Trois milliards de lignes ouvertes à tous les vents : il ne s’agit pas d’un fantasme dystopique, mais d’un constat brut posé sur la table du numérique. Et derrière la froideur des chiffres, une réalité qui déborde nos frontières et nos certitudes.
Very leak : ce que révèle la base de données et pourquoi cela vous concerne
Le 11 novembre 2025, quand Cybernews a mis la main sur cette base de données immense, la stupeur ne doit rien à un scénario hollywoodien. Juste une grossière négligence : le serveur MongoDB est resté sans aucun mot de passe. Conséquence immédiate, plus de 3 milliards d’enregistrements ouverts, dont près d’un milliard information hautement personnelle. Ce qui sidère le plus, c’est la teneur des informations disséminées.
Les types de données exposées donnent la mesure du problème :
- Noms complets
- Adresses postales et adresses email
- Numéros d’identification nationaux
- Métadonnées issues des télécoms
- Dates de naissance, genre
- Commentaires liés aux profils sociaux
Pas moins de 26 pays embarqués de force dans la brèche. Parmi eux, la France avec environ 53 millions de personnes impactées, parfois sans avoir jamais croisé le nom d’IDMerit, ce sous-traitant californien mandaté par de grandes banques et fintechs pour vérifier l’identité. À chaque nouveau dossier ouvert, une nouvelle goutte d’information tombe dans la marmite, jusqu’à former le maillon faible d’une chaîne d’identification devenue vulnérable en quelques heures.
Les répercussions ne s’arrêtent pas au simple vol d’identité. Ces vastes ensembles de données nourrissent des attaques millimétrées, du phishing ciblé, des campagnes de SIM swapping (piratage de carte SIM), ou encore des fraudes sophistiquées au crédit. L’affaire soulève frontalement la question de la souveraineté numérique et du choix des partenaires de confiance, dont le grand public ignore tout ou presque. Le flot de victimes, surtout français ou européens, se retrouve coincé dans une mécanique invisible, où l’information circule sans qu’aucun signal d’alarme n’atteigne ses oreilles.
IDMerit n’a pas aidé à restaurer la confiance : d’abord dans le déni, puis forcé de revoir sa position face aux preuves accablantes réunies par Cybernews. Le contraste entre la petitesse de cette entreprise (équipe réduite, moyens limités) et la montagne de données KYC gérées fait réfléchir. Difficile, après ce coup de semonce, de ne pas redouter la sécurité des futures pièces d’identité numériques, à l’image du projet EUDI Wallet.
Comment réagir concrètement face à une fuite de données sur Twitter et protéger vos informations personnelles
Dès qu’une fuite de données surgit sur Twitter, tout s’emballe. L’information fuse bien avant toute alerte institutionnelle. Chacun doit alors faire l’effort de savoir si ses propres données circulent : identifiants, mail, numéro de téléphone, rien n’est à l’abri dans les fichiers diffusés ou les discussions en ligne. Outils ou services spécialisés permettent d’effectuer un premier contrôle.
Pour réagir efficacement, ces réflexes sont à adopter sans tarder :
- Modifier les mots de passe de vos services sensibles, privilégier des codes uniques générés par des outils robustes.
- Activer l’authentification à deux facteurs partout où c’est proposé : la banque, la messagerie, les réseaux sociaux.
- Vérifier régulièrement l’activité de ses comptes : toute connexion inhabituelle doit pousser à l’action.
En présence d’un doute quant à une exposition, il reste possible d’agir selon quelques axes :
- Faire signaler la situation sur les plateformes d’assistance officielles.
- Consulter les recommandations de la CNIL pour demander la suppression de données abusivement conservées ou traiter la violation.
À chaque vague de phishing utilisant des données volées, se méfier devient le réflexe-clé. Les messages personnalisés inondent la messagerie : il vaut mieux se retenir de cliquer, même lorsque la peur s’invite. Éviter de disséminer des informations sur les réseaux sociaux reste l’unique parade viable tandis que les paramètres de confidentialité deviennent une arme quotidienne face à la surenchère des menaces.
Selon le RGPD, les entreprises ont l’obligation de notifier toute violation de données rapidement. Pourtant, dans l’affaire IDMerit, ni la CNIL ni les particuliers touchés n’ont bénéficié de ce signalement. Garder des traces, s’informer et ne jamais hésiter à interpeller les acteurs en faute est la seule façon d’espérer un début de changement structurel.
Un serveur laissé grand ouvert… une déferlante mondiale… et dans le sillage, des millions d’existences mises à nue. L’histoire donne le ton pour la suite : savoir qui détient vos fragments d’identité n’a jamais été aussi incertain.
