Figure Technology, une société de prêt basée sur la blockchain cotée au Nasdaq, a confirmé une violation de données après que des attaquants ont utilisé l'ingénierie sociale pour compromettre un employé. Un porte-parole cité par TechCrunch le 13 février 2026 a déclaré que les enquêteurs avaient constaté que un ensemble limité de fichiers avait été consulté et que l'entreprise avait commencé à notifier les personnes concernées et à offrir une surveillance de crédit gratuite. La divulgation intervient dans un contexte de surveillance continue des pratiques de sécurité dans les services financiers habilités par la crypto, où la valeur des réseaux ouverts est contrebalancée par le risque de fuite de données personnelles lorsque le personnel peut être manipulé pour fournir un accès.
Principaux points à retenir
L'accès non autorisé résulte d'une ingénierie sociale ciblant un employé, ce qui a permis d'accéder à un nombre limité de fichiers.
Le matériel divulgué comprend les noms complets des clients, leurs adresses domiciliaires, dates de naissance et numéros de téléphone, ce qui pourrait permettre des tentatives de fraude d'identité ou de phishing.
Le groupe ShinyHunters a revendiqué la responsabilité sur son site du dark web, citant l'exfiltration de données après qu'une rançon a été refusée par l'entreprise, et a publié environ 2,5 gigaoctets de données.
Environ 2,5 gigaoctets de données ont été publiés par les attaquants dans le cadre de la fuite.
Figure Technology a annoncé qu'elle commençait à notifier les clients affectés et à offrir une surveillance de crédit gratuite ; la société s'était récemment inscrite au Nasdaq et avait lancé la plateforme OPEN en janvier 2026.
OPEN, abréviation de On‑Chain Public Equity Network, permet d’émettre de véritables actions sur la blockchain de Provenance et autorise le prêt direct d’actions pledgées, en contournant les courtiers traditionnels pour certaines activités.
Contexte du marché : Cet incident s’inscrit dans un schéma plus large d’épisodes de sécurité affectant les prêteurs en crypto et les plateformes de finance ouverte. Bien que les pertes totales dues au phishing en 2025 aient diminué à environ 83,85 millions de dollars sur les chaînes de la machine virtuelle Ethereum, cette tendance ne signifie pas que le phishing a cessé ; les attaquants s’adaptent aux conditions du marché et ciblent le personnel ou les chaînes d’approvisionnement. La période de calme a suivi un rallye de mi-2025 sur le marché, notamment avec la forte hausse d’Ethereum en 2025, mais les risques restent élevés pour les utilisateurs des protocoles de finance en chaîne.
Pourquoi cela importe
Pour les investisseurs, la violation souligne les risques imbriqués auxquels sont confrontés les fintechs et les plateformes de prêt crypto qui dépendent de réseaux ouverts et de règlements en temps réel. La fuite de données personnelles augmente le potentiel de fraude d’identité et de campagnes de phishing visant les clients de Figure, compliquant la gestion des risques pour l’entreprise et ses utilisateurs.
Pour les développeurs et opérateurs de plateformes, l’incident met en évidence la nécessité continue d’une authentification robuste, de formations du personnel contre l’ingénierie sociale, et d’architectures zero-trust qui limitent l’accès aux données même après la compromission d’un seul employé. Le lancement d’OPEN en janvier 2026 témoigne de l’ambition de Figure de réinventer la pile des marchés de capitaux en permettant de véritables actions sur une blockchain, mais la violation montre que les contrôles de sécurité doivent suivre le rythme de l’innovation produit pour maintenir la confiance des utilisateurs.
D’un point de vue du marché, des incidents de sécurité comme celui-ci peuvent influencer le sentiment autour des solutions d’équité en chaîne et des services fintech associés, surtout à mesure que les régulateurs examinent la confidentialité des données et les normes régissant les actifs tokenisés et le prêt transfrontalier.
Ce qu’il faut surveiller
Les prochaines divulgations de Figure concernant l’ampleur de la violation, y compris le nombre de personnes affectées et les types précis de données exposées.
Toute notification réglementaire ou enquête découlant de l’incident et leurs implications pour la confidentialité des données dans le prêt basé sur la blockchain.
Les métriques d’adoption ou mises à jour de gouvernance liées à OPEN et à son intégration avec la blockchain Provenance.
D’autres publications de données ou contre-mesures de la part des acteurs malveillants, ainsi que toute indication d’activités de rançon ou de négociations.
Les assurances de Figure concernant l’intégrité de ses services et les mesures de remédiation dans ses flux de travail de prêt et de garde.
Sources et vérification
TechCrunch : Figure confirme la violation de données, avec des détails sur la vecteur d’ingénierie sociale et les efforts de notification (13 février 2026). https://techcrunch.com/2026/02/13/fintech-lending-giant-figure-confirms-data-breach/
Page de fuite du dark web de ShinyHunters affirmant la publication de 2,5 Go de données de Figure après le rejet de la note de rançon.
Détails de l’IPO et de la valorisation de Figure rapportés par Cointelegraph lors de l’introduction en bourse en septembre, avec un prix d’IPO de 25 dollars par action ayant levé environ 787,5 millions de dollars.
Couverture du lancement d’OPEN et sa description comme plateforme d’émission de véritables actions sur une blockchain et permettant le prêt peer-to-peer d’actions pledgées, selon Cointelegraph.
Contexte des pertes dues au phishing dans la crypto et leur diminution en 2025, avec des données de Scam Sniffer et analyses associées de Cointelegraph sur les drainages de portefeuilles et les tendances de sécurité.
Figure met à l’épreuve la sécurité du prêt en blockchain et de la plateforme OPEN
Figure Technology, une société de prêt basée sur la blockchain cotée au Nasdaq, a subi une violation de données que l’entreprise a qualifiée d’ingénierie sociale ciblant un employé. Un porte-parole cité par TechCrunch le 13 février 2026 a indiqué que les enquêteurs avaient trouvé qu’un ensemble limité de fichiers avait été consulté et que l’entreprise avait commencé à notifier les personnes concernées et à offrir une surveillance de crédit gratuite. La divulgation intervient dans un contexte de surveillance continue des pratiques de sécurité dans les services financiers habilités par la crypto, où la valeur des réseaux ouverts est contrebalancée par le risque de fuite de données personnelles lorsque le personnel peut être manipulé pour fournir un accès.
La méthode des attaquants n’était pas une intrusion automatisée à grande échelle, mais une manipulation ciblée d’un employé de Figure. Cette distinction est importante car elle encadre la violation non pas comme un piratage systémique de la plateforme, mais comme un incident d’ingénierie sociale ayant créé une voie d’accès aux fichiers internes. L’ensemble d’informations exposé dans certains échantillons examinés par TechCrunch comprenait des détails personnellement identifiables tels que noms complets, adresses, dates de naissance et numéros de téléphone. L’impact potentiel est double : vol d’identité et campagnes de phishing se faisant passer pour Figure ou ses affiliés, compliquant les efforts de remédiation de l’entreprise et pouvant éroder la confiance des clients.
Suite à la violation, l’écosystème de sécurité autour de Figure a attiré l’attention sur une revendication de responsabilité sur le dark web par un groupe connu. ShinyHunters a affirmé sur son site de fuite que l’opération avait réussi après que l’entreprise a refusé de répondre aux demandes de rançon, et a publié environ 2,5 gigaoctets de données prétendument extraites des systèmes de Figure. La véracité et l’étendue des données restent en cours d’investigation, mais cette assertion souligne le danger permanent de l’exfiltration de données comme tactique dans les campagnes de pression post-violation.
Figure Technology était devenue publique en septembre précédent, vendant des actions à 25 dollars chacune et levant environ 787,5 millions de dollars, avec une valorisation initiale estimée en milliards. Depuis, l’entreprise a poursuivi l’expansion de son modèle d’affaires via de nouvelles initiatives comme l’On‑Chain Public Equity Network (OPEN), lancée en janvier 2026 sur sa blockchain Provenance. OPEN est conçue pour permettre aux entreprises d’émettre de véritables actions et aux investisseurs de prêter ou pledger ces actions directement entre eux, en contournant les courtiers, dépositaires ou bourses traditionnels. La démarche témoigne de la tentative de Figure de fusionner l’equity tokenisé en chaîne avec une plateforme de prêt, visant à créer des canaux de liquidité non liés à des intermédiaires centralisés.
Alors que la violation se déroulait, l’industrie observait la rapidité avec laquelle Figure réagirait : notification des clients affectés, données proposées pour la protection, et mesures prises pour renforcer ses systèmes. L’incident souligne également la réalité plus large que les incidents de sécurité dans les écosystèmes crypto et fintech actifs peuvent influencer la confiance des investisseurs dans les nouveaux produits et plateformes qui cherchent à transformer la manière dont les actifs sont émis et transférés en chaîne. Bien que la plateforme OPEN promette une voie plus directe et moins dépendante des intermédiaires pour les transactions d’actions, la violation invite à un examen plus approfondi des contrôles internes, de la gouvernance des accès et des protections de la vie privée pour les utilisateurs particuliers et institutionnels.
L’incident s’inscrit dans une narration plus large où le paysage de la sécurité crypto continue d’évoluer. Des chercheurs ont noté que les incidents de phishing et de drainages de portefeuilles ont connu une hausse dans le passé, puis une contraction en 2025, même si les cycles de marché ravivent l’appétit pour le risque. Les données de Scam Sniffer montrent une baisse spectaculaire des pertes et victimes de phishing d’année en année sur les chaînes de la machine virtuelle Ethereum, mais les incidents de sécurité restent une menace persistante, surtout lorsque les attaquants exploitent des facteurs humains et des dépendances inter-systèmes. La violation chez Figure souligne qu’à mesure que les marchés et les technologies mûrissent, les opérateurs doivent rester vigilants face à l’ingénierie sociale et aux menaces internes pouvant exposer les données clients et miner la confiance dans les services financiers innovants.
https://platform.twitter.com/widgets.js
Cet article a été initialement publié sous le titre Figure Technology Data Breach Exposes Personal Customer Details sur Crypto Breaking News – votre source fiable pour l’actualité crypto, Bitcoin et mises à jour blockchain.
