CyberNews révèle une brèche de sécurité majeure sur une base de données du groupe IDMerit, leader de la vérification d'identité (KYC). La base, d'environ 1 téraoctet, contenait près d'un milliard d'enregistrements avec des données personnelles sensibles, accessibles sans authentification.
La France est l'un des pays les plus touchés : 53 millions d'enregistrements français, soit potentiellement les informations de tous les adultes de l'Hexagone. Noms, dates de naissance, numéros d'identification nationaux, adresses, téléphones, emails. Ces données peuvent servir à l'usurpation d'identité, au SIM swapping et à l'ingénierie sociale.
Sources : Futura Sciences, Portail IE, CyberNews
IDMerit est un groupe leader dans la vérification d'identité numérique. Sa filiale IDMkyc fournit des solutions de KYC (Know Your Customer) utilisées par les banques, la fintech, les assurances, la santé et même la douane. Ces services permettent de collecter, contrôler et vérifier l'identité des clients pour limiter les risques de fraude et d'usurpation d'identité.
L'ironie est cruelle : une base conçue pour lutter contre la fraude se retrouve exposée en accès libre sur le web, sans authentification. Les données qu'elle contenait seront très certainement détournées par des acteurs malveillants pour ces mêmes activités qu'elle était censée prévenir.
Concrètement, une base de données sensible appartenant à une filiale d'IDMerit s'est retrouvée en accès libre. CyberNews a découvert la faille et alerté l'entreprise en novembre 2025 ; celle-ci aurait été colmatée depuis. Mais le risque que ces informations aient été siphonnées par des pirates reste entier.
La base de données d'environ un téraoctet contient trois milliards d'enregistrements au total, dont un milliard avec des informations personnelles sensibles. La France arrive en tête des pays les plus touchés, derrière les États-Unis, le Mexique, les Philippines, l'Allemagne et l'Italie.
Point critique : Il ne s'agit pas de simples mots de passe, mais de personal identifiable information (PII) permettant de cibler précisément un individu. Ces données peuvent être exploitées pour des campagnes de spear phishing (hameçonnage ultra-ciblé), des fraudes au crédit, des usurpations d'identité et du SIM swapping (vol du numéro de téléphone).
Sources : Futura Sciences, Portail IE
Les données issues des processus KYC ne sont pas uniquement des obligations réglementaires. Elles constituent un patrimoine informationnel critique. Leur exposition vulnérabilise l'ensemble de la chaîne de valeur financière — banques, fintechs — et fragilise la confiance des clients.
En marge des débats sur la vérification d'âge et l'interdiction des réseaux sociaux aux mineurs, les récents débats parlementaires se sont cristallisés autour de deux enjeux : la souveraineté des données d'identité et le droit à l'anonymat.
Un troisième pilier est souvent négligé : la sécurité numérique élémentaire des organisations qui manipulent ces données critiques. Qu'il s'agisse de la sphère financière ou des plateformes sociales, la maîtrise et la sécurisation des données d'identité font partie intégrante de notre souveraineté numérique.
Enseignement : La fuite IDMerit rappelle que la délégation de la vérification d'identité à des prestataires tiers crée une dépendance et une surface d'attaque. Les entreprises qui externalisent le KYC doivent exiger des garanties de sécurité (audits, certifications) et évaluer leur exposition en cas de compromission du prestataire.
La fuite IDMerit montre que les acteurs de la vérification d'identité sont des cibles prioritaires. Si votre prestataire KYC est compromis, vos clients sont exposés.
Une assurance cyber adaptée peut financer la réponse à incident, les frais de notification CNIL, l'assistance aux personnes concernées et limiter l'impact financier et réputationnel d'une fuite de données clients.
Évaluer mon exposition et obtenir un devisEstimation indicative non contractuelle. Courtier d'assurance immatriculé.
La fuite IDMerit s'inscrit dans une dynamique inquiétante. Entre tensions géopolitiques, industrialisation des offensives numériques et généralisation de l'intelligence artificielle, la France se retrouve plus que jamais exposée.
IA agentielle : Les cybercriminels font désormais appel à l'intelligence artificielle pour lancer des attaques plus facilement et à plus grande échelle. Check Point s'attend en 2026 à une adoption plus marquée de l'IA pour des attaques personnalisées, des deepfakes pour l'usurpation d'identité, et une détection plus rapide des failles. L'IA elle-même peut devenir une porte d'entrée (prompt injection, nouvelles surfaces d'attaque).
Cette fuite sur IDMerit, qui survient après FICOBA, Cegedim, HubEE et d'autres incidents majeurs, apporte plusieurs enseignements pour les acteurs financiers et les entreprises qui externalisent le KYC.
Une base de données sensible s'est retrouvée en accès libre, sans authentification. La délégation du KYC ne dispense pas de vérifier la sécurité du prestataire.
Action : Exiger des audits de sécurité, des certifications (ISO 27001, SOC 2), des clauses contractuelles sur la protection des données. Cartographier les dépendances critiques et évaluer le risque de compromission.
Noms, dates de naissance, numéros d'identification permettent l'usurpation d'identité, le spear phishing, la fraude au crédit. La valeur des données d'identité sur le dark web est élevée.
Action : Minimiser la collecte, chiffrer les données sensibles, limiter les accès, mettre en place une surveillance des accès anormaux. Préparer un plan de réponse à incident en cas de fuite chez un prestataire.
Les débats sur la vérification d'âge et l'anonymat ne doivent pas occulter un enjeu fondamental : la sécurité élémentaire des organisations qui manipulent les données d'identité.
Action : Intégrer la cybersécurité dans les critères de choix des prestataires. Privilégier des acteurs avec des garanties de sécurité démontrables. Documenter les dépendances et les plans de continuité en cas de compromission.
Les 53 millions d'enregistrements français pourraient correspondre aux informations de tous les adultes de l'Hexagone. Les données exposées permettent des usages malveillants ciblés.
Face à ces menaces croissantes, les entreprises doivent adopter une approche globale combinant prévention, gouvernance des prestataires et protection financière.
La fuite IDMerit en février 2026 montre que les acteurs de la vérification d'identité sont des cibles prioritaires. Un milliard d'enregistrements exposés, 53 millions de Français potentiellement concernés : la base pourrait contenir les informations de tous les adultes de l'Hexagone.
Les enseignements sont clairs : la délégation du KYC ne dispense pas de vérifier la sécurité du prestataire. Les données d'identité sont un patrimoine informationnel critique. Leur exposition vulnérabilise la chaîne financière et fragilise la confiance. La maîtrise et la sécurisation de ces données font partie intégrante de notre souveraineté numérique.
Pour les banques, fintechs et assurances : auditer les prestataires, préparer la réponse à incident, et se doter d'une assurance cyber. C'est cette approche globale qui permet de limiter l'impact des fuites et de maintenir la confiance des clients.
Évaluer ma résilience cyber et obtenir un devisEstimation indicative non contractuelle. Courtier d'assurance immatriculé.