Skip to content
hacker_posts

Goodvest victime d'une cyberattaque : données patrimoniales clients exposées

Le néobroker responsable Goodvest a détecté le 2 juin 2026 l'abus d'une clé d'accès technique et d'une API ayant exposé des données personnelles et patrimoniales clients.

Publié le 5 min de lecture
fuitegoodvestfintechapifrance

Le néobroker français Goodvest, spécialisé dans l'épargne responsable et l'investissement durable, a notifié ses clients début juin 2026 d'une cyberattaque ayant exposé des données personnelles et patrimoniales. L'incident a été détecté le 2 juin 2026 et résulte, selon la communication de l'éditeur reprise par Cyberattaque.org et FrenchBreaches, de l'exploitation d'une clé d'accès technique combinée à l'utilisation automatisée d'une API de données. Aucune perte de fonds ni de contrats n'est revendiquée — c'est une fuite par exfiltration, pas une compromission applicative bout-en-bout.

Données exposées

Selon le détail publié par les deux observatoires francophones — appuyé sur la notification clients de Goodvest — la base extraite contient :

  • Adresse e-mail et nom complet (nom + prénom).
  • Numéro de téléphone.
  • Patrimoine financier déclaré par le client lors de l'onboarding.
  • Revenus déclarés et solde total des encours financiers détenus chez Goodvest.
  • Composition du foyer (nombre de personnes).

L'exposition combine donc des identifiants directs (e-mail, téléphone, nom) à une fiche patrimoniale exploitable : niveau de richesse, revenus et profil familial. C'est la combinaison la plus utile pour des campagnes de fraude au conseiller, d'ingénierie sociale ciblée ou de spear-phishing financier.

Données non concernées

L'éditeur affirme — et la rédaction reprend cette affirmation sous réserve d'audit indépendant — que n'ont pas été exposés :

  • Coordonnées bancaires (RIB, IBAN).
  • Mots de passe.
  • Adresses postales.
  • Documents d'identité, justificatifs et pièces administratives.

Goodvest précise également que les fonds, investissements et contrats clients ne sont pas affectés. La fuite porte sur la base déclarative et la donnée KYC légère, pas sur le système de tenue de compte.

Le vecteur tel que confirmé

La formulation de Goodvest — telle que reportée par Cyberattaque.org — pointe deux éléments :

  1. L'exploitation d'une clé d'accès technique : un secret machine-à-machine (vraisemblablement un token API ou une clé applicative) qui aurait été obtenu ou détourné par l'attaquant.
  2. L'utilisation automatisée d'une API de données : la clé compromise donnait accès à un endpoint d'extraction, exploité de manière scriptée pour énumérer la base.

C'est un schéma classique d'abus de secret applicatif côté SaaS : un token sans rate-limit suffisamment serré, sans rotation, sans contrôle d'authentification utilisateur en aval, devient un raccourci complet vers les données qu'il était censé servir. La rédaction ne dispose d'aucun élément à ce stade sur le mode d'obtention du secret (fuite GitHub, compromission d'un poste d'employé, abus interne, exposition côté tiers), ni sur la fenêtre d'exposition avant la détection du 2 juin.

L'attaquant n'a pas été nommé publiquement et aucune revendication sur forum cybercriminel ne semble associée à l'incident à la date de ce billet.

Que faire

  1. Clients Goodvest : présumer que vos coordonnées de contact (e-mail, téléphone) et votre fiche patrimoniale déclarée circulent. Activer une vigilance accrue sur tout appel ou e-mail prétendant venir de Goodvest, d'un conseiller, ou d'une autorité (AMF, banque, fisc) qui mentionnerait des montants précis tirés de votre profil. Goodvest ne demandera jamais d'identifiants de connexion par téléphone ou par e-mail.
  2. Renforcer le second facteur sur votre accès Goodvest et sur les comptes e-mail liés. Le mot de passe n'est pas dans la fuite, mais la cohérence du discours de phishing s'en passera très bien.
  3. DSI fintech et éditeurs SaaS du même profil : auditer toutes les clés API techniques émises côté production. Pour chacune : périmètre minimal des droits, présence d'un plafond de débit (rate-limit applicatif et non simplement infrastructure), rotation programmée, logs d'usage corrélés aux IPs d'origine attendues. Une clé technique qui peut énumérer la base utilisateurs est un point de défaillance unique déguisé en commodité opérationnelle.
  4. Mettre en place une alerte sur volumétrie anormale par token au lieu de — ou en plus de — la détection par IP. Les exfiltrations par API se distinguent statistiquement d'un usage légitime sur des fenêtres de quelques heures : c'est précisément ce que la détection le 2 juin a probablement vu.
  5. Notification RGPD : Goodvest doit boucler la notification CNIL dans le délai de 72 heures prévu par l'article 33 RGPD à compter de la prise de connaissance, et tenir les clients informés selon l'article 34 si — comme ici — le risque pour les personnes est élevé compte tenu de la sensibilité patrimoniale exposée. Documenter la chronologie d'apprentissage et les mesures correctives prises est aussi important que la notification elle-même.

Contexte

C'est la deuxième fuite documentée de fintech française ces dernières semaines après l'incident d'Almerys côté tiers payant santé et après plusieurs incidents en chaîne sur des plateformes B2B2C (Carvivo, Krys, Optic 2000). Le vecteur n'est plus le même qu'en mai — le défaut d'autorisation côté URL applicative (IDOR) cède la place à un abus de secret machine-à-machine — mais la conséquence est identique : un endpoint d'extraction conçu pour servir un cas d'usage légitime devient le canal d'exfiltration de la base entière dès qu'un secret unique tombe.

La leçon structurelle se répète. Toute fintech qui rassemble en un seul tenant des identifiants directs et une fiche patrimoniale est, qu'elle le revendique ou non, un actif à valeur de marché immédiate pour les opérateurs de fraude financière par ingénierie sociale. La sécurité applicative ne se limite plus à l'authentification utilisateur ; elle inclut la gestion du cycle de vie des secrets techniques au même rang de criticité que les credentials humains. Sans rotation, plafond de débit applicatif et alerte de volumétrie sur token, une clé API en production est un compte de service avec les droits du fondateur et l'attention d'un fichier de configuration.

Goodvest devra publier dans les jours qui viennent le périmètre exact de la fenêtre d'exposition, l'origine du secret compromis et le détail des mesures de durcissement mises en place. La rédaction met à jour ce billet dès la communication officielle complémentaire.

Articles liés