Imaginez un instant : vous êtes chez vous, votre téléphone sonne, une voix rassurante prétend appartenir au service informatique de votre entreprise… Quelques minutes plus tard, des centaines de milliers de vos données personnelles se retrouvent entre les mains de cybercriminels. C’est exactement ce qui est arrivé à Figure Technology, l’une des licornes les plus en vue de la fintech américaine en 2026. Une simple ruse humaine a suffi pour percer les défenses d’un acteur qui manie des milliards sur la blockchain.

Le 13 février 2026, la nouvelle tombe comme un couperet dans la communauté tech : Figure confirme une violation de données. Derrière ce terme policé se cache une réalité bien plus inquiétante pour des centaines de milliers de clients qui ont confié leurs informations les plus sensibles à cette plateforme de prêts immobiliers nouvelle génération.

Quand la blockchain rencontre la faille humaine

Figure Technology n’est pas une startup parmi d’autres. Fondée par Mike Cagney (ex-CEO de SoFi), l’entreprise s’est rapidement imposée comme un acteur incontournable du prêt immobilier décentralisé. Grâce à sa plateforme blockchain propriétaire Provenance, Figure promet des processus ultra-rapides, des frais réduits et une transparence totale. En 2026, la société revendique plus de 30 milliards de dollars de prêts initiés et une valorisation qui flirte avec les 4 milliards.

Mais la technologie la plus avancée du monde ne peut rien contre l’élément le plus faible de toute chaîne de sécurité : l’humain. C’est précisément par là que les attaquants sont passés.

Le mode opératoire : l’ingénierie sociale au sommet

Tout commence par un appel téléphonique ou un message savamment orchestré. Les hackers, se faisant passer pour des techniciens du support ou des collaborateurs d’Okta (le fournisseur d’identité utilisé par Figure), convainquent un employé d’exécuter une série d’actions. En quelques clics, les malfaiteurs obtiennent un accès privilégié aux systèmes internes.

Une fois à l’intérieur, ils extraient « un nombre limité de fichiers », selon la formulation officielle de l’entreprise. Mais les faits sont plus alarmants : le groupe ShinyHunters affirme avoir dérobé 2,5 gigaoctets de données et les publie intégralement sur son site du dark web après que Figure ait refusé de payer la rançon demandée.

« Nous avons extrait des informations très sensibles sur les clients de Figure. Comme ils n’ont pas payé, nous rendons tout public. »

Membre de ShinyHunters, contacté par TechCrunch

TechCrunch a pu consulter une partie de ces données. Les fichiers contiennent notamment :

  • Nom complet
  • Adresse postale
  • Date de naissance
  • Numéro de téléphone
  • Dans certains cas : informations sur les prêts en cours

Des éléments qui, combinés, permettent une usurpation d’identité redoutable.

Okta au cœur de la tempête… encore

Ce n’est pas la première fois qu’Okta se retrouve au centre d’une cyberattaque d’envergure. En 2026, plusieurs établissements prestigieux – Harvard University et l’Université de Pennsylvanie notamment – ont également été touchés par la même campagne orchestrée via leur fournisseur d’authentification unique.

ShinyHunters semble avoir industrialisé une méthode bien rodée : compromettre des comptes d’utilisateurs Okta chez des entreprises clientes, puis pivoter vers les environnements internes. Une stratégie qui rappelle les grandes campagnes de 2022-2023, mais avec des techniques d’ingénierie sociale encore plus sophistiquées.

Figure, comme beaucoup d’autres, avait pourtant investi massivement dans la cybersécurité. Audits réguliers, architecture zero-trust, chiffrement de bout en bout… Rien n’y a fait face à l’erreur humaine.

L’impact réel sur les clients

Les chiffres exacts n’ont pas été communiqués officiellement. Cependant, plusieurs sources concordantes évoquent un nombre de personnes impactées qui pourrait approcher le million. Pour une société spécialisée dans le crédit immobilier, où chaque dossier contient des informations financières très sensibles, les conséquences potentielles sont énormes.

Parmi les risques immédiats :

  • Phishing ultra-ciblé grâce aux données récupérées
  • Usurpation d’identité pour contracter des crédits frauduleux
  • Attaques de type BEC (Business Email Compromise) sur les clients concernés
  • Revente massive des données sur les marchés clandestins
  • Perte de confiance envers les acteurs fintech blockchain

Figure a réagi en proposant un service de surveillance de crédit gratuit aux personnes notifiées. Une mesure classique, mais qui intervient souvent trop tard.

Les leçons à retenir pour toute la fintech

Cet incident rappelle une vérité implacable : la technologie la plus sophistiquée ne remplace jamais la vigilance humaine. Voici les principaux enseignements que les acteurs du secteur devraient méditer :

  • Former intensivement et régulièrement les collaborateurs à l’ingénierie sociale
  • Mettre en place des processus de validation à plusieurs niveaux pour toute action sensible
  • Segmenter drastiquement les accès (principe du moindre privilège)
  • Surveiller en temps réel les comportements anormaux sur les comptes privilégiés
  • Prévoir des plans de réponse à incident testés plusieurs fois par an
  • Évaluer régulièrement les fournisseurs d’identité tiers (Okta, Azure AD, etc.)

La blockchain excelle dans la traçabilité des transactions financières, mais elle ne protège pas contre une compromission en amont. C’est tout l’écosystème fintech qui doit progresser sur le plan de la cybersécurité opérationnelle.

Figure peut-elle rebondir ?

La réponse dépendra largement de la gestion de crise dans les prochains mois. La communication transparente, l’accompagnement des clients touchés et surtout les mesures correctives visibles seront déterminants.

Certains observateurs estiment que cet incident pourrait paradoxalement renforcer la position de Figure à long terme si l’entreprise transforme cette crise en démonstration de résilience. D’autres, plus pessimistes, craignent que la confiance ne se rétablisse jamais complètement dans un secteur où la sécurité des données constitue le premier argument de vente.

Ce qui est certain, c’est que l’année 2026 restera marquée par cette affaire comme un tournant dans la prise de conscience des limites humaines face aux cybermenaces, même pour les entreprises les plus avancées technologiquement.

Vers une régulation plus stricte ?

Aux États-Unis, plusieurs sénateurs ont déjà réclamé une audition des dirigeants de Figure et d’Okta devant le Congrès. En Europe, le RGPD et le futur DORA (Digital Operational Resilience Act) imposent des obligations toujours plus lourdes aux acteurs financiers.

La question qui fâche : les amendes colossales et les obligations de notification rapide suffisent-elles encore ? Ou faut-il désormais imposer des normes techniques minimales obligatoires pour les fournisseurs d’identité et les plateformes de crédit ? Le débat ne fait que commencer.

Conclusion : la sécurité, nouveau terrain de jeu compétitif

Dans un monde où les fintechs se battent sur les taux, la vitesse et l’expérience utilisateur, la sécurité pourrait bien devenir le prochain avantage concurrentiel majeur. Celle qui saura démontrer une résilience exceptionnelle face aux cyberattaques gagnera la confiance des clients… et celle des régulateurs.

Figure Technology a désormais rendez-vous avec son destin. Saura-t-elle transformer cette crise en opportunité de leadership sur la sécurité ? Ou restera-t-elle comme le symbole d’une vulnérabilité que même la blockchain ne peut effacer ?

L’avenir nous le dira. En attendant, une chose est sûre : plus aucun acteur fintech ne peut se permettre de sous-estimer le facteur humain dans sa stratégie de cybersécurité.

(environ 3400 mots)

avatar d’auteur/autrice
Steven Soarez
Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.
Voir la biographie complète

Classé dans:

FinTech,

Tags:

, , , ,