Le prêteur blockchain coté en bourse Figure confirme une fuite de données clients

En résumé

• Figure a confirmé une violation de données, indiquant qu’un employé a été dupé lors d’une attaque d’ingénierie sociale.
• Selon un rapport, les fichiers volés incluraient probablement des noms, adresses, dates de naissance et numéros de téléphone.
• La société de prêt cotée en bourse indique qu’elle offre une surveillance de crédit gratuite aux personnes concernées.

Figure Technology a confirmé vendredi avoir subi une violation de données clients après qu’un employé ait été ciblé lors d’une attaque d’ingénierie sociale. Le groupe de hackers ShinyHunters a revendiqué la responsabilité, affirmant que Figure a refusé de payer une rançon et qu’il a publié 2,5 gigaoctets de données volées. TechCrunch, qui a été le premier à rapporter la violation, a indiqué avoir examiné certains des fichiers, comprenant les noms complets, adresses, dates de naissance et numéros de téléphone des clients. « Nous avons récemment identifié qu’un employé a été victime d’une ingénierie sociale, ce qui a permis à un acteur de télécharger un nombre limité de fichiers via leur compte », a déclaré Figure dans un communiqué partagé avec Decrypt. « Nous avons agi rapidement pour bloquer cette activité et avons retenu une société forensique pour enquêter sur les fichiers affectés. » 

L’ingénierie sociale désigne lorsque des attaquants manipulent des employés par le biais de courriels, appels ou messages trompeurs afin d’accéder aux systèmes d’entreprise, souvent en les dupant pour qu’ils partagent des identifiants ou approuvent des demandes non autorisées. Un rapport de janvier de Chainalysis indique que plus de 17 milliards de dollars en cryptomonnaies ont été volés l’année dernière via des escroqueries d’usurpation d’identité alimentées par l’IA. Les violations de données sont restées répandues en 2025, avec plus de 8 000 notifications enregistrées par les régulateurs liées à plus de 4 000 incidents distincts affectant au moins 374 millions de personnes, selon un rapport de décembre 2025 du Privacy Rights Clearinghouse. Fondée en 2018, Figure est un prêteur basé à New York qui exploite sa plateforme de prêts sur la blockchain Provenance, en se concentrant sur les lignes de crédit sur la valeur domiciliaire. Figure est devenue une société cotée en bourse en septembre 2025 sous le symbole FIGR, levant 787,5 millions de dollars lors d’une introduction en bourse qui l’a évaluée à environ 5,3 milliards de dollars.

Bien que le porte-parole ait refusé de donner plus de détails, un membre de ShinyHunters aurait indiqué à TechCrunch que la violation faisait partie d’une campagne plus large ciblant des entreprises utilisant le fournisseur d’authentification unique Okta. Parmi les autres victimes présumées figuraient l’Université Harvard et l’Université de Pennsylvanie. Figure a déclaré qu’elle communiquait avec ses partenaires et les parties impactées, tout en mettant en place des mesures de sécurité supplémentaires. « Nous offrons une surveillance de crédit gratuite à toutes les personnes qui reçoivent un avis », a indiqué la société. « Nous surveillons en permanence les comptes et avons mis en place des mesures de sécurité solides pour protéger les fonds et comptes de nos clients. » L’annonce de la violation de données intervient alors que Figure a annoncé vendredi le lancement d’une offre secondaire publique proposée de jusqu’à 4 230 000 actions de ses actions ordinaires de la série A Blockchain, avec des plans de racheter jusqu’à 30 millions de dollars d’actions de classe A auprès des souscripteurs. L’action de Figure a clôturé la journée en hausse de 3,57 % à un prix de 35,29 dollars, bien qu’elle ait chuté de 37 % au cours du dernier mois.