Attaque

Spiko : pièces d’identité et selfies de clients exposés après une cyberattaque chez Onfido

Spiko informe certains de ses clients d’une potentielle violation de données personnelles liée à Onfido, désormais intégré à Entrust, son prestataire chargé de la vérification d’identité.

Selon le message adressé aux personnes concernées, un tiers non autorisé aurait compromis des identifiants de connexion permettant d’accéder à un compte Spiko sur la plateforme Onfido. L’accès aurait été actif entre le 26 août et le 6 septembre 2025.

Un accès non autorisé au compte Onfido de Spiko

Spiko utilise Onfido pour vérifier l’identité de ses clients lors de leur inscription. Ce processus repose notamment sur l’analyse d’un document d’identité et d’un selfie permettant de vérifier que la personne correspond bien au document présenté.

Dans le cadre d’une cyberattaque visant des clients d’Onfido, un tiers aurait obtenu des identifiants de connexion et accédé au compte utilisé par Spiko. L’incident concernerait uniquement l’environnement du prestataire de vérification d’identité.

Quelles données ont pu être consultées ?

Les informations potentiellement accessibles sont particulièrement sensibles, car elles sont liées à la vérification de l’identité des utilisateurs :

  • copie du document d’identité ;
  • informations présentes sur ce document ;
  • selfie utilisé lors de la vérification d’identité.

Selon Spiko, les personnes ayant reçu la notification font partie des clients pour lesquels le tiers non autorisé a potentiellement pu accéder à ces données.

La plateforme Spiko ne serait pas compromise

Spiko précise que sa propre plateforme n’est pas concernée par la violation. Les données liées au compte Spiko ne feraient donc pas partie du périmètre identifié.

L’entreprise indique notamment que les informations suivantes ne sont pas concernées :

  • adresse du compte Spiko ;
  • coordonnées bancaires ;
  • avoirs détenus sur la plateforme ;
  • identifiants de connexion Spiko ;
  • autres données enregistrées directement dans l’environnement Spiko.

Des risques importants d’usurpation d’identité

La présence potentielle d’une copie de pièce d’identité et d’un selfie augmente le risque d’usurpation d’identité. Ces éléments peuvent être utilisés pour créer de faux dossiers, contourner certaines procédures de vérification ou alimenter des tentatives de fraude.

Les personnes concernées pourraient également recevoir de faux messages prétendant provenir de Spiko, d’Onfido, d’Entrust, d’une banque ou d’un service de vérification d’identité. Un attaquant disposant d’informations issues d’un document officiel peut rendre ses sollicitations particulièrement crédibles.

Une fuite distincte des données financières

À ce stade, aucun élément communiqué par Spiko n’indique que les comptes clients, les avoirs ou les coordonnées bancaires ont été consultés. L’incident semble limité aux données utilisées par Onfido lors du processus de contrôle d’identité.

La nature des informations concernées reste néanmoins sensible. Contrairement à un mot de passe, une pièce d’identité ou un visage ne peuvent pas être simplement remplacés après une fuite.

Que doivent surveiller les clients concernés ?

Les personnes ayant reçu la notification doivent rester vigilantes face aux demandes inhabituelles de vérification d’identité, aux faux messages de sécurité et aux sollicitations demandant une nouvelle copie de pièce d’identité ou un selfie.

Toute demande urgente liée à un compte Spiko, à une vérification KYC ou à un changement de coordonnées doit être contrôlée directement depuis les canaux officiels. Le fait qu’un message contienne de vraies informations personnelles ne suffit pas à garantir son authenticité.

Thomas Lazzaroni Thomas Lazzaroni
Articles similaires