Une société de trading pour compte propre a divulgué les numéros de sécurité sociale de ses traders : quelles sont les conséquences de la faille de sécurité chez Topstep ?

Lorsqu'ils évoquent le risque lié au trading pour compte propre, les traders pensent à l'effet de levier, au drawdown et à la liquidation. Ce qu'ils négligent souvent, c'est le risque inhérent au formulaire KYC qu'ils ont rempli pour être rémunérés. Deux cyberattaques distinctes contre Topstep fin 2025 ont exposé les noms, numéros de sécurité sociale et données d'identification officielles de traders.

Des recours collectifs sont en cours. Cette affaire soulève une question que tout trader disposant d'un compte vérifié KYC devrait se poser sans plus attendre .

Il y a eu deux incidents distincts, et il est important de comprendre les deux.

La première attaque, une attaque DDoS, a eu lieu le 8 septembre 2025. Après une enquête interne approfondie, Topstep a découvert le 3 décembre 2025 qu'entre le 8 septembre et le 16 octobre, certains fichiers contenant des informations personnelles avaient pu faire l'objet d'un accès non autorisé. Les traders concernés ont reçu un courrier début janvier 2026 confirmant que leurs noms et numéros de sécurité sociale avaient pu être compromis.

La seconde attaque, de type bourrage d'identifiants, a eu lieu le 14 décembre 2025 et a été découverte le lendemain. Dans un premier temps, Topstep a tenté d'imputer cet incident à la réutilisation par des traders de mots de passe provenant d'autres sites compromis, une explication qui a suscité de vives critiques au sein de la communauté des traders et a contribué à la procédure judiciaire actuellement en cours.

En réponse, Topstep a bloqué le trafic IP suspect, imposé la réinitialisation des mots de passe, rendu obligatoire l'authentification multifacteurs (auparavant facultative) et offert des services gratuits de protection contre l'usurpation d'identité aux utilisateurs concernés. Des recours collectifs sont actuellement en cours.

Nous voulons aborder directement un point que la plupart des reportages sur cet incident ont évité d'évoquer.

Topstep n'est pas la seule entreprise négligente. C'est elle qui s'est fait prendre. Le problème plus général est structurel : toute société de trading pour compte propre exigeant une vérification KYC détient des données comprenant, au minimum, des pièces d'identité officielles et, dans de nombreux cas, des numéros de sécurité sociale ou d'identification fiscale. Ces données sont stockées sur des serveurs. Ces serveurs sont des cibles.

Le secteur du trading pour compte propre a connu une croissance rapide, malgré un contrôle relativement faible de son infrastructure de sécurité des données. D'après nos observations, la plupart des entreprises du secteur ne sont pas des institutions financières réglementées soumises à des normes de sécurité obligatoires. Ce sont des sociétés privées dont le niveau d'investissement dans leur sécurité technique est variable. Lorsqu'elles collectent des pièces d'identité pour se conformer aux exigences de traitement des paiements, elles créent un risque que leurs traders évaluent rarement avant de les soumettre.

La question n'est pas de savoir si Topstep aurait dû faire mieux. La question que tout trader financé devrait se poser avant sa prochaine demande KYC est la suivante : quelles données cette société détient-elle sur moi, où sont-elles stockées et quelles preuves ai-je qu'elles sont correctement protégées ?

D’après les cas que nous avons analysés, les traders pour compte propre de cryptomonnaies sont confrontés à une version plus aiguë de ce risque que les traders pour compte propre de contrats à terme ou de devises, et ce pour deux raisons.

Premièrement, les sociétés de trading de cryptomonnaies pour compte propre opèrent à l'international avec un contrôle réglementaire limité. Il n'existe aucune norme de sécurité obligatoire équivalente à la norme PCI-DSS pour les prestataires de services de paiement, ni aux exigences de la CFTC en matière de cybersécurité pour les sociétés de trading de contrats à terme enregistrées. De fait, le niveau de protection des données requis est déterminé par chaque entreprise elle-même.

Deuxièmement, les structures de paiement dans le trading de cryptomonnaies pour compte propre exigent souvent une vérification d'identité au moment du retrait plutôt qu'à l'inscription. Cela signifie que les traders soumettent parfois leurs documents KYC après avoir déjà effectué des transactions et perçu leurs gains – un moment de forte motivation où l'examen des pratiques de sécurité de la plateforme est leur dernière préoccupation.

Les règles de Mubite ne requièrent aucune vérification d'identité (KYC) lors de l'inscription ni pendant la phase de vérification elle-même. La vérification d'identité n'est exigée qu'au moment du paiement, ce qui signifie que les données sensibles ne sont collectées que auprès d'un groupe beaucoup plus restreint – uniquement les traders ayant réussi la vérification et demandé un retrait – et non auprès de chaque inscrit dès le départ. Cette période d'exposition plus courte constitue une différence structurelle significative par rapport aux entreprises qui collectent des documents avant même qu'un trader n'ait effectué une seule transaction.

Si vous avez soumis des documents KYC à une société de trading pour compte propre, voici les étapes que nous vous recommandons de suivre, que cette société ait ou non divulgué un incident de sécurité :

• Si vous avez communiqué votre numéro de sécurité sociale à une société de courtage, inscrivez-vous à un service de surveillance de crédit. Les outils de surveillance proposés par les agences d'évaluation du crédit sont gratuits, et de nombreuses entreprises américaines sont légalement tenues de proposer ce service après une violation de données.

• Activez l'authentification multifacteurs sur tous les comptes connectés à une plateforme de trading, un service de paiement ou une adresse e-mail utilisée pour vos activités de trading. Les attaques par bourrage d'identifiants réussissent précisément parce que les traders réutilisent leurs mots de passe sur différentes plateformes.

• Vérifiez si les entreprises qui détiennent vos données ont publié une politique de sécurité ou de confidentialité décrivant comment les documents d'identité sont stockés, chiffrés et consultés. Si ces informations ne sont pas publiées, demandez-les directement avant de soumettre vos documents.

• Surveillez vos comptes auprès de toute société de trading pour compte propre exigeant une procédure KYC afin de détecter toute activité inhabituelle, notamment en ce qui concerne les demandes de paiement et les modifications des paramètres de compte.

Les principes de gestion des risques qui protègent un compte de trading approvisionné s'appliquent également aux données personnelles qui l'alimentent. Vous ne traderiez pas sans ordre stop loss. Ne communiquez jamais vos documents d'identité sans comprendre les protections qu'ils offrent.