, adresses physiques, codes postaux, numéros de téléphone, adresses électroniques, informations de genre, métadonnées télécoms et annotations de profils sociaux. Les États-Unis sont le pays le plus touché avec environ 203 millions de dossiers exposés, suivis du Mexique avec 124 millions, des Philippines avec 72 millions, de l'Allemagne avec 61 millions, et de l'Italie et de la France avec 53 millions de dossiers chacune. Des citoyens de 20 autres pays, dont la Chine et le Brésil, ont également été affectés.
IDMerit fournit des services de vérification d'identité et de prévention de la fraude via API aux banques, aux entreprises fintech et à d'autres sociétés tenues par la loi de vérifier l'identité de leurs clients dans le cadre des procédures de conformité KYC. Les experts en cybersécurité ont décrit la nature structurée des données exposées comme une mine d'or pour les criminels, soulignant que la combinaison de numéros d'identité nationale, de dates de naissance et de profils personnels complets crée les conditions idéales pour le vol d'identité, la fraude au crédit, les attaques par échange de carte SIM et les campagnes d'hameçonnage sophistiquées.
L'équipe de recherche de Cybernews a découvert la base de données non protégée le 11 novembre 2025 et a immédiatement alerté IDMerit. L'entreprise a sécurisé l'instance exposée le lendemain, le 12 novembre. Cependant, la durée pendant laquelle la base de données est restée publiquement accessible avant sa découverte demeure inconnue, soulevant de sérieuses inquiétudes quant à la possibilité que des acteurs malveillants aient déjà accédé aux données et les aient copiées. IDMerit n'a pas communiqué publiquement d'informations détaillées sur l'incident ni précisé si les personnes concernées et les autorités réglementaires avaient été formellement notifiées.
Cette fuite a relancé le débat sur les pratiques de sécurité des prestataires KYC, devenus des infrastructures critiques du système financier mondial. Les gouvernements et régulateurs à travers le monde exigent des banques, des plateformes d'échanges de cryptomonnaies et des services numériques qu'ils vérifient l'identité de leurs utilisateurs, canalisant ainsi d'énormes quantités de données personnelles sensibles vers des entreprises tierces de vérification. Les critiques affirment que ces prestataires ne sont pas soumis à une surveillance réglementaire suffisante ni à des audits de sécurité obligatoires. L'incident a suscité une attention particulière en France, où 53 millions de dossiers d'identité ont été exposés alors même que les législateurs débattent de propositions visant à imposer la vérification d'identité pour accéder aux réseaux sociaux.
Les analystes en cybersécurité ont averti que les conséquences de cette fuite pourraient se manifester pendant des années, car les données d'identité volées conservent leur valeur bien après l'exposition initiale. Les numéros d'identité nationale et les dates de naissance ne peuvent pas être modifiés comme des mots de passe, ce qui signifie que les personnes concernées font face à un risque prolongé de fraude identitaire. Les experts ont exhorté toute personne ayant utilisé des services vérifiés par IDMerit à surveiller étroitement ses comptes financiers, à activer l'authentification à deux facteurs partout où cela est possible et à rester vigilant face aux tentatives d'hameçonnage ciblées.
Commentaires