Fuite de données IDMerit : 53 millions de Français exposés

A lire aussi sur DPO PARTAGE

ReCyF : l’ANSSI publie son référentiel de cybersécurité pour anticiper la transposition de NIS 2 en France

Comment le vol de ces donnees permet d’acceder a n’importe quel compte sans jamais taper un seul mot de passe

Fuite du code source de Claude Code : quand une erreur de packaging expose 500 000 lignes de code chez Anthropic

Sommaire

La plupart des Français n’ont jamais entendu parler d’IDMerit. Pourtant, cette société californienne fondée en 2014, spécialisée dans la vérification d’identité numérique (KYC, pour Know Your Customer), traitait les données personnelles de dizaines de millions d’entre eux. Son rôle : fournir des outils de vérification d’identité en temps réel aux banques, fintechs, opérateurs télécoms et compagnies d’assurance du monde entier. Un travail réalisé dans l’ombre, en tant que sous-traitant technique, ce qui signifie que les personnes concernées n’ont probablement jamais eu de relation directe avec cette entreprise.

Le 18 février 2026, l’équipe de recherche en cybersécurité de Cybernews a révélé avoir découvert, dès le 11 novembre 2025, une base de données MongoDB appartenant à IDMerit, laissée totalement ouverte sur Internet, sans aucune authentification ni mot de passe. N’importe qui connaissant l’adresse IP du serveur pouvait consulter et télécharger l’intégralité des données. IDMerit a été alertée le 12 novembre et a sécurisé la base le jour même. Mais personne ne sait depuis combien de temps cette base était exposée, ni si des acteurs malveillants l’ont exploitée avant sa fermeture.

(Sources : Cybernews, 18 février 2026 ; Bright Defense, 23 février 2026)

L’ampleur des données exposées

Les chiffres donnent le vertige. La base contenait au total plus de 3 milliards d’enregistrements, répartis dans près d’un téraoctet de données. Sur ce volume, les chercheurs estiment qu’environ un milliard d’enregistrements contenaient des données personnelles sensibles, le reste étant constitué de journaux techniques et de métadonnées système.

La liste complète des données exposées

Voici les catégories de données personnelles qui se trouvaient dans la base non protégée :

Noms complets (prénom et nom de famille)
Adresses postales et codes postaux
Dates de naissance
Genre
Numéros d’identification nationale (numéro de sécurité sociale ou équivalent selon les pays)
Numéros de téléphone
Adresses e-mail
Métadonnées télécom (informations sur l’opérateur mobile, le réseau, etc.)
Statut de violation et annotations de profils sociaux (un indicateur dont la signification exacte reste à éclaircir, possiblement lié à l’apparition antérieure de la personne dans d’autres fuites de données)

Ce dernier point est particulièrement préoccupant : il suggère qu’IDMerit croisait ses données avec d’autres sources, y compris potentiellement des bases de données issues de violations précédentes, pour enrichir les profils des individus.

(Sources : Cybernews, 18 février 2026 ; SC Media, 18 février 2026 ; Bright Defense, 23 février 2026)

Les pays touchés : la France et l’Europe en première ligne

La fuite est véritablement mondiale, couvrant au moins 26 pays. Voici les pays les plus impactés en nombre d’enregistrements exposés :

Pays	Nombre d’enregistrements exposés
États-Unis	203 millions
Mexique	124 millions
Philippines	72 millions
Allemagne	61 millions
Italie	53 millions
France	53 millions

Des enregistrements concernant la Chine, le Brésil, le Canada et l’Australie figuraient également dans la base. Au total, trois nations européennes apparaissent dans le top 6 des pays les plus touchés, avec un cumul d’environ 167 millions d’enregistrements pour l’Allemagne, l’Italie et la France.

Pour la France, les 53 millions d’enregistrements (parfois arrondis à 52 millions dans la presse francophone) représentent potentiellement une très large part de la population adulte française. Comme le souligne le Journal du Geek, cela amène à s’interroger sérieusement sur les établissements financiers et fintechs français qui font appel aux services d’IDMerit, bien que la liste précise de ces clients ne soit pas publiquement connue.

(Sources : Cybernews, 18 février 2026 ; TechRadar, 19 février 2026 ; Journal du Geek, 22 février 2026 ; Tech Digest, 18 février 2026)

Ce n’est pas un piratage, c’est une négligence

Il est essentiel de distinguer cette affaire d’un piratage classique. Aucun hacker n’a exploité de vulnérabilité sophistiquée. Il s’agit d’une erreur de configuration : une instance MongoDB déployée sur Internet sans la moindre protection par mot de passe. Ce type de négligence survient généralement lorsque des environnements de test ou des sauvegardes sont mis en ligne sans que les mesures d’authentification soient activées.

Comme le résume l’expert en cybersécurité Benoit Grunemwald (ESET France) : ces données « permettent de qualifier des profils à destination d’opérations d’arnaques ou d’escroqueries d’une précision chirurgicale ». Il insiste sur le fait que les données sont propres, organisées et structurées, ce qui les rend directement exploitables par des cybercriminels, sans travail de nettoyage préalable.

(Sources : UnderNews, 20 février 2026 ; Tom’s Guide, 20 février 2026 ; Biometric Update, 20 février 2026)

Les risques concrets pour les citoyens français et européens

La nature des données exposées ouvre la porte à de multiples scénarios d’exploitation malveillante.

Usurpation d’identité. Avec un nom complet, une date de naissance, une adresse et un numéro d’identification nationale, un cybercriminel dispose de tout le nécessaire pour ouvrir des comptes frauduleux, contracter des crédits ou effectuer des démarches administratives au nom d’une victime.

Phishing ultra-ciblé. Les données structurées permettent de concevoir des campagnes d’hameçonnage personnalisées. Un message mentionnant votre véritable adresse, votre opérateur télécom et votre date de naissance sera infiniment plus convaincant qu’un spam générique.

SIM swapping (échange de carte SIM). Les métadonnées télécom (opérateur, réseau mobile) facilitent les attaques de type SIM swap, où un criminel prend le contrôle de votre numéro de téléphone pour intercepter les codes d’authentification à deux facteurs envoyés par SMS. Cette technique permet ensuite d’accéder aux comptes bancaires et services en ligne.

Fraude au crédit. Les données sont suffisamment complètes pour permettre des demandes de crédit frauduleuses auprès d’organismes financiers.

Risques à long terme. Contrairement à un mot de passe qu’on peut changer, les données KYC (nom, date de naissance, numéro de sécurité sociale) restent valides pendant des années, voire toute une vie. Les conséquences de cette fuite pourraient se manifester pendant très longtemps.

(Sources : Cybernews, 18 février 2026 ; Fincrime Central, 23 février 2026 ; Secuslice, 23 février 2026)

La particularité alarmante de cette fuite : vous ne saviez même pas qu’IDMerit avait vos données

Ce qui distingue fondamentalement cette fuite des violations habituelles, c’est le statut de sous-traitant d’IDMerit. Contrairement à une fuite chez Free, Auchan ou France Travail, où les victimes savent qu’elles sont clientes de l’organisme concerné, ici la plupart des personnes impactées n’ont jamais interagi directement avec IDMerit.

Les données ont été collectées par les clients d’IDMerit (banques, fintechs, opérateurs) et transmises à ce prestataire pour vérification. Les individus concernés ne peuvent donc pas facilement savoir s’ils figurent dans cette base. C’est un problème structurel majeur : les prestataires KYC tiers deviennent des points uniques de défaillance pour des industries entières. Une seule erreur de configuration chez un sous-traitant peut exposer les données personnelles de millions de personnes issues de dizaines d’entreprises clientes différentes.

(Sources : Bright Defense, 23 février 2026 ; Biometric Update, 20 février 2026 ; Fincrime Central, 23 février 2026)

La réponse d’IDMerit : du silence initial à une campagne de communication active

Dans les jours suivant la publication du rapport de Cybernews, IDMerit n’a publié aucune déclaration officielle reconnaissant la fuite. Plusieurs articles sont apparus sur le blog officiel d’IDMerit, vantant l’architecture « fail-safe » de l’entreprise et affirmant qu’aucune violation de données n’est possible avec leur système. Un article publié sur le site Technowize a même qualifié l’affaire de « fake news ».

Puis, à partir de la dernière semaine de février 2026, la stratégie a évolué. IDMerit a mandaté une responsable des relations presse, Hayley Williamson, pour contacter directement les médias ayant couvert l’affaire, y compris DPO PARTAGE. Le message reçu par notre rédaction demandait explicitement la mise à jour de notre article avec le communiqué officiel ci-dessous, tout en nous invitant à « envisager le retrait de l’article, compte tenu de ses allégations non étayées et de ses inexactitudes » (« We would also ask that you consider taking down the story, given its unsubstantiated allegations and inaccuracies »).

Par souci de transparence et d’équilibre éditorial, nous publions ci-dessous l’intégralité du communiqué d’IDMerit, attribué à « un porte-parole d’IDMERIT » :

« IDMERIT is a software-as-a-service company that provides identity verification technology. We own and operate our proprietary platform, but we do not own, control or store customer data or the underlying data maintained by independent data sources. Our platform connects to authorized data sources globally to verify individual identities on behalf of our customers. On November 11, IDMERIT was made aware by an ethical hacker that certain data ports associated with independent data sources could have been open, which had the potential to expose certain databases. Upon receiving this notification, we immediately conducted a comprehensive review of our software, security controls, configurations and system logs. That review identified no exposure, vulnerability or unauthorized access within the IDMERIT environment. IDMERIT’s systems and security infrastructure have never been compromised. At the same time, we notified all relevant data source partners and worked with them to assess the matter. Our partners conducted their own internal investigations and confirmed that there has never been a data breach or exfiltration from their systems during, before or after this event. We requested a security incident report from the ethical hackers as proof, and the response was a demand for money for the report, which confirmed our suspicion that this was a ransom-related incident. Based on our internal review and confirmations from our partners, we have no indication that any customer data has been compromised. We continue to maintain robust security safeguards on our systems and are taking these accusations very seriously as we continue to investigate this matter in coordination with our partners. »

Ce même communiqué, mot pour mot, a été intégré par Cybernews, TechRadar, Biometric Update et d’autres médias anglophones dans leurs articles respectifs au cours des jours suivants.

Notre analyse du communiqué d’IDMerit

En tant que DPO, plusieurs éléments de ce communiqué appellent une lecture attentive.

L’argument du « nous ne stockons pas les données ». IDMerit affirme ne pas posséder, contrôler ni stocker les données clients ou les données sous-jacentes des sources indépendantes. C’est un argument classique de déresponsabilisation technique. Or, les chercheurs de Cybernews ont documenté l’existence d’une base MongoDB contenant des données personnelles structurées, avec captures d’écran et échantillons à l’appui. Que la base ait été hébergée directement par IDMerit ou par l’un de ses partenaires via leur infrastructure ne change rien pour les personnes concernées : leurs données étaient accessibles sur Internet sans mot de passe.

L’accusation de tentative d’extorsion. IDMerit affirme avoir demandé un rapport d’incident de sécurité au chercheur éthique, et que celui-ci aurait réclamé de l’argent en échange. Cette affirmation mérite d’être notée, mais elle ne peut servir à elle seule à invalider l’existence de la fuite. Par ailleurs, il est courant dans l’industrie de la cybersécurité que les chercheurs travaillent dans le cadre de programmes de bug bounty rémunérés. La frontière entre « demande de paiement pour un rapport » et « programme de divulgation responsable rémunéré » peut être ténue et relève souvent d’une question de perspective.

L’absence de notification aux personnes concernées. Le communiqué ne fait aucune mention d’une quelconque notification aux autorités de protection des données (CNIL, DPA) ni aux personnes potentiellement affectées. L’article 33 du RGPD impose pourtant une notification à l’autorité compétente dans les 72 heures. Que l’entreprise conteste l’existence même de la fuite ne la dispense pas de ses obligations réglementaires dès lors qu’un risque a été identifié.

L’article BotCrawl recommandé par IDMerit. Dans sa démarche auprès des médias, IDMerit oriente les journalistes vers un article de BotCrawl comme étant « le plus proche de la réalité ». Cet article remet en cause la méthodologie d’attribution de Cybernews et soulève des questions légitimes sur la rigueur de l’enquête initiale. Il est vrai que l’attribution formelle d’une base de données exposée à une entreprise précise est un exercice délicat, et que Cybernews utilise des formulations du type « our team believes ». Toutefois, les doutes sur l’attribution ne suffisent pas à conclure à l’inexistence de la fuite : ils appellent plutôt à des investigations complémentaires indépendantes.

Ce qui reste inchangé pour les personnes concernées. Quelle que soit l’issue du débat entre IDMerit et Cybernews, les recommandations de prudence formulées dans cet article restent pleinement valables. Si une base de données contenant des informations d’identité de millions de Français a été exposée, même temporairement, le risque d’exploitation est réel et durable.

(Sources : communiqué IDMERIT reçu par DPO PARTAGE le 27 février 2026 ; Cybernews, mise à jour du 26 février 2026 ; TechRadar, mise à jour du 26 février 2026 ; Biometric Update, 26 février 2026 ; BotCrawl, 23 février 2026)

Quelles obligations au regard du RGPD ?

Pour les Français et les Européens, cette affaire soulève des questions majeures au regard du Règlement Général sur la Protection des Données (RGPD).

Obligation de notification. L’article 33 du RGPD impose au responsable de traitement de notifier l’autorité de contrôle compétente (la CNIL en France) dans les 72 heures suivant la prise de connaissance d’une violation de données présentant un risque pour les droits et libertés des personnes. L’article 34 impose par ailleurs d’informer directement les personnes concernées lorsque le risque est élevé. Avec des données d’identification nationale et des coordonnées complètes exposées, le risque est indiscutablement élevé.

Qui est responsable ? La chaîne de responsabilité est complexe. IDMerit agit en tant que sous-traitant pour le compte de ses clients (banques, fintechs), qui sont eux-mêmes responsables de traitement au sens du RGPD. Ces responsables de traitement ont l’obligation de s’assurer que leurs sous-traitants offrent des garanties suffisantes en matière de sécurité. La question de savoir si les clients européens d’IDMerit ont effectué les vérifications nécessaires (audits, clauses contractuelles) se pose avec acuité.

Transferts de données hors UE. IDMerit étant basée en Californie, le transfert de données personnelles de citoyens européens vers les États-Unis devait être encadré par des garanties appropriées. La légalité de ces transferts pourrait être remise en question.

Réaction des autorités. Au 25 février 2026, ni la CNIL, ni aucune autre autorité européenne de protection des données n’a publié de déclaration concernant cette fuite. Aucune enquête officielle n’a été annoncée, bien que des investigations pourraient être en cours de manière confidentielle. La CNIL a rappelé ses procédures générales : en cas de violation transfrontalière, elle se charge d’informer les autres autorités européennes concernées.

(Sources : CNIL ; Bright Defense, 23 février 2026 ; Fincrime Central, 23 février 2026)

Un avertissement pour le portefeuille d’identité européen (EUDI Wallet)

Cette fuite intervient à un moment critique pour l’Europe. Le règlement eIDAS 2.0 prévoit que d’ici fin 2026, chaque citoyen européen pourra disposer d’un portefeuille d’identité numérique (EUDI Wallet) qui centralisera papiers d’identité, diplômes et servira de sésame pour accéder aux services publics et privés. Le parallèle avec l’affaire IDMerit est saisissant : si un sous-traitant privé peut, par simple négligence, exposer un milliard de fichiers d’identité, quelles garanties existent pour un système ambitionnant de couvrir 450 millions d’Européens ?

L’incident rappelle que la centralisation des données d’identité crée mécaniquement des cibles de valeur considérable pour les cybercriminels. La sécurité de ces systèmes ne peut pas reposer uniquement sur des promesses technologiques ; elle nécessite des audits indépendants réguliers, des normes contraignantes pour les prestataires tiers et des sanctions dissuasives en cas de négligence.

(Source : Le Média en 442, 24 février 2026)

IDMerit en chiffres : un petit acteur, un impact démesuré

IDMerit est une entreprise de taille modeste. Selon les analyses disponibles, elle emploie entre 25 et 50 personnes et réalise un chiffre d’affaires annuel d’environ 2,9 millions de dollars. Ce décalage entre la taille de l’entreprise et le volume de données qu’elle manipule illustre un problème systémique : des acteurs de petite envergure peuvent se retrouver en charge d’infrastructures critiques de données, sans nécessairement disposer des moyens ou de la rigueur nécessaires pour assurer une sécurité à la hauteur des enjeux.

À ce jour, aucune poursuite judiciaire ni amende réglementaire n’a été rendue publique. Cependant, les entreprises clientes d’IDMerit pourraient engager des actions si leurs propres clients subissent des préjudices liés à cette exposition.

(Source : Bright Defense, 23 février 2026 ; Happier IT, 19 février 2026)

Chronologie de l’affaire

11 novembre 2025 : les chercheurs de Cybernews découvrent l’instance MongoDB non protégée
12 novembre 2025 : IDMerit est alertée et sécurise la base le jour même
18 février 2026 : Cybernews publie son rapport d’enquête
19 février 2026 : Forbes confirme l’incident
20 février 2026 : Biometric Update, TechRadar, Tom’s Guide et SC Media relaient l’information
22 février 2026 : la presse francophone (Journal du Geek, UnderNews) couvre l’affaire
25 février 2026 : aucune déclaration officielle d’IDMerit, aucune réaction publique des autorités de protection des données

Que faire si vous pensez être concerné ?

En l’absence de notification officielle, voici les mesures de précaution recommandées par les experts en cybersécurité :

Surveillez vos comptes bancaires et vos relevés de crédit. Soyez attentif à toute activité inhabituelle ou à l’ouverture de comptes que vous n’avez pas sollicités.
Renforcez votre authentification. Privilégiez une application d’authentification (type Google Authenticator, Authy) ou une clé de sécurité physique plutôt que l’authentification par SMS, qui est vulnérable aux attaques par SIM swap.
Méfiez-vous des sollicitations non attendues. Si un interlocuteur vous contacte en connaissant déjà vos informations personnelles (adresse, date de naissance, opérateur), raccrochez et rappelez via un numéro trouvé dans l’application ou le site officiel de l’organisme.
Consultez le site cybermalveillance.gouv.fr pour signaler tout incident et obtenir de l’assistance.
Déposez plainte si vous êtes victime d’usurpation d’identité ou de fraude. Vous pouvez également signaler une violation de vos droits auprès de la CNIL.