Figure, géant fintech du prêt en ligne, confirme une fuite de données massive

2,5 gigaoctets de données clients balancés sur le dark web. Figure Technology, fintech spécialisée dans le prêt en ligne via la blockchain, s’est fait pirater. Et comme l’entreprise a refusé de payer la rançon, le groupe ShinyHunters a tout publié. Noms, adresses, dates de naissance, numéros de téléphone. Le package complet.

Un employé piégé, et tout bascule

L’attaque a commencé de la façon la plus classique qui soit : de l’ingénierie sociale. Un employé de Figure s’est fait manipuler, et les hackers ont récupéré un accès. Alethea Jadick, porte-parole de la boîte, parle d’« un nombre limité de fichiers » dérobés dans un communiqué transmis à TechCrunch le 13 février 2026. « Un nombre limité », c’est relatif quand on parle de 2,5 Go.

Figure dit être en contact avec les personnes touchées et propose un service gratuit de surveillance du crédit. Sur les questions plus précises de TechCrunch concernant l’ampleur réelle du truc, la porte-parole n’a pas répondu. Silence radio.

ShinyHunters ne bluffait pas

Ce groupe de hackers, les services de cybersécurité le connaissent bien. Après le refus de Figure de payer, ils ont mis en ligne les 2,5 Go sur leur site hébergé sur le dark web. TechCrunch a pu consulter une partie des fichiers : noms complets, adresses postales, dates de naissance, numéros de téléphone. En clair, tout ce qu’il faut pour de l’usurpation d’identité.

Harvard et UPenn aussi dans le lot

Le plus inquiétant, c’est que Figure n’est qu’une cible parmi d’autres. Un membre de ShinyHunters a expliqué à TechCrunch que la fintech faisait partie d’une campagne plus large visant les entreprises qui utilisent Okta, le fournisseur d’authentification unique. Harvard et l’université de Pennsylvanie ont aussi été touchées, avec des données publiées début février 2026.

Google Cloud a documenté cette montée en puissance de ShinyHunters dans le vol de données auprès de fournisseurs SaaS. Le groupe se professionnalise, et ça se voit.

Mauvais timing pour une boîte qui veut entrer en bourse

Figure Technology, fondée par Mike Cagney, avait déposé une demande d’introduction en bourse en août 2025. Du coup, se faire pirater quelques mois avant de convaincre des investisseurs, c’est le genre de contretemps dont on se passerait volontiers. Il va falloir prouver que les systèmes tiennent la route, et pour l’instant le bilan n’est pas glorieux.

Ce qui frappe, c’est que l’attaque n’a rien de sophistiqué côté technique. Pas de faille zero-day, pas de code malveillant révolutionnaire. Juste un employé qui s’est fait avoir. Et ça suffit pour faire tomber une fintech qui brasse des millions.