skip to content
Gravité élevée confirmée

Goodvest : données patrimoniales de clients exposées

La fintech d'épargne responsable Goodvest confirme une cyberattaque détectée le 2 juin 2026 : identité, revenus, patrimoine et encours d'une partie de ses clients exposés via une API compromise.

Organisation
Goodvest
Secteur
Finance & assurance
Pays
France
Date des faits
Cyberattaque détectée le 2 juin 2026 ; clients concernés informés par e-mail dès le 4 juin 2026 ; reprise par les sites de veille puis la presse financière dans la foulée
Ampleur
Nombre de clients concernés non communiqué : Goodvest évoque une partie de sa clientèle, informée individuellement par e-mail
Vecteur
Exploitation d'une clé d'accès technique et utilisation automatisée d'une API de données, avec anonymisation des connexions malveillantes ; l'outil visé hébergeait des données clients, sans accès au site public ni aux comptes
Données exposées
Nom et prénom, Adresse e-mail, Numéro de téléphone, Composition du foyer, Revenus déclarés, Patrimoine financier et immobilier, Encours et montants des versements

Goodvest, fintech française d’épargne responsable (assurance-vie ISR et PER), a détecté le 2 juin 2026 une cyberattaque ayant permis à un tiers d’accéder à une plateforme technique hébergeant des données de clients. Selon l’entreprise, l’intrusion repose sur l’exploitation d’une clé d’accès technique et l’utilisation automatisée d’une API de données, les connexions malveillantes ayant été anonymisées pour contourner les protections. L’outil visé n’offrait d’accès ni au site public ni aux comptes clients, et le fondateur précise que l’attaque n’a rien d’un rançongiciel.

Le périmètre maximal exposé comprend l’identité, l’adresse e-mail, le numéro de téléphone, la composition du foyer et des éléments de situation financière : revenus déclarés, patrimoine financier et immobilier, encours et montants des versements. Il s’agit d’un périmètre maximal au sens où la plupart des clients concernés ne le sont que pour un sous-ensemble plus limité de ces champs. Goodvest affirme que les coordonnées bancaires, mots de passe, adresses postales, pièces d’identité et justificatifs ne sont pas concernés, et que ni les contrats, ni les fonds, ni l’accès aux comptes n’ont été compromis.

L’incident est confirmé par l’entreprise elle-même : les clients concernés ont été informés par e-mail dès le 4 juin 2026 et, selon sa communication relayée par la presse financière, Goodvest a notifié la violation à la CNIL et déposé plainte. L’entreprise indique avoir révoqué immédiatement les accès en cause, renforcé la sécurité de son environnement et lancé un audit avec son assureur cyber, assorti d’une surveillance visant à détecter toute diffusion des données. Aucun chiffre de clients concernés n’a été communiqué et aucune revendication publique d’un attaquant n’a été rapportée à ce stade.

Le principal risque pour les clients tient à l’hameçonnage ciblé : les données patrimoniales exposées permettent des tentatives de fraude personnalisées et crédibles, usurpant Goodvest, des conseillers en gestion de patrimoine ou des banques. Toute sollicitation évoquant un remboursement, un transfert d’épargne ou une mise à jour de sécurité devrait être vérifiée directement auprès de la plateforme.