La Commission nigériane pour la protection des données (NDPC) a lancé une enquête officielle sur d’importantes fuites de données présumées touchant Remita Payment Services Ltd. et Sterling Bank, ainsi que d’autres entités. Cette initiative fait suite à des allégations selon lesquelles des données sensibles de clients auraient été compromises.
L’enquête, confirmée par un communiqué publié dimanche et signé par Babatunde Bamigboye, responsable juridique de la NDPC, couvre plusieurs aspects critiques : les types de données personnelles impliquées, l’étendue présumée de la violation, les risques encourus par les personnes concernées et les mesures d’atténuation mises en place. Les investigations ont débuté le 1er avril 2026, avec la coopération des parties concernées.
Des allégations alarmantes sur le dark web
À l’origine de cette enquête, des revendications d’un acteur malveillant identifié sous le pseudonyme « ByteToBreach ». Ce dernier affirme avoir accédé illégalement aux systèmes informatiques de Sterling Bank et Remita. Selon ses déclarations, la banque aurait subi une fuite de données le 27 mars 2026, affectant près de 900 000 comptes clients et plus de 3 000 fichiers d’employés. Les données volées incluent des numéros de vérification bancaire, des informations de compte, des enregistrements de transactions, des détails de prêts et des documents d’identité.
Quelques jours plus tard, le 31 mars, ByteToBreach a revendiqué l’extraction d’environ 3 téraoctets de données depuis des infrastructures cloud liées à Remita, plateforme majeure de traitement de paiements utilisée pour les transactions gouvernementales et corporatives. La fuite présumée inclurait plus de 800 gigaoctets de documents KYC (Know Your Customer), comprenant des passeports, cartes d’identité, relevés bancaires, photographies et factures d’électricité. Les données compromises incluent également des bases de données, des codes sources, des journaux d’application et plus de 35 000 hachages de mots de passe.
Renforcement de la conformité dans le secteur financier
Le Dr Vincent Olatunji, Commissaire national et Directeur général de la NDPC, a ordonné des investigations ciblées sur les organisations utilisant des systèmes de paiement numérique sans respecter les garanties techniques et organisationnelles exigées par la loi nigériane sur la protection des données de 2023. Cette mesure vise à préserver l’intégrité du système de paiement numérique.
Selon la loi, les organisations doivent notifier la NDPC dans un délai de 72 heures en cas de violation susceptible d’affecter les droits et libertés des individus. En cas de risque élevé de fraude, d’usurpation d’identité ou de préjudice financier, les utilisateurs concernés doivent également être informés directement.
Cette enquête s’inscrit dans une série d’actions réglementaires visant à renforcer la conformité en matière de protection des données au Nigeria. En février 2026, la NDPC avait déjà ordonné une enquête sur les opérations de Temu, plateforme mondiale d’e-commerce, pour des violations potentielles de la loi NDP 2023.
Remita, exploité par SystemSpecs, joue un rôle central dans l’infrastructure financière nigériane en traitant les salaires gouvernementaux, les pensions et les transactions corporatives. Sterling Bank, quant à elle, est une banque commerciale agréée servant des centaines de milliers de clients à travers le pays.
À ce jour, ni Remita ni Sterling Bank n’ont publié de déclarations officielles confirmant ou niant les allégations de fuite. La NDPC réaffirme son engagement à protéger les données personnelles des utilisateurs et à garantir la conformité dans les secteurs fintech et bancaire.
Cette affaire souligne l’importance croissante de la cybersécurité dans un pays où les transactions numériques connaissent une croissance exponentielle.