Les rapports d'accès non autorisé chez Onfido soulèvent des inquiétudes quant à la sécurité des données KYC

Les entreprises utilisent l'identitévérifie tous les jours pour confirmerqui sont leurs clients. Beaucoup d’entre eux font confiance à des sociétés extérieures pour s’occuper de ce travail. L'une de ces sociétés est Onfido, qui fait désormais partie d'Entrust. Aujourd’hui, des rapports faisant état d’accès non autorisés impliquant Onfido ont suscité de nouvelles inquiétudes quant à la manière dont les entreprises protègent les informations sensibles des clients.

Seuls quelques détails sont devenus publics jusqu’à présent. Des rapports en ligne affirment que quelqu'un aurait pu accéder à des documents d'identité et à des selfies faciaux que les clients ont téléchargés lors des contrôles d'identité. Les rapports indiquent également que la société fintech française Spiko a informé certains utilisateurs concernés environ dix mois après avoir découvert l'incident.

Au moment de la rédaction de cet article, ni Entrust ni Spiko n'ont partagé d'informations publiques détaillées expliquant exactement ce qui s'est passé ou combien de personnes ont pu être touchées. De ce fait, de nombreuses questions restent sans réponse. Pourtant, les experts en cybersécurité et en confidentialité affirment que cette affaire met en lumière un problème beaucoup plus vaste qui dépasse le cadre d’une seule entreprise.

Les entreprises stockent certaines des informations les plus sensibles des personnes

Les fournisseurs de vérification d’identité jouent un rôle important dans le monde en ligne d’aujourd’hui. Les banques, les bourses de crypto-monnaie, les sociétés de technologie financière, les boutiques en ligne et de nombreuses autres entreprises utilisent ces sociétés pour confirmer l'identité des clients. Pour effectuer ces contrôles, les clients téléchargent souvent leurs passeports, leurs cartes d’identité nationales, leurs permis de conduire, leurs justificatifs de domicile et leurs selfies faciaux.

Cela signifie que ces fournisseurs détiennent d’énormes collections d’informations personnelles hautement sensibles. Cela en fait également des cibles attractives pour les cybercriminels. Contrairement aux mots de passe, les gens ne peuvent pas simplement remplacer leur visage ou de nombreux documents d'identité délivrés par le gouvernement après avoir été exposés. Une image de passeport volée ou un selfie de vérification faciale pourrait rester utile aux criminels pendant de nombreuses années.

C’est l’une des raisons pour lesquelles les experts en matière de confidentialité continuent de mettre en garde contre la protection des données d’identité. L'incident signalé survient alors qu'Entrust continue d'ajouter Onfido à son activité après avoir acquis la société de vérification d'identité plus tôt cette année.

Entrust a étendu ses services de sécurité des identités en combinant la technologie d'Onfido avec ses propres produits. Même si les enquêteurs n'ont pas confirmé de nombreux détails sur l'incident signalé, l'affaire a relancé le débat public sur la manière dont les prestataires de vérification d'identité protègent les dossiers des clients.

Les experts en matière de confidentialité continuent de mettre en garde contre les systèmes KYC centralisés

L’incident signalé survient également alors que de plus en plus d’entreprises et de gouvernements étendent les contrôles d’identité numérique. De nombreux services financiers, plateformes en ligne et systèmes de vérification de l'âge s'appuient désormais sur des fournisseurs tiers pour vérifier les clients. Les défenseurs de la vie privée s’inquiètent de cette approche depuis des années.

Ils affirment que le fait de placer des millions de documents d’identité au sein d’un petit nombre d’entreprises crée des cibles précieuses pour les attaquants. Même lorsque les entreprises utilisent des mesures de sécurité strictes, le fait de stocker autant d’informations au même endroit augmente l’impact possible en cas d’incident.

Le débat sur la confidentialité numérique est mondial.La Chine renforce les contrôles sur l'accès à Internet, y compris une répression de l'utilisation non autorisée de VPN.

Un seul événement de sécurité pourrait révéler des informations appartenant à plusieurs personnes à la fois. Entrust a également abordé ce problème croissant dans son rapport 2026 sur la fraude à l'identité.

Selon Entrust, les attaques d’identité deviennent de plus en plus avancées chaque année. La société a déclaré que les criminels utilisent désormais davantage de deepfakes générés par l’IA, de tentatives de fraude biométrique et d’autres attaques basées sur l’identité. Entrust estime que les organisations ne devraient pas se fier uniquement à un seul contrôle d’identité. Au lieu de cela, l’entreprise affirme que les entreprises devraient protéger l’identité des clients tout au long de la relation.

L’incident Onfido signalé reflète également une tendance plus large dans le secteur de la vérification d’identité. Plusieurs fournisseurs ont divulgué des incidents de sécurité ou des cas d’exposition de données ces dernières années.

Ces événements ont conduit à accorder une plus grande attention à la manière dont les fournisseurs KYC collectent, stockent et protègent les informations des clients. Les chercheurs continuent également d’avertir que les sociétés de vérification d’identité gèrent certaines des informations les plus sensibles du monde numérique.

La majorité de ces fournisseurs stockent des documents d'identité délivrés par le gouvernement ainsi que des informations biométriques, ce qui rend leurs bases de données particulièrement utiles si des attaquants y accèdent.

De nombreuses questions restent encore sans réponse

De nombreux faits sur l’incident signalé d’Onfido restent inconnus. Les autorités n'ont pas confirmé le nombre total d'utilisateurs concernés. Ils n’ont pas non plus confirmé exactement à quelles informations quelqu’un aurait pu accéder. Jusqu'à ce que plus de détails soient rendus publics, les entreprises qui dépendent de fournisseurs externes de vérification d'identité seront probablement confrontées à davantage de questions de la part des clients.

Les gens voudront peut-être savoir combien de temps les entreprises conservent les dossiers d’identité. Ils peuvent également demander à quelle vitesse les entreprises réagissent après avoir découvert un incident de sécurité. Une autre question importante est de savoir dans quelle mesure les entreprises partagent ouvertement des informations avec les utilisateurs concernés. L’incident signalé a également relancé le débat sur les risques liés à la conservation de grandes quantités de données KYC auprès de fournisseurs externes.

Alors que les gouvernements et les entreprises privées continuent d’élargir les exigences en matière d’identité numérique, la protection de ces informations devient encore plus importante. Vérifier l’identité d’une personne ne constitue qu’une partie du travail.

Les entreprises doivent également protéger les passeports, les cartes d’identité, les selfies faciaux et autres documents personnels après les avoir récupérés. Pour l’instant, l’incident signalé d’Onfido reste à l’étude et de nombreux détails importants doivent encore être confirmés.

En attendant que davantage d’informations soient disponibles, l’affaire continue de rappeler aux entreprises que la collecte de données d’identité implique également la responsabilité de leur sécurité.