IDMerit : fuite KYC mondiale
Une base MongoDB non protégée du fournisseur de vérification d'identité IDMerit a exposé environ 1 milliard de fiches KYC dans 26 pays, dont la France et l'Allemagne.
- Organisation
- IDMerit
- Secteur
- Finance & assurance
- Pays
- International (États-Unis ; données de 26 pays dont France, Allemagne, Italie)
- Date des faits
- Base découverte le 11 novembre 2025, sécurisée le 12 novembre 2025, révélée publiquement à partir du 18 février 2026
- Ampleur
- ~1 milliard de fiches au total (≈ 1 To) ; France ~53 millions, Allemagne ~61 millions, Italie ~53 millions
- Vecteur
- mauvaise config (base MongoDB exposée sans authentification)
- Données exposées
- Noms complets, Adresses postales et codes postaux, Dates de naissance, Numéros d'identité nationaux, Numéros de téléphone, Adresses e-mail, Genre, Métadonnées télécom, Journaux de vérification KYC/AML, Annotations de profils sociaux
Selon les chercheurs de Cybernews, à l’origine de la découverte, une base de données MongoDB appartenant ou liée au fournisseur de vérification d’identité IDMerit aurait été laissée accessible sur Internet sans mot de passe ni authentification. L’instance, d’un volume d’environ 1 To, aurait contenu près d’un milliard de fiches personnelles sensibles issues de processus KYC (Know Your Customer) couvrant 26 pays. La base aurait été repérée le 11 novembre 2025 puis sécurisée dès le lendemain, avant une révélation publique à partir du 18 février 2026, relayée notamment par Fox News en mars 2026.
D’après les sources concordantes, les données exposées incluaient des noms complets, adresses postales, dates de naissance, numéros d’identité nationaux, numéros de téléphone, adresses e-mail, ainsi que des métadonnées télécom et des journaux de vérification KYC/AML. Plusieurs pays européens figurent parmi les plus touchés : l’Allemagne (environ 61 millions de fiches), la France et l’Italie (environ 53 millions chacune). La présence de numéros d’identité nationaux et de métadonnées télécom est jugée particulièrement sensible, ces éléments facilitant l’usurpation d’identité, l’ouverture frauduleuse de comptes ou les attaques par échange de carte SIM (SIM swap).
IDMerit conteste être à l’origine de l’exposition. La société indique que sa revue interne « n’a identifié aucune exposition, vulnérabilité ni accès non autorisé au sein de l’environnement IDMERIT » et affirme ne pas détenir ni stocker directement les données de ses clients, attribuant l’incident à des sources de données tierces. L’entreprise a par ailleurs évoqué une dimension « liée à une demande de rançon ». À ce stade, aucune autorité de contrôle (CNIL ou autre DPA européenne) n’a confirmé publiquement l’incident, et aucune preuve d’exfiltration par des tiers malveillants n’a été rendue publique.
En l’état, l’affaire relève donc d’une allégation étayée par des recherches en cybersécurité plutôt que d’une violation officiellement confirmée. Compte tenu du caractère transfrontalier des données et de la présence de millions de personnes concernées en France et dans l’Union européenne, l’incident relèverait, s’il était avéré, des obligations de notification prévues par le RGPD (article 33).