Fuite IDmerit : 3 milliards de données d'identification exposées sur un serveur non sécurisé
L'exposition massive d'un téraoctet de données par IDmerit, géant du KYC par IA, fragilise les ambitions européennes d'identité numérique. Alors que les gouvernements imposent de prouver son identité en ligne, la centralisation des données crée des "pots de miel" critiques pour le cybercrime.
Anatomie d'un désastre : 1 To de données PII en libre-service
Le 19 février 2026, des chercheurs en cybersécurité ont révélé la découverte d'une base de données MongoDB appartenant à la société IDmerit, leader mondial des solutions de vérification d'identité (KYC - Know Your Customer). L'instance, totalement dépourvue de mot de passe ou de mécanisme d'authentification, était accessible depuis n'importe quel navigateur web.
Le volume de l'exposition est vertigineux :
Volume total : Environ 1 téraoctet (To) de données brutes.
Nombre de dossiers : Plus de 3 milliards d'enregistrements, dont au moins 1 milliard de profils uniques hautement sensibles.
Couverture géographique : 26 pays touchés, avec des pics critiques aux États-Unis (203 millions de dossiers), au Mexique (124 millions) et en Allemagne (60 millions).
Cette fuite ne concerne pas de simples identifiants de connexion, mais les fondations mêmes de l'identité civile des utilisateurs, collectées pour satisfaire aux exigences réglementaires anti-blanchiment (AML) et de vérification d'âge.
Données compromises : le kit complet de l'usurpateur
Contrairement aux fuites classiques de sites e-commerce, le contenu de la base IDmerit permet une industrialisation de l'usurpation d'identité. Les données exposées incluent :
Identité civile : Noms complets, dates de naissance, genres.
Coordonnées : Adresses postales, codes postaux, adresses e-mail.
Identifiants étatiques : Numéros de cartes d'identité nationales et de passeports.
Métadonnées télécoms : Informations sur les opérateurs et numéros de téléphone (facilitant les attaques de type SIM swapping).
Annotations de profil : Statuts de précédentes fuites et profils sociaux agrégés par l'IA d'IDmerit.
Le paradoxe de la "Sécurité par l'Identité"
Cet incident survient au moment même où la France et l'Union européenne accélèrent le déploiement de l'identité numérique obligatoire. Entre la loi SREN (sécurisation de l'espace numérique) et le règlement eIDAS 2.0, l'utilisateur est de plus en plus sommé de "montrer patte blanche" pour accéder à des services basiques (réseaux sociaux, sites de contenus pour adultes, plateformes de vente).
Le problème est structurel : pour obéir à la loi, les entreprises délèguent cette vérification à des tiers comme IDmerit. Ces intermédiaires deviennent des cibles prioritaires, concentrant des richesses informationnelles sans précédent. En 2026, alors que l'application France Identité devient un standard pour les voyages nationaux, la sécurité d'un serveur MongoDB mal configuré suffit à réduire à néant des années de discours sur la souveraineté numérique.
Avis de la Rédac
C'est l'arroseur arrosé, version 2.0. On nous explique doctement que pour "assainir" Internet, il faut que chaque citoyen décline son identité complète au moindre clic. Mais pendant que les régulateurs peaufinent leurs sanctions contre l'anonymat, les champions de la "confiance numérique" oublient de mettre un verrou sur leur porte d'entrée. Exiger l'identité des utilisateurs sans garantir l'infaillibilité des coffres-forts privés n'est pas une mesure de sécurité, c'est une distribution gratuite de clés de rechange pour les fraudeurs du monde entier. La souveraineté numérique ne se décrète pas à coups de QR codes, elle se construit sur une infrastructure qui n'aurait jamais dû centraliser autant de pouvoir dans les mains d'un seul prestataire.