Imaginez : vous vous réveillez un matin et découvrez que les données les plus sensibles de millions de clients bancaires américains ont été volées sans qu’aucun ransomware ne soit déployé. Pas de demande de rançon, pas de blocage de systèmes… juste un vol silencieux et massif. C’est exactement ce qui vient de se produire avec SitusAMC, une fintech peu connue du grand public mais absolument critique pour l’écosystème financier américain.

Quand l’ombre frappe au cœur de la finance américaine

Le 12 novembre 2025, SitusAMC détecte une intrusion. Le 24 novembre, la bombe explose dans la presse : plusieurs des plus grandes banques américaines (JPMorgan Chase, Citigroup, Morgan Stanley…) reçoivent des notifications de violation de données. Le point commun ? Toutes passent par cette fintech new-yorkaise pour gérer une partie de leurs opérations immobilières commerciales et de conformité réglementaire.

Ce n’est pas une attaque contre une banque. C’est une attaque contre toute la chaîne d’approvisionnement technologique de la finance. Et ça change tout.

SitusAMC, c’est qui au juste ?

Peu de Français ont entendu parler de SitusAMC. Pourtant, cette entreprise fondée en 2014 (issue de la fusion de plusieurs acteurs historiques) est devenue en dix ans un rouage essentiel du crédit immobilier commercial aux États-Unis. Elle traite des milliards de documents de prêt par an pour plus de 1 000 institutions financières, fonds de pension et même certains États.

Concrètement, quand une grande banque accorde un prêt immobilier de plusieurs centaines de millions pour un gratte-ciel à Manhattan, c’est souvent SitusAMC qui gère la due diligence, les contrats, la conformité anti-blanchiment et l’archivage réglementaire. Autant dire que l’entreprise détient une mine d’or d’informations ultra-sensibles.

  • Contrats de prêt confidentiels
  • États financiers d’emprunteurs
  • Accords légaux entre prêteurs et emprunteurs
  • Données personnelles de dirigeants et garants
  • Informations sur les garanties immobilières

Autant de données qui, entre de mauvaises mains, peuvent valoir des fortunes au marché noir ou servir à des opérations d’ingénierie sociale très sophistiquées.

Une attaque « pure exfiltration » : le cauchemar des RSSI

Ce qui rend cet incident particulièrement inquiétant, c’est l’absence totale de ransomware. Les attaquants n’ont pas chiffré les systèmes. Ils n’ont pas non plus provoqué de panne visible. Ils ont simplement copié ce qu’ils voulaient et sont repartis.

« L’absence de ransomware signifie que les attaquants ne cherchaient pas l’argent rapide. Ils voulaient des données stratégiques exploitables sur le long terme. »

Un expert en threat intelligence ayant requis l’anonymat

Ce type d’attaque, baptisé pure exfiltration dans le jargon, est en forte hausse depuis 2023. Les groupes comme Cl0p, ALPHV ou les affiliés de LockBit ont perfectionné cette méthode : entrer discrètement, rester le plus longtemps possible, cartographier les données intéressantes, puis exfiltrer sans laisser de traces évidentes.

Quelles données ont été volées exactement ?

SitusAMC reste très évasive dans son communiqué officiel : « des données corporatives liées à nos relations clients ainsi que des registres comptables et accords légaux ». Traduction : probablement tout ce qui n’était pas chiffré au repos ou mal segmenté.

Des sources citées par Bloomberg et CNN parlent de plusieurs téraoctets de données. On peut raisonnablement imaginer que les attaquants ont récupéré :

  • Les détails complets de milliers de prêts immobiliers commerciaux en cours
  • Les bilans confidentiels d’entreprises emprunteuses
  • Les informations personnelles des dirigeants (SSN, adresses, etc.)
  • Les stratégies d’investissement de certains fonds de pension
  • Des correspondances internes sensibles

Le risque ? Des fraudes ciblées ultra-ciblées dans les mois à venir, du chantage discret, ou même de l’utilisation de ces données pour manipuler les marchés immobiliers locaux.

Les grandes banques touchées : qui est concerné ?

Les noms qui reviennent le plus souvent :

BanqueStatut confirméCommentaire
JPMorgan ChaseNotification reçueSilence radio
CitigroupNotification reçueRefuse de commenter
Morgan StanleyNotification reçuePas de réponse
Wells FargoProbableNon confirmé
Bank of AmericaNon mentionnéMais utilise des services similaires

Mais la liste est probablement beaucoup plus longue. SitusAMC travaille aussi avec des fonds de pension californiens, des assureurs-vie et même certains États fédérés pour la gestion de leurs actifs immobiliers publics.

Pourquoi cette attaque est un signal d’alarme pour toute la fintech

Les fintech de la « supply chain » financière (KYC, compliance, servicing de prêts, etc.) sont devenues les nouvelles cibles privilégiées des attaquants. Pourquoi ? Parce qu’une seule brèche chez elles expose des dizaines, voire des centaines de clients finaux.

On l’a vu avec MOVEit en 2023 (plus de 2 000 organisations touchées), avec Okta en 2023-2024, et maintenant avec SitusAMC. Le schéma est toujours le même :

  1. Repérage d’un prestataire critique mais moins protégé que les grandes banques
  2. Infiltration via un compte tiers ou une vulnérabilité zero-day
  3. Mouvement latéral discret pendant des semaines
  4. Exfiltration massive
  5. Disparition

Les banques, elles, ont des budgets cybersécurité colossaux. Leurs prestataires ? Souvent beaucoup moins.

Que vont faire les banques maintenant ?

À l’heure où j’écris ces lignes, les équipes forensics tournent à plein régime. Les grandes banques ont déclenché leurs plans de réponse aux incidents majeurs : rotation massive des identifiants, renforcement de la segmentation réseau, audits de tous les prestataires tiers.

Certains observateurs s’attendent à ce que plusieurs établissements annoncent des provisions supplémentaires pour risques cyber dans leurs résultats du T4 2025.

Du côté réglementaire, la SEC (le gendarme boursier américain) va très probablement exiger des disclosures détaillées dans les prochains 8-K. Les amendes pourraient pleuvoir si la due diligence sur SitusAMC s’avère insuffisante.

Et pour les clients finaux ?

Pour l’instant, aucun établissement n’a annoncé de surveillance de crédit gratuite ou de gel de sécurité pour ses clients. Ce qui est inquiétant : les données volées sont exactement celles qui permettent de réussir une usurpation d’identité sophistiquée (numéro de sécurité sociale + détails de prêt + adresse personnelle…).

Mon conseil si vous avez un prêt immobilier commercial aux USA ou si vous êtes dirigeant d’une entreprise ayant emprunté récemment : surveillez vos comptes comme jamais et envisagez un gel de crédit précaution auprès des trois grands bureaux de crédit (Equifax, Experian, TransUnion).

Le mot de la fin : la fintech n’est plus un secteur, c’est une infrastructure critique

Cet incident SitusAMC nous rappelle brutalement que la transformation numérique de la finance a créé de nouveaux points de défaillance systémiques. Les fintech ne sont plus des « startups cool ». Elles sont devenues l’ossature invisible du système financier mondial.

Et quand l’ossature craque, c’est tout le corps qui tremble.

À suivre dans les prochaines semaines : l’identité des attaquants (un groupe étatique ? des cybercriminels russes ou chinois ?), le volume exact de données volées, et surtout les premières fraudes qui en découleront.

Une chose est sûre : 2025 s’annonce comme l’année où les attaques sur la supply chain fintech sont passées du stade « risque émergent » au stade « menace existentielle ».

Restez prudents.

avatar d’auteur/autrice
Steven Soarez
Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.
Voir la biographie complète

Tags:

, , , ,