Imaginez que vos données d’identification bancaire soient soudainement exposées en ligne, accessibles à n’importe quel cybercriminel. C’est le cauchemar que vivent actuellement des millions de clients de Signzy, une startup indienne de vérification d’identité en ligne.

Signzy confirme un « incident de sécurité »

Selon des sources de TechCrunch, Signzy, qui compte parmi ses clients les quatre plus grandes banques indiennes, a été victime d’une cyberattaque la semaine dernière. Samedi, l’entreprise a confirmé être au courant d’un « incident de sécurité », sans donner plus de détails.

L’équipe d’intervention d’urgence informatique de l’Inde, connue sous le nom de CERT-In, a séparément reconnu auprès de TechCrunch qu’elle était au courant de l’incident et « en train de prendre les mesures appropriées avec l’autorité concernée ».

600 institutions financières touchées

Fondée en 2015, Signzy permet l’intégration de 10 millions de clients et d’entreprises chaque mois. La startup, qui a des bureaux à New York et à Dubaï en plus de ses bureaux indiens à Bengaluru, Gurugram et Mumbai, compte plusieurs grandes entreprises parmi ses principaux clients, notamment ICICI Bank, SBI, MSwipe et Aditya Birla Financial Services.

Au total, ce sont plus de 600 institutions financières dans le monde qui font appel aux services de Signzy pour leurs procédures de vérification d’identité et d’intégration des clients. L’ampleur de l’incident est donc potentiellement immense.

Des données client brièvement accessibles sur un forum cybercriminel

TechCrunch a appris l’existence de cet incident de sécurité par des sources, dont deux clients de Signzy, qui s’inquiétaient de la présence présumée de données client dans une publication sur un forum cybercriminel, que TechCrunch a pu consulter.

PayU, un autre client de Signzy, a déclaré que l’entreprise avait été touchée par un « malware voleur d’informations » mais a affirmé ne pas avoir été exposé à l’incident.

« Il n’y a pas d’impact sur les clients de PayU ou leurs données en raison du malware voleur d’informations de Signzy. Nous avons reçu une confirmation écrite du fournisseur que les données de PayU et de ses clients n’ont pas été compromises et restent sécurisées avec les meilleures normes de sécurité en place »

Dimple Mehta, porte-parole de PayU

Signzy reste vague sur l’exfiltration de données client

Interrogée par TechCrunch, Signzy a refusé de commenter la possibilité que des données client aient été exfiltrées. Debdoot Majumder, un porte-parole représentant Signzy, a déclaré que l’entreprise avait engagé une « agence professionnelle pour mener l’enquête sur l’incident de sécurité ».

La startup, soutenue par des investisseurs comme Mastercard, Vertex Ventures, Kalaari Capital et Gaja Capital, a déclaré avoir informé ses clients, les régulateurs et les parties prenantes de l’incident de sécurité. Cependant, interrogée sur ses échanges avec la Reserve Bank of India, la banque centrale du pays, Signzy a indiqué n’avoir eu aucune communication.

Les enjeux de la sécurité des données dans la fintech

Cet incident chez Signzy met en lumière les risques liés à la centralisation des données d’identification chez les fournisseurs tiers. Avec la numérisation croissante des services financiers, de plus en plus d’entreprises externalisent leurs procédures KYC (Know Your Customer) et d’intégration client à des startups spécialisées comme Signzy.

Si cela permet de rationaliser les processus et de réduire les coûts, cela crée aussi de nouveaux points de vulnérabilité. Une fuite de données chez un de ces fournisseurs peut compromettre les informations de millions de personnes d’un seul coup.

Cet incident souligne donc la nécessité pour les entreprises fintech et leurs prestataires de services de :

• Renforcer constamment leur cybersécurité
• Minimiser et compartimenter les données collectées
• Mettre en place des plans de réponse robustes en cas d’incident
• Être transparents avec les clients et les régulateurs en cas de fuite

Les régulateurs financiers du monde entier scrutent de plus en plus près les pratiques de sécurité des données dans la fintech. En Inde, la RBI a publié des directives sur la gouvernance des données numériques pour les prêteurs numériques en septembre dernier.

Il est probable que le cadre réglementaire se renforce dans les années à venir pour encadrer la collecte et la protection des données personnelles par les entreprises fintech et leurs prestataires tiers. L’incident de Signzy ne fera qu’accélérer cette tendance.

Les prochaines étapes pour Signzy

Pour Signzy, la priorité est maintenant de :

• Faire toute la lumière sur cet incident de sécurité
• Évaluer et minimiser son impact
• Rassurer ses clients et partenaires
• Revoir en profondeur ses pratiques de sécurité

La startup, valorisée à 250 millions de dollars lors de son dernier tour de table en 2021, joue son avenir et sa réputation sur sa gestion de cette crise.

D’autres acteurs de la vérification d’identité en ligne comme Onfido, Jumio ou Trulioo observent sûrement la situation de près. Une fuite de données chez l’un d’entre eux aurait des conséquences encore plus vastes étant donné leur envergure mondiale.

Vigilance accrue du grand public

Les consommateurs sont aussi de plus en plus sensibles à la protection de leurs données personnelles. Les scandales à répétition comme celui de Cambridge Analytica ont éveillé les consciences sur les dérives possibles.

Chaque nouvel incident nourrit un peu plus la méfiance envers les entreprises qui collectent et centralisent des données en masse. Une tendance qui pousse les régulateurs à durcir les règles et les entreprises à revoir leurs pratiques.

Dans ce contexte, la transparence et la réactivité de Signzy seront clés pour limiter les dégâts en termes d’image et éviter un effet domino sur le secteur. Les prochains jours et semaines seront décisifs pour en savoir plus sur l’ampleur réelle de cet incident et son impact final.