Nous Contacter

Figure : Brèche de Données chez le Géant Fintech Blockchain

Imaginez un instant : vous êtes une startup fintech valorisée à plusieurs milliards, vous révolutionnez le crédit immobilier grâce à la blockchain, et du jour au lendemain, des hackers publient 2,5 Go de vos données clients sur le dark web. C’est exactement ce qui est arrivé à Figure Technology début 2026. Cet incident n’est pas seulement une mauvaise nouvelle pour l’entreprise de Mike Cagney, l’ancien patron de SoFi. Il soulève des questions cruciales pour tous les entrepreneurs, marketers et décideurs tech qui manipulent des données sensibles au quotidien.

Dans un écosystème où la confiance constitue la principale monnaie d’échange, une brèche de cette ampleur peut faire vaciller des années de travail. Mais au-delà du drame immédiat, cet événement nous offre une occasion unique d’analyser les failles contemporaines de la cybersécurité, surtout dans le secteur ultra-concurrentiel de la fintech et de la DeFi. Plongeons ensemble dans les détails de cette affaire et surtout dans les leçons business qu’elle nous enseigne en 2026.

La genèse de l’attaque : quand l’humain devient la porte d’entrée

Tout a commencé par une technique vieille comme le phishing lui-même, mais toujours aussi efficace : l’ingénierie sociale. Selon le communiqué officiel de Figure, un employé a été trompé, permettant aux attaquants d’accéder à un périmètre limité mais suffisant pour exfiltrer des fichiers. Pas de faille zero-day sophistiquée, pas d’exploit cobalt strike dernier cri… juste un humain qui clique sur le mauvais lien ou qui communique une information sensible.

Cette réalité est frustrante pour les équipes SSI : on peut dépenser des millions en EDR, XDR, bastions, SOC 24/7, si la première ligne de défense – l’utilisateur – cède, tout s’effondre. Et dans les startups en hyper-croissance, où les effectifs doublent parfois en quelques mois, la sensibilisation à la cybersécurité reste souvent le parent pauvre des priorités.

« La brèche est née d’une attaque d’ingénierie sociale qui a permis le vol d’un nombre limité de fichiers. »

– Alethea Jadick, porte-parole de Figure Technology

Cette phrase laconique cache une vérité brutale : même les licornes les plus prometteuses ne sont pas à l’abri d’un email piégé.

ShinyHunters : le collectif qui ne lâche rien

Le groupe ShinyHunters a rapidement revendiqué l’attaque sur son site de leak habituel. Fidèles à leur modus operandi, ils ont publié un échantillon conséquent de données après que Figure a refusé de payer la rançon demandée. Parmi les éléments exposés : noms complets, adresses postales, dates de naissance, numéros de téléphone… le genre d’informations qui permettent d’orchestrer des attaques d’identity theft très ciblées.

ShinyHunters n’en est pas à son coup d’essai. Ce groupe est connu pour avoir visé de nombreuses universités américaines, des plateformes de e-commerce, et maintenant des acteurs fintech. Leur stratégie ? Exploiter massivement les failles d’authentification unique chez Okta, le fournisseur SSO plébiscité par une grande partie de la tech moderne.

Figure ne serait donc pas une cible isolée, mais une victime parmi d’autres dans une campagne plus large. Harvard, UPenn… et potentiellement des centaines d’autres organisations qui font confiance à Okta pour centraliser leurs accès.

Okta au cœur de la tempête (encore une fois)

Ce n’est pas la première fois qu’Okta se retrouve dans l’œil du cyclone. En 2022 déjà, le fournisseur avait subi une intrusion majeure via un sous-traitant tiers. En 2026, la campagne attribuée à ShinyHunters semble viser les clients finaux qui utilisent Okta comme point d’entrée unique. Une fois l’accès administrateur ou privilégié obtenu, les attaquants peuvent pivoter vers les environnements internes.

Pour les startups qui utilisent Okta (et elles sont nombreuses), cet épisode doit servir d’électrochoc. Voici quelques questions que chaque CTO devrait se poser dès demain matin :

  • Avons-nous activé la MFA push phishing-resistant (FIDO2/WebAuthn) sur tous les comptes ?
  • Les sessions Okta sont-elles limitées dans le temps et surveillées en continu ?
  • Avons-nous mis en place des politiques de contextual access (lieu, appareil, comportement) ?
  • Les logs Okta sont-ils ingérés dans un SIEM externe avec alertes temps réel ?
  • Testons-nous régulièrement nos procédures de réponse à incident avec simulation d’attaque Okta ?

Si la réponse à plusieurs de ces questions est « non » ou « pas encore », le risque est bien réel.

Les données exposées : quel impact business réel ?

Figure opère dans le domaine du prêt immobilier et du home equity line of credit (HELOC) adossé à la blockchain. Les clients concernés ont donc fourni des informations très sensibles : revenus, historique de crédit, valeur du bien immobilier… Même si Figure affirme que les données étaient « limitées », le simple fait d’avoir noms + adresses + dates de naissance + téléphones permet déjà :

  • des attaques de phishing ultra-personnalisées
  • des tentatives de prise de contrôle de compte via récupération de mot de passe
  • la création de profils frauduleux pour des demandes de crédit ailleurs
  • des campagnes de sextorsion ou d’extorsion classique

Pour une entreprise dont le business model repose entièrement sur la confiance, l’image renvoyée est catastrophique. Les partenaires (banques, investisseurs, investisseurs institutionnels) vont poser des questions très précises lors des prochains board meetings.

La réponse de Figure : communication et mesures correctives

L’entreprise a réagi relativement vite en communiquant publiquement et en proposant un service de surveillance de crédit gratuite aux personnes notifiées. C’est une bonne pratique qui commence à se généraliser après chaque grosse brèche aux États-Unis.

Mais au-delà de la réponse curative, les questions stratégiques se posent :

  • Comment Figure va-t-elle renforcer sa culture de sécurité interne ?
  • Vont-ils migrer certains composants critiques hors Okta ou vers une architecture zero-trust plus aboutie ?
  • Quelle sera la prochaine étape en matière de transparence vis-à-vis des investisseurs et des régulateurs ?

Dans un secteur régulé comme la finance, la moindre suspicion de négligence peut déclencher des enquêtes de la SEC, du CFPB ou même des amendes RGPD si des Européens sont touchés.

Leçons pour les startups et scale-ups tech en 2026

Cet incident n’est pas un cas isolé. Il s’inscrit dans une tendance lourde : les attaquants ciblent de plus en plus les fournisseurs d’identité et les SaaS critiques (Okta, Microsoft 365, Google Workspace, Slack, Notion…). Voici un plan d’action concret que chaque fondateur / CMO / CTO devrait mettre en œuvre dans les prochains trimestres :

1. Adoptez une posture zero-trust dès maintenant

Ne faites plus confiance à aucun utilisateur ou appareil, même interne. Vérifiez continuellement identité + contexte + comportement.

2. Passez à l’authentification phishing-resistant

Abandonnez progressivement les OTP SMS et les push MFA classiques au profit de clés de sécurité physiques ou passkeys.

3. Formez et testez vos équipes sans relâche

Phishing simulations mensuelles, gamification de la sensibilisation, récompenses pour les « chasseurs de phish » internes… Faites de la cybersécurité une valeur d’entreprise.

4. Diversifiez vos points de contrôle d’identité

Évitez le « single point of failure ». Même si Okta reste excellent, combinez-le avec d’autres outils (Cloudflare Access, Zscaler, BeyondCorp) pour segmenter les accès.

5. Préparez votre plan de communication de crise

Un template prêt à l’emploi, une liste de journalistes de confiance, un discours validé par le board… quand la tempête arrive, chaque minute compte.

Conclusion : la cybersécurité n’est plus un centre de coût, c’est un avantage compétitif

En 2026, les clients ne choisissent plus seulement sur le prix ou la rapidité d’exécution d’un prêt. Ils choisissent la marque qui leur inspire le plus confiance pour protéger leur patrimoine et leur identité. Figure va maintenant devoir reconstruire cette confiance patiemment.

Pour toutes les autres startups fintech, crypto, SaaS B2B ou marketplaces qui manipulent des PII (Personally Identifiable Information), l’histoire de Figure doit servir d’avertissement : la prochaine brèche n’est pas une question de « si », mais de « quand ». La vraie différence se fera entre ceux qui subiront l’inévitable et ceux qui auront bâti une résilience réelle.

Et vous, où en est votre stratégie cybersécurité aujourd’hui ? Avez-vous déjà simulé une compromission Okta ? Votre dernier phishing test date de quand ?

Les réponses à ces questions pourraient bien déterminer si votre entreprise figure dans les headlines de TechCrunch… pour les bonnes ou pour les mauvaises raisons.

author avatar
MondeTech.fr
See Full Bio
Précédent

Peter Steinberger Rejoint OpenAI Avec OpenClaw

Suivant

Nintendo Attaque les Tarifs US en Justice

À lire également