Le 4 février, Sumsub a divulgué des informations concernant une faille de sécurité restée indétectée pendant un an et demi. L’incident impliquait un acteur externe malveillant ayant soumis une pièce jointe infectée via une plateforme tierce de gestion de tickets d’assistance, entraînant l’exposition de données personnelles de comptes clients.
Sumsub est une plateforme qui propose des services de vérification KYC pour les particuliers, les entreprises et les transactions, en utilisant des outils d’IA pour prévenir la fraude et assurer la conformité réglementaire à l’échelle mondiale.
La plateforme fournit également des services à des protocoles blockchain, notamment Chainalysis, Merkle Science, TRM Labs, Crystal et Elliptic.
Sumsub est utilisée par l’ensemble de l’industrie crypto pour prévenir la fraude et le blanchiment d’argent, et plusieurs acteurs clés de l’écosystème, tels que Bitget, Bybit, MEXC, BingX et d’autres, lui font confiance.
Voici ce que nous savons jusqu’à présent sur la faille de sécurité de la plateforme et sur la manière dont elle pourrait avoir affecté les plateformes crypto.
Déclaration officielle de Sumsub
Le 4 février 2026, Sumsub a publié une déclaration officielle au sujet de l’incident de sécurité, qui se serait produit environ un an et demi auparavant. L’activité non autorisée a été détectée de manière rétrospective lors d’un audit de sécurité en janvier 2026.
Principaux constats
Les détails essentiels de la faille, révélés dans le rapport, proviennent de l’enquête menée par Sumsub et comprennent les points suivants :
- En juillet 2024, un acteur externe a soumis une pièce jointe malveillante via une plateforme tierce de support technique.
- Le malware a permis un accès non autorisé limité à un environnement interne lié au support.
- Des données personnelles limitées, notamment les noms, adresses e-mail et numéros de téléphone, ont été exposées.
- Les données biométriques, les images de documents d’identité, les comptes bancaires, les informations de paiement, les données d’identification officielles et d’autres données sensibles n’ont pas été consultés ou compromis.
- L’activité non autorisée est restée confinée à l’environnement interne lié au support.
- Les processus de vérification d’identité en direct, les API clients et les systèmes de production principaux de Sumsub n’ont pas été affectés.
- L’activité non autorisée n’a pas dépassé juillet 2024.
Enquête et réponse continues de Sumsub
La plateforme indique qu’après les conclusions relatives à l’incident de sécurité, elle a pris les mesures suivantes :
- Déploiement des procédures de réponse aux incidents
- Engagement d’experts en criminalistique, internes et externes, en cybersécurité pour l’analyse, la validation et la surveillance
- Notification directe des clients affectés
Les mesures de renforcement de la sécurité mises en place par Sumsub incluent :
- Renforcement de la protection contre les menaces
- Révision des contrôles d’accès du personnel technique du support
- Amélioration des capacités de surveillance et de détection d’incidents
- Renforcement de la protection des terminaux, des contrôles de prévention de la perte de données, des capacités de surveillance et de journalisation, des analyses de vulnérabilités et des tests d’intrusion réguliers
- Mise en place de programmes de prime aux bogues (« bug bounty »)
Sumsub a souligné qu’elle se soumet régulièrement à des audits et évaluations de sécurité, notamment SOC 2 Type II, ISO/IEC 27001 et ISO/IEC 27017 / 27018.
Une détection tardive qui soulève des inquiétudes
Le fait qu’une plateforme qui promet sécurité, vérification KYC, prévention de la fraude et conformité réglementaire à l’échelle mondiale ait subi une faille de sécurité client en juillet 2024, sans la détecter avant janvier 2026, suscite de vives inquiétudes et érode la confiance.
L’enquêteur crypto ZachXBT a réagi à ce sujet sur X, en réponse à la dernière analyse de Sumsub portant sur des cas majeurs de fraude et de cybercriminalité en janvier 2026.
Le 9 février, Sumsub a abordé plusieurs affaires du mois précédent, notamment le blanchiment d’argent crypto en Europe, une escroquerie à la carte de crédit dans un McDonald’s au Texas, une fuite de données chez Nike, des fraudes visant des personnes âgées en Suède, le piratage du protocole DeFi Truebit, et d’autres.
Un peu maladroit de publier un article sur les incidents d’autres entreprises alors que Sumsub vient de révéler qu’un acteur malveillant a eu accès à des données sensibles restées compromises pendant 1,5 an. pic.twitter.com/IvjCERJRBQ
— ZachXBT (@zachxbt) 9 février 2026
Malgré les dernières conclusions, la crédibilité de l’entreprise est affectée par la détection tardive de son incident de sécurité, soulevant des questions de confiance concernant les résultats de l’enquête jusqu’à présent.
Sumsub a répondu à ZachXBT qu’il s’agissait de son premier incident de ce type en dix ans. Cependant, un autre incident de sécurité impliquant Merkur AG avait eu lieu en 2025, bien qu’aucune fuite ou violation de données n’ait été signalée.
Impact potentiel sur les entreprises crypto
L’incident de 2024 de Sumsub pourrait avoir affecté plusieurs clients de la plateforme, y compris des entreprises crypto pour lesquelles la sécurité des identités des utilisateurs est cruciale.
Jusqu’à présent, aucune mention connue de l’incident de Sumsub n’a été relevée en ligne, sauf par Ndax, une plateforme crypto canadienne, partenaire de la NHL.
La plateforme crypto a mentionné l’incident de sécurité sur X, précisant qu’aucun système, mot de passe, code 2FA, document d’identité, détail bancaire ou de paiement de Ndax n’avait été exposé. Ndax enquête actuellement sur la faille de Sumsub avec des experts en cybersécurité.
Mise à jour de sécurité Ndax : un fournisseur KYC tiers (SumSub) a signalé un incident de sécurité. Seules des informations de contact basiques (nom, numéro de téléphone, e-mail) ont pu être consultées.
Aucun système Ndax n’a été compromis, et aucun mot de passe, code 2FA, document d’identité, ni information bancaire ou de paiement n’a été…
— Ndax (@ndaxio) 7 février 2026
La sécurité, un enjeu crucial pour les plateformes crypto
Entre-temps, il est conseillé aux plateformes crypto de choisir leurs partenaires de sécurité sur la base d’une analyse approfondie et selon des critères essentiels tels que la sécurité et la confidentialité des données, les incidents passés potentiels, et d’autres facteurs.
Un récent rapport de Bitget et BlockSec aborde le Standard de Sécurité UEX, mettant en avant les critères fondamentaux de la nouvelle génération de sécurité des échanges dans l’écosystème.
