KYC : 1 milliard de données personnelles exposées, peut-on encore faire confiance aux prestataires de vérification d'identité ?

Deux affaires d'exposition de données en quelques jours

Des données d'identité censées rester entre les mains de services de confiance, exposées sans protection sur Internet ou via des vérifications d'âge sur une application de messagerie… La semaine du 17 février 2026 n'a pas été tendre pour le secteur de la vérification d'identité en ligne. Deux affaires distinctes, révélées en quelques jours, ont mis en évidence les failles du secteur possédant les données les plus sensibles qui soient.

En novembre 2025, les chercheurs de Cybernews découvraient une instance MongoDB appartenant à IDMerit (un prestataire KYC américain travaillant avec des banques, des fintechs et des plateformes crypto) accessible en libre accès sur Internet, sans aucune authentification. L'information vient juste d'être rendue publique.

🪙 Découvrez le Bitcoin, la première crypto au monde

La base pèse près d'un téraoctet et contient environ 3 milliards d'enregistrements, dont un milliard de fiches personnelles sensibles : noms complets, adresses postales, dates de naissance, numéros d'identification nationaux, numéros de téléphone, adresses e-mail et profils de réseaux sociaux.

La fuite touche des individus répartis dans 26 pays : les États-Unis arrivent en tête (203 millions d'enregistrements), devant le Mexique (124 millions) et les Philippines (72 millions). En Europe, l'Allemagne, l'Italie et la France comptent chacune plus de 50 millions de fiches exposées. Fait aggravant, la base comprend un identifiant indiquant si certaines données proviennent elles-mêmes de fuites antérieures — signe qu'IDMerit aurait croisé ses données KYC avec des bases déjà compromises pour enrichir les profils en sa possession. Alertée par les chercheurs le lendemain, la société a sécurisé la base.

Persona : la surveillance cachée derrière la vérification d'âge de Discord

Cette affaire n'est pas sans en rappeler une autre survenue quelques jours auparavant. Rappelez-vous, début février 2026, Discord annonçait le déploiement mondial de ses paramètres « par défaut pour les ados », forçant certains utilisateurs à scanner leur visage pour accéder aux espaces adultes. Pour cette vérification, Discord a retenu Persona, une startup américaine.

Mais trois chercheurs en sécurité ont fouillé le code de l'application pour tenter de le contourner, et ont découvert bien plus que prévu : un frontend de Persona accessible en clair sur Internet, hébergé sur un serveur autorisé par le gouvernement américain.

🗞️ Surveillance fiscale vs enlèvements crypto : « je préfère une amende plutôt que de perdre un doigt »

Les 2 456 fichiers exposés montrent que le logiciel va bien au-delà de la simple estimation d'un âge. Il effectue 269 contrôles distincts par utilisateur, compare les selfies à des photos de listes de surveillance, consulte Chainalysis et TRM Labs pour détecter une activité financière suspecte, notamment de cryptomonnaie, et peut transmettre des déclarations de transactions suspectes directement aux autorités fédérales américaines et canadiennes.

Adresses IP, empreintes de navigateur, numéros d'identité gouvernementaux : tout est analysé et conservé jusqu'à trois ans. Persona équipe aussi OpenAI et Roblox. Face à la polémique, Discord a finalement renoncé au logiciel.

Après une formation en journalisme, j’ai travaillé quelques années en presse généraliste avant de découvrir le monde de la finance personnelle et de la bourse. Tombée dans les cryptos depuis 2020, je suis particulièrement intéressée par le décryptage des actualités qui influencent les marchés cryptos. Mon objectif ? En apprendre toujours plus à mes lecteurs en fournissant l’information la plus précise et la plus juste possible.

Justine Ferrari

313 articles

Tous ses articles