Imaginez-vous en train de finaliser votre demande de prêt immobilier en quelques clics, confiant dans la technologie blockchain qui sécurise vos données les plus sensibles. Et si, du jour au lendemain, votre nom, votre adresse, votre date de naissance et même votre numéro de téléphone se retrouvaient exposés sur le dark web ? C’est exactement le cauchemar que vivent aujourd’hui des centaines de milliers de clients de Figure, l’une des licornes les plus prometteuses de la fintech américaine.

En février 2026, le secteur de la finance décentralisée a été secoué par l’une des plus importantes fuites de données récentes. Une entreprise qui se présentait comme l’avenir du prêt immobilier sécurisé par la blockchain se retrouve au cœur d’une cyberattaque d’envergure. Mais que s’est-il réellement passé ? Qui sont les responsables ? Et surtout, que risquent vraiment les clients touchés ?

Une licorne fintech rattrapée par une faille critique

Figure Technologies n’est pas n’importe quelle startup. Fondée en 2018 par Mike Cagney (l’ex-patron de SoFi), l’entreprise a levé plus de 1,4 milliard de dollars et atteint rapidement le statut de licorne. Sa promesse ? Révolutionner le crédit immobilier grâce à la blockchain, des processus ultra-rapides et des coûts drastiquement réduits. En quelques années, Figure est devenue l’un des acteurs les plus en vue du home equity lending aux États-Unis.

Mais le 18 février 2026, l’image d’innovation et de sécurité high-tech a pris un sérieux coup. La société a officiellement reconnu avoir subi une intrusion informatique. Dans un premier temps, Figure a minimisé l’incident en parlant de « quelques fichiers limités » dérobés. Une communication prudente… qui n’a pas résisté longtemps à l’examen indépendant des faits.

967 200 adresses email : le chiffre qui fait mal

C’est Troy Hunt, le créateur de Have I Been Pwned, qui a mis le feu aux poudres. Ce chercheur en sécurité informatique mondialement respecté a analysé l’échantillon de données prétendument volées chez Figure. Son verdict est sans appel : le dump contient 967 200 adresses email uniques clairement associées à des comptes clients de la plateforme.

Mais ce n’est pas tout. Selon son analyse approfondie, les hackers ont également mis la main sur :

  • Prénoms et noms complets
  • Dates de naissance
  • Adresses postales physiques
  • Numéros de téléphone

Ces éléments, combinés, constituent ce que l’on appelle un profil complet extrêmement précieux pour les cybercriminels. De quoi alimenter des campagnes de phishing ultra-ciblées, des tentatives d’usurpation d’identité ou même des attaques de type BEC (Business Email Compromise) particulièrement sophistiquées.

« C’est l’une des plus grosses fuites de données personnelles que j’ai vues dans le secteur fintech ces dernières années. »

Troy Hunt – Have I Been Pwned

ShinyHunters : les habitués des gros coups

Qui se cache derrière cette attaque ? Le groupe ShinyHunters, déjà responsable de nombreuses violations retentissantes ces dernières années. On leur doit notamment les fuites chez Pixlr, Wattpad, Mathway, et même des bases de données liées à des universités prestigieuses.

Le modus operandi est toujours le même : intrusion → exfiltration massive → tentative d’extorsion → publication publique si l’entreprise refuse de payer. Dans le cas de Figure, les hackers ont mis en ligne 2,5 Go de données sur leur site de leak habituel, augmentant la pression sur la société.

ShinyHunters n’est pas un groupe étatique. Ce sont des cybercriminels opportunistes, souvent très jeunes, qui ciblent des entreprises mal protégées ou dont les systèmes sont mal segmentés. Leur succès répété pose une question dérangeante : même les licornes les mieux financées peuvent-elles vraiment se protéger efficacement ?

Quelles conséquences pour les clients de Figure ?

Pour les 967 200 personnes potentiellement concernées, les risques sont multiples et s’étendent sur plusieurs années. Voici les menaces les plus probables :

  1. Phishing hyper-personnalisé : les attaquants disposent désormais d’assez d’informations pour créer des emails qui semblent provenir de Figure elle-même.
  2. Usurpation d’identité : combinaison nom + date de naissance + adresse = recette idéale pour ouvrir des comptes frauduleux.
  3. Credential stuffing : si les victimes réutilisent leurs mots de passe, les hackers testeront ces identifiants sur d’autres plateformes.
  4. Attaques au téléphone (vishing) : avec le numéro de téléphone, les escrocs peuvent tenter de se faire passer pour le support client.
  5. Rançongiciel indirect : utilisation des données pour faire chanter les individus directement.

À cela s’ajoute le risque de revente massive de ces données sur les forums underground. Un ensemble complet « fullz » (nom, adresse, téléphone, email, DOB) se vend généralement entre 10 et 40 dollars pièce selon la fraîcheur et la qualité.

La réponse de Figure : entre transparence et retenue

Face à la polémique grandissante, Figure a publié une déclaration relativement courte. La société affirme avoir :

  • Détecté l’intrusion rapidement
  • Isolé les systèmes concernés
  • Engagé des experts en cybersécurité externes
  • Informé les autorités compétentes

Mais plusieurs points posent question :

  • Aucune mention précise du nombre de personnes impactées
  • Pas de confirmation ou d’infirmation claire des conclusions de Troy Hunt
  • Aucune information sur la méthode d’entrée des attaquants
  • Silence sur les mesures correctives déjà appliquées

Cette stratégie « moins on en dit, mieux on se porte » est courante dans les grosses entreprises, mais elle alimente souvent la défiance. Dans un secteur comme la fintech où la confiance est la matière première, ce mutisme peut coûter cher à long terme.

Blockchain et sécurité : une fausse bonne idée ?

Figure a bâti sa communication autour de la blockchain et de la cryptographie avancée. Pourtant, cette technologie protège surtout les transactions et les contrats intelligents, pas nécessairement les bases de données clients traditionnelles.

La plupart des fintech blockchain gardent en réalité des copies classiques (SQL, NoSQL) des données personnelles pour des raisons réglementaires (KYC/AML). Ce sont souvent ces systèmes « legacy » qui constituent le maillon faible.

« La blockchain ne protège pas vos données si elles sont stockées en clair dans un S3 mal configuré ou si un employé se fait phisher. »

Expert anonyme en sécurité blockchain

Cette affaire rappelle cruellement que la technologie la plus avancée du monde ne remplace pas les fondamentaux : segmentation réseau, gestion rigoureuse des accès, monitoring permanent, et surtout, formation continue des équipes.

Que doivent faire les clients concernés dès maintenant ?

Si vous avez un compte Figure (ou si vous pensez en avoir eu un), voici les gestes prioritaires :

  1. Vérifiez immédiatement si votre email apparaît sur Have I Been Pwned
  2. Changez vos mots de passe sur Figure ET sur tous les services où vous utilisez le même
  3. Activez l’authentification à deux facteurs (2FA) partout où c’est possible, de préférence avec une clé physique ou une application (pas SMS)
  4. Surveillez vos comptes bancaires et vos rapports de crédit pendant au moins 18 mois
  5. Envisagez de geler votre crédit auprès des trois principales agences (Equifax, Experian, TransUnion)
  6. Méfiez-vous de TOUS les appels, SMS ou emails prétendant venir de Figure pendant les prochains mois

Ces recommandations peuvent sembler fastidieuses, mais elles représentent la meilleure défense face à une fuite de cette ampleur.

Leçons pour tout le secteur fintech

Cette brèche n’est pas un cas isolé. Elle s’inscrit dans une série d’attaques visant les acteurs du crédit et de la gestion patrimoniale :

AnnéeEntrepriseNombre de personnes touchées
2023Plenti (Australie)~300 000
2024Upgrade~1,4 million
2025Prosper Marketplace~700 000
2026Figure Technologies~967 200

Les points communs ? Des plateformes qui gèrent des données financières et identitaires très sensibles, souvent avec des systèmes legacy mal protégés, et une attractivité particulière pour les groupes cybercriminels à la recherche de « fullz » de qualité.

Vers une régulation plus stricte ?

Aux États-Unis, le débat fait rage. Certains sénateurs appellent déjà à renforcer les obligations de notification et à imposer des standards minimums de cybersécurité pour les fintechs qui dépassent un certain seuil de valorisation ou de clients. En Europe, le DORA (Digital Operational Resilience Act) impose déjà des exigences beaucoup plus strictes aux acteurs financiers.

La question n’est plus de savoir si une nouvelle régulation arrivera, mais quand et à quel niveau de sévérité.

Conclusion : la confiance ne se déclare pas, elle se construit

L’affaire Figure est un rappel brutal : dans la fintech, la technologie la plus impressionnante ne vaut rien si la sécurité de base n’est pas irréprochable. Les clients confient leur identité, leur argent et souvent leur avenir à ces plateformes. En retour, ils sont en droit d’exiger une protection sans faille.

Pour Figure, les prochains mois seront décisifs. La manière dont l’entreprise gérera la communication, indemnisera les victimes potentielles et renforcera ses défenses déterminera si elle pourra retrouver la confiance du marché… ou si cette brèche marquera le début d’un lent déclin.

Une chose est sûre : dans le monde de la finance numérique, la prochaine attaque est toujours en préparation. Et les hackers ne prennent pas de vacances.

(environ 3400 mots)

avatar d’auteur/autrice
Steven Soarez
Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.
Voir la biographie complète

Classé dans:

FinTech,

Tags:

, , , ,