Exposition de données personnelles : la confiance dans les systèmes de vérification d'identité en ligne ébranlée

Depuis quelques jours, le secteur de la vérification d'identité en ligne est secoué par deux affaires d'exposition de données personnelles sans précédent. Selon des informations récentes, IDMerit, un prestataire américain de services KYC, a laissé un milliard de fiches personnelles sans protection sur Internet, tandis que Persona, le logiciel de vérification d'âge utilisé par Discord, a été démasqué comme un outil de surveillance bien plus intrusif que prévu.

Ces événements ont mis en lumière les failles du secteur de la vérification d'identité en ligne, qui possède des données extrêmement sensibles. En novembre 2025, des chercheurs de Cybernews ont découvert une instance MongoDB appartenant à IDMerit accessible en libre accès sur Internet, sans aucune authentification. La base de données contient environ 3 milliards d'enregistrements, dont un milliard de fiches personnelles sensibles, notamment des noms complets, adresses postales, dates de naissance, numéros d'identification nationaux, numéros de téléphone, adresses e-mail et profils de réseaux sociaux.

Les conséquences de l'exposition de données

La fuite touche des individus répartis dans 26 pays, avec les États-Unis en tête, suivis du Mexique et des Philippines. En Europe, l'Allemagne, l'Italie et la France comptent chacune plus de 50 millions de fiches exposées. Cette affaire met en évidence la nécessité pour les prestataires de services KYC de renforcer la sécurité de leurs systèmes pour protéger les données personnelles de leurs utilisateurs.

De son côté, Persona a été utilisé par Discord pour la vérification d'âge, mais des chercheurs en sécurité ont découvert que le logiciel effectue 269 contrôles distincts par utilisateur, compare les selfies à des photos de listes de surveillance, consulte Chainalysis et TRM Labs pour détecter une activité financière suspecte, notamment de cryptomonnaie, et peut transmettre des déclarations de transactions suspectes directement aux autorités fédérales américaines et canadiennes.

Les réactions des entreprises impliquées

IDMerit a sécurisé la base de données après avoir été alertée par les chercheurs de Cybernews. Discord a finalement renoncé à utiliser Persona pour la vérification d'âge après la polémique. Ces affaires soulignent l'importance pour les entreprises de protéger les données personnelles de leurs utilisateurs et de être transparentes sur les pratiques de collecte et d'utilisation de ces données.

Les prochaines étapes

Les autorités réglementaires et les entreprises impliquées devront prendre des mesures pour renforcer la sécurité des systèmes de vérification d'identité en ligne et protéger les données personnelles des utilisateurs. Les utilisateurs devront également être vigilants et prendre des mesures pour protéger leurs données personnelles, notamment en utilisant des mots de passe forts et en étant prudents lors de la fourniture de données personnelles en ligne.

En conclusion, ces affaires d'exposition de données personnelles soulignent la nécessité pour les entreprises et les autorités réglementaires de prendre des mesures pour protéger les données personnelles des utilisateurs et renforcer la sécurité des systèmes de vérification d'identité en ligne. Les prochaines étapes attendues incluent des investigations approfondies et des actions réglementaires pour prévenir de telles failles à l'avenir.