22/02/2026
🔐 Fuite massive de données : jusqu’à 1 milliard d’informations personnelles exposées
Une enquête récente a révélé qu’une base de données très sensible exploitée par l’entreprise américaine IDMerit, spécialisée dans les processus de vérification d’identité (KYC, Know Your Customer), a été accidentellement laissée ouverte et accessible sans protection sur Internet.
Cette importante fuite a été mise au jour par des chercheurs en cybersécurité du média Cybernews le 11 novembre 2025 et rendue publique en février 2026.
🧠 Qu’est-ce que IDMerit et le KYC ?
Le KYC (connaissance du client) désigne un ensemble de procédures utilisées par les banques, fintechs, plateformes de crypto, assurances, opérateurs télécom ou de jeux en ligne pour vérifier l’identité d’un utilisateur avant de lui fournir un service.
IDMerit fonctionne en tant que prestataire tiers, souvent en toute transparence(le nom du prestataire n’apparaît pas à l’utilisateur), fournissant des solutions automatisées de vérification d’identité
📊Volume et étendue de la fuite
Selon les informations disponibles :
🧾 Une base de données MongoDB laissée ouverte sans mot de passe ni protection, stockant plus de 1 To de données.
📊 Environ 1 milliard d’enregistrements contenant des données personnelles sensibles.
🌍 Les données proviennent de au moins 26 pays, notamment des États-Unis, du Mexique, des Philippines, d’Allemagne, d’Italie et de France (avec 52 millions d’enregistrements français).
🇺🇸 Aux États-Unis, plus de 200 millions de données auraient été exposées.
Le nombre d’individus concernés peut être inférieur à 1 milliard si certaines personnes apparaissent plusieurs fois dans la base, mais cela reste un volume alarmant, bien supérieur à ce que les grandes violations observées précédemment ont montré.
🧾 Types de données exposées
La nature des informations rend cette fuite particulièrement dangereuse :
📛 Noms et prénoms
🏠 Adresses complètes
📞 Numéros de téléphone
📧 Adresses e-mail
🪪 Numéros de pièces d’identité, dates de naissance
🧠 Métadonnées téléphoniques ou autres annotations de profil social
📸 Possiblement des copies de pièces d’identité dans certains cas
Ces données sont précisément celles qui permettent de vérifier l’identité d’une personne et sont souvent difficiles ou impossibles à modifier une fois exposées.
💥 Pourquoi c’est grave : les risques liés à la fuite
Même si aucune preuve d’exploitation malveillante n’a encore été rendue publique, les conséquences potentielles sont nombreuses :
🔓 Usurpation d’identité
Les pirates peuvent utiliser ces données pour ouvrir des comptes bancaires, souscrire des services ou commettre des fraudes ciblées.
🎣 Phishing et harponnage
Avec des informations très personnelles, des campagnes d’hameçonnage deviennent extrêmement convaincantes.
📱 Fraude SIM Swap
Les numéros de téléphone exposés facilitent la prise de contrôle de comptes via des attaques par transfert de SIM.
💳 Fraude financière
Les numéros de pièces, dates de naissance et adresses peuvent servir à contourner des systèmes de sécurité ou à valider des transactions frauduleuses.
🌐 L’ouverture d’une base = pas de piratage visible, mais toujours un risque réel
Ce cas ne provient pas d’un « piratage sophistiqué » via intrusion directe. Il s’agit plutôt d’une mauvaise configuration serveur : la base MongoDB était simplement accessible sans mot de passe, comme si la porte était laissée ouverte.
Cependant, des bots automatisés et des scanners parcourent en permanence Internet pour détecter ce genre de configuration, ce qui signifie que des copies ou des explorations malveillantes peuvent avoir eu lieu en quelques minutes seulement avant sa fermeture.
🧑🤝🧑 Les conséquences pour les utilisateurs burkinabè
L’enquête ne mentionne pas explicitement le Burkina Faso parmi les pays affectés. Toutefois :
Les plateformes internationales comme crytomonnaies ou de pari en ligne, très utilisées par des Burkinabè, effectuent des vérifications KYC.
Si ces plateformes utilisent (directement ou via des sous-traitants) des services de KYC connectés à IDMerit, les données de leurs utilisateurs pourraient avoir été partiellement concernées.
Il n’existe à ce jour aucune confirmation publique que les données des Burkinabè ont été exposées, mais le risque n’est pas à exclure, surtout pour les utilisateurs de services internationaux qui demandent des pièces d’identité.
🛡️ Mesures de protection recommandées
Si vous pensez faire partie des personnes potentiellement concernées :
🔑 Sécurisez vos comptes
Activez la double authentification (2FA) sur vos comptes (crypto, banque, e-mail, etc.).
Préférez les applications d’authentification plutôt que les SMS.
📞 Protégez votre numéro de téléphone
Demandez à votre opérateur une protection renforcée contre les changements de SIM.
🧑💻 Surveillez vos activités
Soyez vigilant face aux e-mails ou SMS très ciblés.
Changez vos mots de passe régulièrement.
🧠 Surveillance d’identité
Utilisez des services qui signalent si vos données personnelles apparaissent dans des fuites.
La fuite de données liée à IDMerit pourrait être l’une des plus importantes de ces dernières années, en raison du volume et de la nature des informations exposées, potentiellement plus sensibles qu’un simple identifiant ou adresse e-mail.
Même si aucune preuve d’exploitation par des cybercriminels n’a encore été révélée, les risques sont considérables, et les utilisateurs — notamment ceux utilisant des plateformes internationales de crypto et paris — doivent être particulièrement vigilants.
Auteur: Moctar Compaore
Président de l'APCEN
source: Cybernews, assistance à la rédaction ; ChatGPT
image : 26 pays seraient concernés par cet ensemble de bases de données – crédit Cybernews
