Une fuite de données passée sous les radars pendant dix‑huit mois frappe l’un des principaux tiers de confiance du numérique en France. En exploitant une faille, un pirate est parvenu à consulter les données personnelles détenues par la société Sumsub.
Une nouvelle fuite de données frappe la France. Sumsub, une plateforme de vérification d’identité et de lutte contre la fraude, indique avoir subi « un incident de sécurité » en juillet 2024. L’entreprise française vient de prendre connaissance de l’intrusion à la suite d’un audit de sécurité, réalisé en janvier 2026. Sans cet audit, la firme n’aurait peut-être jamais remarqué l’incident.
À lire aussi : Flickr est victime d’une fuite de données
Un tiers à l’origine de l’intrusion
La société explique que l’attaquant est arrivé à ses fins à l’aide d’une « pièce jointe malveillante » envoyée par le biais d’une « plateforme de gestion de tickets d’assistance tierce ». Comme c’est souvent le cas, la cyberattaque repose sur la compromission d’un tiers. De cette manière, l’intrus est parvenu à obtenir « un accès non autorisé » à un « environnement interne lié à l’assistance ».
Une fois dans le système, l’intrus a pu consulter les données personnelles d’une partie des personnes qui ont utilisé Sumsub pour prouver leur identité sur un site. Parmi les données compromises, on trouve des noms, « des adresses électroniques ou des numéros de téléphone ». Bonne nouvelle, « aucune donnée biométrique, image de pièce d’identité, information bancaire ou de paiement, pièce d’identité officielle » n’a été piratée au cours de l’offensive. Selon Sumsub, le pirate n’a pas consulté de « donnée personnelle à haut risque ».
À lire aussi : Une fuite de données chez Substack est passée inaperçue pendant des mois
Une enquête toujours en cours
Dès que la société française s’est rendue compte de l’attaque, elle est entrée en contact avec « des experts en cybersécurité indépendants et informé directement les clients concernés ». Tandis que l’enquête se poursuit, le responsable du service client a prévenu toutes les personnes dont les données ont été siphonnées.
Massivement utilisée par des entreprises, notamment dans le secteur de la finance et de la crypto, la société Sumsub met à disposition des briques de vérification (documents d’identité, biométrie, preuve d’adresse, vérification d’entreprises). Celles-ci permettent aux entreprises de respecter les exigences réglementaires en matière de lutte contre la fraude et le blanchiment d’argent. Les banques, fintech, exchanges crypto, ou encore les plateformes de jeux d’argent doivent prouver qu’elles vérifient l’identité des clients, surveillent la fraude et respectent les lois anti‑blanchiment en vigueur en Europe. C’est pourquoi elles se servent des solutions proposées par des tiers comme Sumsub. Parmi les clients de Sumsub, on trouve des géants de la crypto, comme Bitget, Bitpanda, Bybit, Huobi, ou encore Wirex.
🚨🔴CYBERALERT 🇫🇷FRANCE🔴 | Sumsub, la plateforme de vérification d’identité victime d’une cyberattaque… Elle alerte 18mois plus tard 😬😬 👇🏾
Voilà qui va relancer le débat autour de l’interdiction des réseaux sociaux aux moins de 15ans, avec ce tiers de confiance français… pic.twitter.com/w0CkOkFRl4
— SaxX ¯\_(ツ)_/¯ (@_SaxX_) February 9, 2026
Comme le souligne le chercheur Clément Domingo, l’incident risque de relancer le débat sur la fiabilité des tiers chargés de vérifier l’identité des internautes, à l’heure où la France veut interdire les réseaux sociaux aux moins de 15 ans.
Cette énième fuite survient alors que la France est noyée par une recrudescence sans précédent des cyberattaques avec vol de données. De nombreuses entreprises, plusieurs ministères et des entités gouvernementales, y compris un portail des services publics, ont été piratés ces dernières semaines.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.