55logo mikael le bot avocat

Fuite de données chez Sumsub : quand les gardiens de l’identité deviennent la porte d’entrée vers la fraude massive

  • Droit bancaire

Une brèche de sécurité aux conséquences potentiellement dévastatrices

Début février 2026, Sumsub, l’un des principaux acteurs mondiaux de la vérification d’identité en ligne, a révélé avoir été victime d’une cyberattaque datant de juillet 2024. Cette intrusion, passée inaperçue pendant 18 mois, n’a été détectée qu’en janvier 2026 lors d’un audit de sécurité approfondi. L’attaquant a exploité une pièce jointe malveillante envoyée via une plateforme de gestion de tickets d’assistance tierce pour obtenir un accès non autorisé à un environnement interne lié au support client.

Si l’entreprise affirme qu’aucune pièce d’identité, donnée biométrique ou information bancaire n’a fuité, des données personnelles sensibles ont été exposées : noms complets, adresses e-mail et numéros de téléphone d’un nombre encore indéterminé de clients. Pour l’instant, la portée exacte de cette fuite et le nombre de personnes impactées restent flous.

Cette fuite pourrait toucher les utilisateurs de nombreuses plateformes d’échange de cryptomonnaies qui font appel aux services de Sumsub pour leurs vérifications KYC (Know Your Customer), notamment Bitget, Bybit, MoonPay, Bitpanda, Wirex, BingX, MEXC, Huobi et Coinlist. Sumsub revendique plus de 4 000 clients à travers le monde et ses solutions s’adressent à un large spectre d’acteurs : néobanques, plateformes crypto, courtiers en ligne, et plateformes de jeux d’argent.

visuel 1 chronologie

Un problème systémique : le maillon faible de la chaîne KYC

Cette affaire met en lumière une vulnérabilité structurelle du système KYC. Les vérifications Know Your Customer, bien que souvent critiquées pour la collecte massive de données qu’elles engendrent, ne peuvent pas être effectuées par les plateformes elles-mêmes, mais doivent obligatoirement passer par des fournisseurs tiers agréés. Cette contrainte légale crée un paradoxe dangereux : non seulement elle déporte un risque sur lequel les exchanges n’ont plus aucune maîtrise, mais surtout, en cas de problème, plusieurs acteurs de l’écosystème peuvent être simultanément impactés s’ils partagent un même prestataire.

En concentrant ainsi des volumes considérables de données sensibles, les prestataires comme Sumsub deviennent des cibles de choix pour les cybercriminels à la recherche de profils complets à revendre ou à exploiter dans des fraudes sophistiquées. Le secteur avait déjà été alerté en 2025 lors d’un incident impliquant un intégrateur tiers, soulignant la sensibilité des configurations d’API et l’exposition croissante aux attaques complexes mêlant vulnérabilités techniques et exploitation de tiers.

L’usurpation d’identité : un fléau en pleine explosion

Ce qui rend cette fuite particulièrement alarmante, c’est qu’elle intervient dans un contexte où l’usurpation d’identité connaît une explosion sans précédent en France. Les chiffres sont édifiants et témoignent d’une crise majeure :

L’ampleur du phénomène :

  • Au moins 200 000 personnes sont victimes d’usurpation d’identité chaque année en France
  • Selon l’Observatoire SécuriNum, plus de 320 000 déclarations d’usurpation ont été enregistrées l’an dernier, soit une hausse de 38% par rapport à 2023
  • Entre le 1er et le 31 janvier 2026 seulement, plus de 90 millions de comptes ont vu leurs données fuiter à la suite de divers incidents de sécurité

Le coût financier :

  • Les préjudices sont considérables : 19 000 euros en moyenne pour les crédits frauduleux
  • Au total, les escroqueries bancaires et financières représenteraient au moins 500 millions d’euros par an
  • La fraude par manipulation (dont la fraude au faux conseiller bancaire) représente environ 40% de la valeur totale de la fraude au premier semestre 2025, contre 32% en 2023-2024
visuel 2 statistiques

Des données « peu sensibles » ? Un dangereux raccourci

Sumsub se veut rassurant en affirmant qu’aucune « donnée personnelle à haut risque » n’a été compromise. Pourtant, cette analyse minimise dangereusement les risques réels. Même sans accès aux documents d’identité complets, l’association d’un nom, d’un contact et d’un service financier peut suffire à nourrir des campagnes de phishing ciblé et d’usurpation d’identité redoutablement efficaces.

Les techniques d’exploitation des données volées :

  1. Le phishing ultra-ciblé : Connaissant le nom complet d’une personne, son adresse e-mail et le fait qu’elle possède un compte sur une plateforme crypto spécifique, les fraudeurs peuvent concevoir des e-mails de hameçonnage extrêmement crédibles usurpant l’identité de la plateforme en question.
  2. Les attaques par SIM swap : Un numéro de téléphone exposé peut être la cible d’une attaque de SIM swap, permettant aux criminels de récupérer les codes de validation à deux facteurs et de prendre le contrôle des comptes bancaires et crypto.
  3. La reconstitution de profils : Le véritable danger réside dans la possibilité pour les acteurs malveillants de croiser différentes bases de données compromises. Comme le souligne l’article de Cryptoast, « il serait possible de se procurer différentes bases de données compromises liées à la cryptomonnaie pour créer une cartographie précise d’investisseurs fortunés, grâce à de nombreuses informations personnelles glanées depuis plusieurs sources. »
  4. La fraude au faux conseiller bancaire : Armés d’informations personnelles précises, les fraudeurs peuvent usurper l’identité de conseillers bancaires avec une crédibilité décuplée. Cette forme de fraude a connu une explosion, passant de 32% à 40% de la fraude totale en valeur.
visuel 3 schema exploitation
visuel 3 schema exploitation

L’arsenal moderne de l’usurpation d’identité

Avec les données volées, les possibilités de fraude sont multiples et dévastatrices. En récupérant l’ensemble des données personnelles et les informations de contact, il devient possible pour les criminels de :

  • Ouvrir des crédits immobiliers frauduleux au nom des victimes
  • Souscrire des crédits à la consommation sans que la victime ne s’en aperçoive immédiatement
  • Créer des entreprises fictives pour blanchir de l’argent ou commettre d’autres délits
  • Détourner des virements en usurpant l’identité de fournisseurs légitimes
  • Réaliser des fraudes à la carte Vitale ou produire de faux avis d’imposition

Les fraudeurs se sont professionnalisés. Organisés en micro-équipes qui recrutent sur Telegram ou Discord, ils rassemblent, croisent et assemblent des fragments de vie numérique jusqu’à reconstituer une identité parfaitement exploitable. L’intelligence artificielle rend ces attaques encore plus crédibles, comme le souligne la Banque de France dans ses priorités pour 2025-2026.

Un risque aggravé dans l’écosystème crypto

Pour l’écosystème des cryptomonnaies, les risques sont encore plus préoccupants. Depuis le début de l’année 2025, on observe une montée alarmante des « crypto-kidnappings » : des individus identifiés par leur patrimoine numérique sont enlevés et/ou agressés dans le but d’extorquer leurs cryptomonnaies. Les malfaiteurs s’attaquent même parfois à des membres de leur famille.

Comme en témoigne un récent fait divers rapporté par Cryptoast : « On a ton père, c’est pour la crypto » – le fils d’un otage séquestré en Isère a témoigné en exclusivité de cette nouvelle forme de criminalité directement liée aux fuites de données dans le secteur crypto.

La fuite chez Sumsub offre justement aux criminels ce dont ils ont besoin : la confirmation que certaines personnes possèdent des cryptomonnaies, associée à leurs coordonnées. C’est une cartographie rêvée pour cibler des victimes potentiellement fortunées.

Une tendance alarmante : la multiplication des fuites

L’incident chez Sumsub n’est malheureusement pas isolé. Les fuites de données sont devenues monnaie courante en France, et chaque jour apporte de nouveaux exemples :

  • O’Tacos : 29 millions de profils clients compromis en janvier 2026
  • Panorama Banques : 2,3 millions de profils exposés
  • Fédération Française de Volley : environ 1,2 million de comptes touchés
  • URSSAF : près de 12 millions de données compromises
  • Assemblée nationale : données personnelles de députés et agents diffusées
  • Plusieurs ministères et portails de services publics piratés ces dernières semaines

Ces fuites peuvent être causées par une sécurité insuffisante des bases de données, mais la menace peut aussi venir de l’intérieur : plusieurs cas révèlent que certains employés malveillants vendent les données ou les profils de personnes ciblées à des réseaux criminels.

Le paradoxe des réglementations KYC

Le plus absurde dans cette situation est que les mesures d’identification KYC, censées lutter contre le blanchiment d’argent et le financement du terrorisme, créent en réalité de nouvelles vulnérabilités. En contraignant les plateformes d’échange et les services en ligne à stocker des données sensibles (identités, adresses, soldes, etc.), les régulateurs ont involontairement créé des cibles de choix pour les criminels.

Lorsque ces bases sont compromises – ce qui devient de plus en plus fréquent – les conséquences dépassent largement la simple usurpation d’identité. Ces mesures s’avèrent même souvent inefficaces face à la fraude, qui est fréquemment opérée via des comptes volés ou des prête-noms.

Comme le souligne un chercheur en cybersécurité sur Twitter suite à l’incident Sumsub : « Voilà qui va relancer le débat autour de l’interdiction des réseaux sociaux aux moins de 15 ans, avec ce tiers de confiance français… » L’ironie est cruelle : les entreprises censées garantir notre identité numérique deviennent elles-mêmes des points de défaillance majeurs.

Les actions de prévention : trop peu, trop tard ?

Face à cette situation alarmante, les autorités multiplient les initiatives. L’Observatoire de la sécurité des moyens de paiement (OSMP) de la Banque de France a fait de la lutte contre l’usurpation d’identité sur les réseaux de communication un axe de travail prioritaire pour 2025-2026.

Les mesures en cours ou prévues :

  1. Renforcement de l’authentification : Déploiement du mécanisme d’authentification des numéros (MAN) fin 2024/début 2025 pour certifier le numéro présenté lors de la réception d’un appel téléphonique
  2. Vérification IBAN : Mise en œuvre de la vérification de la cohérence entre l’IBAN et le nom du bénéficiaire du virement (octobre 2025) pour lutter contre les usurpations d’IBAN
  3. Sécurisation des paiements à distance : Plan d’action pour sécuriser les paiements par carte à distance hors 3-D Secure (paiements MOTO)
  4. Solutions d’identité numérique : Action commune avec le secteur numérique et des télécommunications
  5. Blocage des numéros frauduleux : Mobilisation des opérateurs télécoms pour bloquer les appels émis depuis des numéros identifiés comme destinés uniquement à recevoir des appels
  6. Surveillance de l’IA : Veille accrue sur l’utilisation de l’intelligence artificielle et son impact sur la fraude

Les recommandations essentielles :

Malgré ces mesures techniques, la vigilance des utilisateurs reste indispensable. Denis Beau, Sous-gouverneur de la Banque de France et Président de l’OSMP, le rappelle : « Le renforcement des technologies assurant la sécurité des paiements et la mise en place de mécanismes de lutte contre les usurpations d’identité dans les réseaux de communication sont deux piliers sur lesquels les progrès réalisés sont importants ; mais la vigilance des utilisateurs demeure indispensable. »

Les trois règles d’or à respecter :

  1. Au téléphone : Ne jamais communiquer ses identifiants bancaires ni faire valider des opérations sous le contrôle d’un prétendu conseiller. Un vrai conseiller bancaire n’a jamais besoin de demander ces informations.
  2. Par SMS : Une banque ou un service public n’envoie jamais de message depuis une ligne mobile (06 ou 07). Raccrocher le plus rapidement possible en cas d’appel d’un professionnel dont le numéro n’est pas connu.
  3. Sur Internet : Ne jamais utiliser les liens contenus dans des e-mails, SMS ou publicités pour accéder à un site. Toujours se rendre sur les sites en tapant directement l’adresse ou en utilisant un lien issu d’une source fiable.
visuel 4 regles or

Que faire si vous êtes victime ?

En cas d’usurpation d’identité avérée ou suspectée, voici les démarches à suivre immédiatement :

  1. Porter plainte : Se rendre dans n’importe quel commissariat ou gendarmerie. Un récépissé de plainte est indispensable pour déclencher les protections bancaires. La plainte peut également être déposée via le téléservice StopFraude en ligne.
  2. Contacter sa banque : Demander la mise sous surveillance renforcée du compte. Certaines banques activent une « clause fraude » qui gèle les transactions suspectes.
  3. Alerter son assureur : Vérifier si votre assurance couvre l’usurpation d’identité.
  4. Signaler aux administrations : Impôts, CPAM, CAF – prévenir pour éviter les remboursements ou prélèvements indus. Les comptes FranceConnect bénéficient d’un verrouillage temporaire sur demande.
  5. Ne pas négliger l’aspect psychologique : Le stress d’une usurpation peut être très important. Certaines mutuelles incluent des séances de soutien psychologique.

Un avenir incertain pour la sécurité numérique

L’affaire Sumsub souligne une réalité inquiétante : même les gardiens de l’identité numérique ne sont pas à l’abri des failles de leurs propres sous-traitants. Le délai de détection de 18 mois pose des questions essentielles sur la réactivité des systèmes de surveillance et la surveillance continue des accès.

Cette situation illustre parfaitement la vulnérabilité croissante des chaînes d’approvisionnement logicielles. Ironiquement, cet incident survient alors que Sumsub venait de publier son rapport annuel soulignant une hausse de 180% de la fraude sophistiquée en 2025.

Pour les utilisateurs de plateformes crypto ayant utilisé Sumsub pour leur vérification KYC, la vigilance s’impose plus que jamais. Il est recommandé de :

  • Être particulièrement attentif aux tentatives de phishing ciblé
  • Activer l’authentification à deux facteurs sur tous les comptes
  • Surveiller attentivement ses comptes bancaires et crypto
  • Ne jamais répondre aux sollicitations non sollicitées
  • Considérer le changement de numéro de téléphone et d’adresse e-mail si possible

L’augmentation des fuites de données met en lumière les limites des dispositifs actuels de lutte contre le blanchiment. En créant des réservoirs massifs de données personnelles sensibles, le système KYC a involontairement créé une infrastructure de risque qui profite aux criminels organisés de plus en plus sophistiqués.

Tant que cette contradiction fondamentale ne sera pas résolue, les incidents comme celui de Sumsub continueront de se multiplier, transformant les « tiers de confiance » en vulnérabilités de confiance. Dans ce contexte, la question n’est plus de savoir si vos données seront un jour compromises, mais quand – et surtout, comment vous protéger lorsque cela arrivera inévitablement.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

fraude carte bancaire 2

Authentification forte : stricte charge de la preuve en matière de fraude bancaire – CA Reims, Chambre 1 civile et commerciale, 18 novembre 2025, n° 24/01347

La Cour d’appel de Reims, par un arrêt rendu le 18 novembre 2025, a statué sur un litige opposant la S.A. Banque Populaire Alsace Lorraine ...

assets task 01jx05vcemetna0vzmvyjsc7ad 1749131663 img 0

Clause de déchéance du terme abusive : saisie immobilière évitée !

Face à une procédure de saisie immobilière, le sentiment d’impuissance est souvent total. C’est le défi qu’a relevé notre cabinet pour Madame X, dont la ...

preuve information annuelle de la caution

Information annuelle de la caution : la cour de cassation impose la vérification nominative des listings d’envoi pour prouver l’obligation (cass. Com., 18 juin 2025, n° 23-14.713)

L’obligation annuelle d’information des cautions, historiquement codifiée à l’article L. 313-22 du Code monétaire et financier (CMF) (dans sa version alors applicable), est une pierre ...