Transferts non autorisés chez Flutterwave
La première fintech du Nigeria a subi une série d'incidents de transferts non autorisés en 2023, dont un détournement de 2,9 milliards de NGN (4,2 M$) réparti sur 28 comptes et une perte ultérieure de 19 milliards de NGN (24 M$) via un accès marchand TPE détourné, entraînant des injonctions Mareva pour geler des milliers de comptes bénéficiaires.
- Victime
- Flutterwave
- Perte
- $24.0M
- utilisateurs
- 6.0K
Au cours de 2023 et jusqu'en 2024, Flutterwave — la fintech la plus valorisée d'Afrique et un processeur de paiements dominant au Nigeria — a été frappée par une série récurrente d'incidents de transferts non autorisés qui ont vidé des milliards de nairas de sa plateforme et imposé des actions judiciaires répétées pour récupérer les fonds.
Ce qui s'est passé
L'épisode le plus marquant de 2023 a débuté vers le 19 février 2023, lorsque environ 2,9 milliards de NGN (~4,2 millions de dollars) ont été sortis de Flutterwave via 63 transactions réparties sur 28 comptes. Début mars, des requêtes judiciaires — visant des restrictions Post-No-Debit sur 107 comptes bénéficiaires dans 27 institutions financières — étaient devenues publiques. Les analyses en ligne suggéraient que les fonds avaient été atteints après la compromission de clés API de marchands par ingénierie sociale, sans que le vecteur exact n'ait jamais été officiellement confirmé. Flutterwave a publiquement nié tout piratage, affirmant qu'« aucun utilisateur n'a perdu de fonds » et attribuant l'événement à des clients n'ayant pas activé les paramètres de sécurité recommandés.
Un incident plus important a suivi. Le 10 octobre 2023, Flutterwave a découvert que des marchands à terminal de point de vente avaient détourné leur accès à la plateforme — qu'elle a qualifié d'« anomalie technique » — pour exécuter des transferts illégaux totalisant environ 19 milliards de NGN (~24 millions de dollars).
Réponse
En février 2024, Flutterwave a obtenu une injonction Mareva contraignant 35 institutions financières — dont Access Bank, Zenith Bank, OPay et Moniepoint — à divulguer les données KYC de plus de 6 000 titulaires de comptes bénéficiaires afin de poursuivre le recouvrement par e-mail, SMS et WhatsApp. Une nouvelle fuite signalée en mai 2024 a vu environ 11 milliards de NGN (~7 millions de dollars) transiter par cinq institutions sur quatre jours via des transferts circulaires de type blanchiment conçus pour rester sous les seuils de détection de fraude. La police nigériane a ensuite arrêté des clients de banques liés à cette affaire.
Impact
L'ensemble de ces incidents a souligné de profondes faiblesses dans l'écosystème des paiements nigérian : mauvaise hygiène des clés marchands, application incohérente du KYC entre les banques, et facilité avec laquelle des comptes bénéficiaires pouvaient être ouverts et vidés avant détection. Bien que Flutterwave ait soutenu que les fonds et les données des clients n'avaient jamais été compromis, ces épisodes ont porté atteinte à la réputation d'une entreprise qui préparait alors une éventuelle introduction en bourse et opérait dans plus de 30 marchés africains.
Pourquoi c'est important
Les difficultés de Flutterwave en 2023 sont devenues un cas de référence pour le risque de fraude et d'abus interne/marchand dans les fintechs en forte croissance. Elles ont contribué à renforcer le contrôle de l'intégration des marchands TPE et placé les obligations de vérification BVN/NIN de la Banque centrale du Nigeria au cœur du débat réglementaire, illustrant qu'à l'échelle d'une fintech, les pertes les plus dommageables peuvent provenir non pas d'une fuite de base de données mais d'un accès légitime détourné et d'un KYC en aval poreux.
Chronologie
Environ 2,9 milliards de NGN (~4,2 M$) sont détournés de Flutterwave via 63 transactions réparties sur 28 comptes ; l'entreprise déclare avoir détecté l'anomalie par surveillance de routine.
Des requêtes judiciaires visant à geler 107 comptes bénéficiaires dans 27 institutions financières deviennent publiques ; Flutterwave nie tout piratage et affirme qu'aucun utilisateur n'a perdu de fonds.
Flutterwave découvre que des marchands à terminal TPE ont détourné leur accès à la plateforme via une « anomalie technique », transférant illégalement environ 19 milliards de NGN (~24 M$).
Flutterwave obtient une injonction Mareva pour récupérer les ~24 M$, contraignant 35 institutions à divulguer les données KYC de plus de 6 000 titulaires de comptes bénéficiaires.
Une fuite distincte signalée en 2024 voit 11 milliards de NGN supplémentaires (~7 M$) transités par cinq institutions financières sur quatre jours via des transferts circulaires de type blanchiment.
La police nigériane arrête des clients de banques liés à l'affaire de fraude de 11 milliards de NGN.
Sources
- techcrunch.comhttps://techcrunch.com/2023/03/05/alleged-security-breach-leaves-millions-of-dollars-missing-from-flutterwave-accounts/
- techcabal.comhttps://techcabal.com/2024/02/08/flutterwave-to-recover-missing-24million/
- techpoint.africahttps://techpoint.africa/news/flutterwave-plans-recover-lost-funds/
- techcabal.comhttps://techcabal.com/2024/05/16/exclusive-flutterwave-loses-%E2%82%A611-billion-in-security-breach/