Après le hack des impôts, les données de 53 millions de Français exposées par une faille de sécurité critique chez IDMerit

 
L’hécatombe continue pour nos données personnelles. Cette fois, c’est un intermédiaire crucial, IDMerit, qui a laissé ouverte une base de données d’un milliard de comptes clients. Il est très utilisé dans le secteur bancaire.
La France est victime d’une série de failles de sécurité importantes // Source : Généré par Frandroid avec Google Gemini

Vous ne le connaissez pas, mais lui, il vous connaît. IDMerit est un prestataire utilisé par les banques, en particulier les fintechs, pour faire de la vérification d’identité.

Une enquête de Cybernews a découvert une faille monstre : un outil IA d’IDMerit a laissé exposées les données concernant un milliard d’individus dans le monde. En France, ce sont près de 52 millions de comptes qui sont dans la nature.

Quelles sont les données volées ?

Contrairement à de vieilles fuites de données pêle-mêle, cette base est parfaitement structurée, ce qui en fait une véritable mine d’or pour les cybercriminels.

Voici les données qui ont été laissées accessibles :

  • Genre, noms et prénoms complets
  • Adresses postales (avec code postal)
  • Dates de naissance
  • Cartes d’identité
  • Numéros de téléphone
  • Adresses e-mail
  • Métadonnées d’opérateurs télécoms

Il s’agit de données « KYC » (Know Your Customer), c’est-à-dire le genre de données que vous partagez avec votre banque pour prouver votre identité et réaliser des opérations sensibles sur vos comptes.

Autant d’informations précieuses qu’il sera possible pour un escroc de recouper avec les données issues de piratages comme celui de la DGCFIP.

Cette faille massive « souligne à quel point les fournisseurs tiers d’identité sont devenus des infrastructures critiques et peuvent se transformer en points de défaillance catastrophiques. »

Que s’est-il passé chez IDMerit ?

Le 11 novembre 2025, les chercheurs en cybersécurité de Cybernews ont donc découvert une base de données de près d’un téraoctet (1 To), hébergée sur une instance MongoDB. Cette base de données était accessible à quiconque s’y connectait. Pas de mot de passe, pas de pare-feu. Une porte grande ouverte sur le web.

Cette base appartiendrait à IDMerit, un prestataire qui aide les entreprises de la FinTech à vérifier l’identité de leurs clients en temps réel. Les chercheurs ont immédiatement alerté l’entreprise, qui a sécurisé l’accès dès le lendemain.

Il faut souligner qu’il ne s’agit pas ici d’un piratage d’une base de données. On ne sait pas combien de temps ni qui a pu avoir accès à cette quantité massive de données. Cependant, sur Internet, 24 heures suffisent pour que des robots (crawlers) aspirent l’intégralité d’une base de données non protégée.

Qui est concerné ?

On l’a dit, au niveau de la France, ce sont 52 millions de comptes qui sont concernés sur le milliard de comptes compris dans la base de données. Il ne s’agit pas d’un piratage, on ne sait donc pas si les données ont réellement été volées ou non.

Surtout, on ne connait pas la liste des banques et services qui utilisent IDMerit comme prestataire pour la vérification des données. IDMerit est un service B2B, on ne rencontre pas son logo au moment de la création du compte.

Pour que 52 millions de comptes soient concernés en France, on peut toutefois supposer que la société est le partenaire de grandes banques en France.

Les bons réflexes

Si vous avez été victime d’un piratage ou d’une fuite de données, quelques bonnes pratiques sont à garder en tête pour mieux vous protéger. Frandroid en a fait une liste :

  • Changer sans attendre les mots de passe des comptes concernés ;
  • En profiter pour changer aussi les mots de passe identiques ou similaires sur d’autres services ;
  • Utiliser des mots de passe uniques et solides (avec, pourquoi pas, un gestionnaire de mots de passe) ;
  • Activer la double authentification (2FA) partout où c’est possible ;
  • Activer les Passkeys quand c’est possible ;
  • Dans les semaines à venir, se méfier des emails, SMS ou appels suspects, même s’ils semblent crédibles ;
  • Ne jamais cliquer sur un lien ou télécharger une pièce jointe en cas de doute ;
  • Prévenir ses contacts si le piratage peut les concerner ;
  • Mettre à jour ses appareils et logiciels pour corriger d’éventuelles failles de sécurité ;
  • En cas de virements frauduleux, faire un signalement sur la plateforme Perceval.

Envie de rejoindre une communauté de passionnés ? Notre Discord vous accueille, c’est un lieu d’entraide et de passion autour de la tech.

Signaler une erreur dans le texte
Sources : 01net, Bonjourlafuite
Cassim Montilla

Journaliste - Chef de rubrique actualités

Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Recherche IA boostée par
Perplexity

Exemples de questions

  •  Quels sont les meilleurs smartphones en 2025 ?
  • Quelle est la taille d'écran du Pixel 10 Pro ?
  • Comment fonctionne une e-SIM ?
  • Quelles sont les différences entre une batterie LFP et NMC ?