Imaginez un peu. Une faille de sécurité qui traîne pendant un an et demi sans que personne ne s’en aperçoive. C’est le scénario cauchemardesque qui vient de frapper Sumsub, ce spécialiste de la vérification d’identité. D’après nos confrères du Journal du Coin, l’intrusion remonte à l’été 2024, mais n’a été découverte qu’en janvier dernier. (Oui, vous avez bien lu : 18 mois.)

Un piratage discret qui a pris son temps

Le hacker, lui, avait clairement la patience. Selon les infos disponibles, l’attaque a exploité une faille dans une plateforme tierce de gestion des tickets de support. Le pirate s’est infiltré en juillet 2024 en soumettant une pièce jointe piégée. Résultat ? Un accès limité à l’environnement interne dédié au service client. Autant dire qu’il a pris son temps pour fouiner.

Heureusement, les données sensibles n’ont pas été compromises. On parle surtout de noms, d’adresses e-mail et de numéros de téléphone. Les infos à haut risque – biométrie, photos d’identité, coordonnées bancaires – sont restées intactes. Bref, la catastrophe a été évitée de justesse. (Mais quand même, 18 mois, c’est long.)

La détection tardive : un vrai casse-tête

Alors, comment une faille pareille a pu passer inaperçue pendant tout ce temps ? La question se pose. D’après nos infos, c’est lors d’un audit de routine en janvier 2026 que l’incident a été découvert. Sumsub a immédiatement activé ses protocoles de réponse aux incidents et engagé des experts indépendants. Le hic ? Personne n’avait rien vu avant.

On pourrait se demander si les systèmes de surveillance actuels sont vraiment à la hauteur. Ce délai de détection pose question, surtout dans un secteur où la réactivité est cruciale. Sumsub a d’ailleurs renforcé ses contrôles d’accès et amélioré ses capacités de surveillance pour éviter que cela ne se reproduise. (Mais bon, après 18 mois, c’est un peu tard.)

Les leçons à tirer

Cet incident illustre une vulnérabilité croissante : les chaînes d’approvisionnement logicielles. Les plateformes de support tierces peuvent devenir des points faibles majeurs. Sumsub vient de publier son rapport annuel, soulignant une hausse de 180 % de la fraude sophistiquée en 2025. Preuve que même les gardiens de l’identité numérique ne sont pas à l’abri.

Pour Sumsub, l’enjeu est désormais de restaurer la confiance. La plateforme s’apprête à lancer de nouveaux outils de vérification basés sur l’IA en 2026. Un timing serré, alors que cet incident pourrait ébranler la confiance des utilisateurs. (Et puis, les cyberattaques deviennent de plus en plus sophistiquées.)

Alors, peut-on vraiment se fier aux systèmes de vérification d’identité actuels ? La question mérite d’être posée. D’autant que les cyberattaques deviennent de plus en plus sophistiquées. (Et Sumsub n’est pas le seul à avoir des failles.)

Principalement des noms, ainsi qu’un sous-ensemble d’adresses e-mail et de numéros de téléphone. Les informations à haut risque comme la biométrie ou les coordonnées bancaires n’ont pas été compromises.

Sumsub a immédiatement activé ses protocoles de réponse aux incidents, engagé des experts indépendants et commencé à notifier directement les clients impactés. La firme a également renforcé ses contrôles d’accès et amélioré ses capacités de surveillance.

Sumsub a renforcé ses contrôles d’accès pour le personnel technique et amélioré ses capacités de surveillance. La firme travaille également avec des solutions IA toujours plus performantes pour détecter et prévenir les intrusions.