Fuite de données : un des principaux tiers de confiance pour vérifier l’identité touché… il s’en rend compte avec un an et demi de retard

Une intrusion détectée tardivement a permis l’accès à des données personnelles chez Sumsub, acteur clé de la vérification d’identité, relançant les interrogations sur la sécurité des tiers de confiance numériques.

Une intrusion informatique passée inaperçue pendant près d’un an et demi vient d’être révélée chez l’un des acteurs majeurs de la vérification d’identité en France. La société Sumsub reconnaît qu’un attaquant a pu accéder à des données personnelles à la suite d’une faille exploitée dès l’été 2024.

Sumsub, plateforme spécialisée dans la vérification d’identité et la lutte contre la fraude, a confirmé avoir été victime d’un « incident de sécurité » survenu en juillet 2024. L’entreprise n’en a toutefois pris connaissance qu’en janvier 2026, à l’occasion d’un audit de sécurité interne. Sans ce contrôle, l’intrusion aurait pu rester indétectée plus longtemps encore.

Une compromission via un prestataire externe

Selon les éléments communiqués par Sumsub, l’attaque trouve son origine dans l’envoi d’une pièce jointe malveillante transitant par une plateforme tierce de gestion de tickets d’assistance. Ce vecteur a permis à l’attaquant d’obtenir un accès non autorisé à un environnement interne lié au support client, illustrant une nouvelle fois les risques liés à la compromission de prestataires externes.

Une fois infiltré, le pirate a pu consulter certaines données personnelles appartenant à des utilisateurs ayant eu recours aux services de Sumsub pour vérifier leur identité sur des plateformes clientes. Les informations concernées incluent notamment des noms, des adresses électroniques et des numéros de téléphone.

La société assure toutefois que les données les plus sensibles n’ont pas été touchées. Aucune information biométrique, image de document d’identité, donnée bancaire ou pièce officielle n’aurait été consultée, et aucune donnée considérée comme « à haut risque » n’aurait été compromise.

Des investigations toujours en cours

Dès la découverte de l’incident, Sumsub indique avoir fait appel à des experts indépendants en cybersécurité et informé directement les clients concernés. Les personnes dont les données ont été exposées ont également été contactées par le service client, tandis que l’enquête se poursuit pour déterminer l’étendue exacte de l’accès non autorisé.

Très largement utilisée par des acteurs du secteur financier, de la crypto-monnaie et des jeux d’argent, Sumsub fournit des solutions de vérification d’identité, de biométrie, de preuve d’adresse et de contrôle d’entreprises. Ces outils sont essentiels pour permettre aux banques, fintechs, plateformes crypto ou opérateurs de jeux de se conformer aux obligations européennes en matière de lutte contre la fraude et le blanchiment d’argent. Parmi les clients de la société figurent notamment Bitget, Bitpanda, Bybit, Huobi ou encore Wirex.

Pour le chercheur en cybersécurité Clément Domingo, cet incident pourrait raviver le débat sur la fiabilité des tiers chargés de vérifier l’identité des internautes, dans un contexte où la France envisage de renforcer les contrôles d’âge en ligne, notamment pour restreindre l’accès des réseaux sociaux aux moins de 15 ans.

Cette affaire s’inscrit dans un contexte plus large de recrudescence des cyberattaques avec vol de données en France. Ces dernières semaines, de nombreuses entreprises, plusieurs ministères et diverses entités publiques, y compris des services administratifs en ligne, ont été la cible d’intrusions informatiques.

