Le 26 mai 2026, une enquête de TechCrunch a mis au jour une faille de sécurité d'une ampleur préoccupante : le site ukvisaportal.com, un service tiers non officiel, exposait publiquement les passeports et selfies de milliers de demandeurs de visa britannique. Au moins 100 000 documents d'identité auraient été consultables en ligne sans aucune protection. Le journaliste Zack Whittaker, à l'origine de la révélation, a confirmé l'authenticité des données en contactant des personnes concernées. Plus inquiétant encore : au moment de la publication, la faille n'avait toujours pas été corrigée, laissant des milliers de voyageurs — dont de nombreux Français — exposés à des risques d'usurpation d'identité.
100 000 passeports et selfies exposés : l'alerte de TechCrunch sur une faille toujours ouverte
L'enquête de TechCrunch, publiée le 26 mai 2026, a révélé que le site ukvisaportal.com laissait en libre accès les données personnelles de ses utilisateurs. Le chercheur en sécurité qui a signalé la faille a découvert que les documents — passeports scannés, selfies, justificatifs de domicile — étaient stockés sur un serveur non sécurisé, accessible sans mot de passe ni authentification. TechCrunch a pu vérifier l'authenticité des documents en contactant plusieurs personnes dont les données étaient exposées.
Le chiffre de 100 000 documents est une estimation basse. Certains experts estiment que le nombre réel de fichiers accessibles pourrait être bien plus élevé, car le site opère depuis plusieurs années et traite des centaines de demandes chaque semaine. La fuite concerne principalement des ressortissants de pays nécessitant un visa ou une autorisation électronique de voyage (ETA) pour entrer au Royaume-Uni — dont les Français depuis avril 2025.
Ce qui rend cette affaire particulièrement grave, c'est l'absence de réaction du site. TechCrunch a tenté de contacter les opérateurs de ukvisaportal.com via leur formulaire de contact, sans réponse. Aucun correctif n'a été déployé. Les données restent donc exposées, potentiellement récupérées par des acteurs malveillants. Pour comprendre l'ampleur du problème, il faut d'abord analyser la nature de ce site et son fonctionnement.
Un site tiers qui se fait passer pour GOV.UK
ukvisaportal.com n'est pas affilié au gouvernement britannique. C'est un service commercial qui facture une assistance à la demande de visa — un service que le gouvernement fournit gratuitement ou à moindre coût sur le site officiel GOV.UK. Le site imite l'apparence du portail officiel : mêmes couleurs, mêmes logos, même mise en page. Il apparaît en tête des résultats sponsorisés de Google, piégeant les voyageurs pressés qui ne vérifient pas l'URL.
Les avis sur Trustpilot sont accablants. Des centaines d'utilisateurs dénoncent des frais excessifs, des abonnements cachés à 39 € par mois, et une absence totale de service après-vente. Un exemple frappant : l'autorisation électronique de voyage (ETA) coûte officiellement 23 € depuis avril 2026 sur GOV.UK. Sur ukvisaportal.com, le même service est facturé jusqu'à 118 € — soit cinq fois le prix officiel. Et en plus de payer trop cher, les victimes livrent leurs données personnelles sans savoir qu'elles atterrissent sur un serveur ouvert à tous.
L'Immigration Barrister met en garde contre ces sites miroirs qui pullulent depuis le passage au tout numérique pour les visas britanniques en février 2026. Le gouvernement britannique lui-même recommande de n'utiliser que GOV.UK ou l'application officielle UK ETA.
Des documents d'identité en libre accès : le scénario cauchemar
Les données exposées ne se limitent pas à des noms et adresses e-mail. TechCrunch a confirmé la présence de numéros de passeport complets, de photos d'identité (selfies), de dates de naissance, d'adresses personnelles et parfois même de relevés bancaires. C'est le kit complet pour une usurpation d'identité.
Avec un numéro de passeport et un selfie, un fraudeur peut tenter d'ouvrir des comptes bancaires en ligne, de souscrire des crédits, ou de créer des comptes sur des plateformes nécessitant une vérification d'identité. Les selfies sont particulièrement dangereux : ils peuvent être utilisés pour contourner des systèmes de reconnaissance faciale, ou pire, pour créer des deepfakes vidéo. Dans un monde où la vérification biométrique devient la norme, ces photos ont une valeur considérable sur le marché noir.
TechCrunch a contacté plusieurs personnes dont les documents étaient exposés. Toutes ont confirmé avoir utilisé le site pour obtenir un visa ou un ETA britannique. Aucune n'avait été informée de la fuite. Certaines ont découvert l'affaire par l'article de TechCrunch lui-même. Le sentiment de trahison est immense : ces voyageurs ont payé pour un service et se retrouvent avec leurs données personnelles livrées à tout le monde.
Un serveur sans protection : comment la fuite a été découverte
Le chercheur en sécurité à l'origine de la découverte a expliqué à TechCrunch qu'il avait repéré le serveur vulnérable lors d'une analyse de routine des sites liés aux demandes de visa. Les fichiers étaient stockés dans un dossier accessible sans authentification, avec des noms de fichiers prévisibles. Il a suffi de quelques minutes pour accéder à des milliers de documents. Le chercheur a immédiatement alerté le site via son formulaire de contact, mais n'a jamais reçu de réponse. TechCrunch a confirmé que le serveur était toujours ouvert au moment de la publication de son enquête.
Voyageurs français piégés : 118 € pour un ETA, et leurs données volées
Les victimes françaises sont nombreuses. Depuis l'obligation de l'ETA pour les ressortissants français en avril 2025, des milliers de voyageurs ont cherché à obtenir cette autorisation en ligne. Beaucoup tombent sur ces sites frauduleux, attirés par des publicités bien placées ou une URL qui ressemble à s'y méprendre au site officiel.
Le Figaro a recueilli des témoignages édifiants. Une voyageuse française raconte avoir payé 118 € pour une démarche qui en coûte officiellement 23. Comme beaucoup, elle a cru utiliser le site officiel du gouvernement britannique. Elle n'a découvert l'arnaque qu'en voyant son relevé bancaire : en plus des 118 €, un abonnement mensuel de 39 € avait été prélevé à son insu. Et ses données — passeport, selfie, adresse — étaient désormais dans la nature.
« J'ai payé 118 € pour une démarche à 19 € » : la mécanique de l'arnaque
Le témoignage recueilli par Le Figaro illustre parfaitement le fonctionnement de ces sites. La voyageuse, qui préparait un séjour linguistique à Londres, a tapé « UK ETA » dans Google. Le premier résultat sponsorisé était ukvisaportal.com. Le site, avec son design professionnel et ses logos officiels, lui a paru légitime. Elle a rempli le formulaire, téléchargé son passeport et sa photo, payé 118 € par carte bancaire.
Quelques jours plus tard, elle a reçu un e-mail de confirmation… mais pas de la part du gouvernement britannique. C'était un accusé de réception du site tiers. En vérifiant ses comptes, elle a découvert un prélèvement de 39 € supplémentaire, avec la mention « abonnement mensuel assistance visa ». Elle a tenté d'annuler, sans succès. Le site ne répondait pas aux e-mails. Le numéro de téléphone indiqué était inexistant.
Ouest-France a également enquêté sur ces arnaques dès septembre 2025. Le journal a montré que les sites frauduleux utilisent des publicités Google Ads pour apparaître avant le site officiel. Certains vont jusqu'à acheter des noms de domaine comme « gov-uk-eta.com » ou « official-uk-visa.org » pour tromper les utilisateurs les plus vigilants.
Selfies et passeports français dans la nature : les risques concrets
Pour les voyageurs français, les conséquences de cette fuite vont bien au-delà de la perte financière. Leurs selfies et passeports sont désormais accessibles à quiconque sait où regarder. Les risques sont multiples.
Un fraudeur peut utiliser un selfie volé pour ouvrir un compte bancaire en ligne. De nombreuses banques françaises et européennes acceptent une vérification d'identité par selfie. Avec un passeport scanné et une photo correspondante, il devient possible de créer un compte, de demander une carte de crédit, ou de souscrire un prêt au nom de la victime.
Plus inquiétant encore : les selfies peuvent servir à générer des deepfakes. Des logiciels de plus en plus accessibles permettent de créer des vidéos réalistes à partir d'une seule photo. Imaginez une vidéo truquée montrant la victime disant « oui, je confirme cette transaction » ou « je donne mon accord pour ce virement ». Les dégâts potentiels sont immenses.
Enfin, il y a le risque de chantage. Des criminels pourraient contacter les victimes en menaçant de divulguer leurs données personnelles — ou pire, de les associer à des contenus compromettants générés par IA. Pour les jeunes voyageurs qui partent étudier ou travailler au Royaume-Uni, la perspective est terrifiante.
Des centaines de victimes françaises déjà identifiées
Le Figaro a recueilli plusieurs autres témoignages. Un étudiant lyonnais a payé 97 £ pour un ETA, croyant utiliser le site officiel. Il a reçu un e-mail de confirmation, mais son autorisation n'a jamais été enregistrée dans le système britannique. Arrivé à l'aéroport de Londres-Heathrow, il a été refoulé et a dû acheter un billet retour sur place. Une famille parisienne de quatre personnes a payé près de 500 € pour des ETA qui n'ont jamais été délivrés. Tous ont fourni leurs passeports et selfies. Tous sont désormais exposés à un risque d'usurpation d'identité.
2007-2022-2026 : la longue série des fuites britanniques sur les visas
L'incident de ukvisaportal.com n'est pas un cas isolé. Il s'inscrit dans une longue série de fuites de données liées aux visas britanniques, qui révèle un schéma récurrent de négligence et de mauvaise gestion. Depuis près de vingt ans, les autorités britanniques et leurs prestataires accumulent les erreurs, sans jamais tirer les leçons du passé.
2007 : VFS India, une faille oubliée
Le 16 juillet 2007, L.M. Costelloe Baker publiait un rapport d'enquête indépendant sur une faille de sécurité majeure dans le système de demande de visa en ligne de VFS, un prestataire privé du gouvernement britannique. Les sites de VFS en Inde, au Nigeria et en Russie présentaient une brèche technique qui exposait les données personnelles des demandeurs. Le rapport, commandé par UKvisas (l'ancêtre du UK Visas and Immigration), révélait que des failles avaient été signalées dès décembre 2005 — soit un an et demi avant que des mesures ne soient prises. Pendant tout ce temps, les données des demandeurs étaient potentiellement accessibles. Le rapport concluait à un manque de contrôle, une absence de tests de sécurité réguliers, et une réponse insuffisante aux alertes.
Dix-neuf ans plus tard, l'histoire se répète. Même négligence, même lenteur à corriger, même absence de communication envers les victimes.
2022 : Sopra Steria et la fuite afghane
En avril 2022, Sopra Steria, le prestataire gérant le UK Visa and Citizenship Application Service (UKVCAS), a accidentellement exposé les adresses e-mail de plus de 170 demandeurs de visa. Le Home Office s'est excusé, mais l'ICO (Information Commissioner's Office) a noté qu'aucun rapport de brèche n'avait été soumis dans les délais légaux.
La même année, une fuite bien plus grave a éclaté : le ministère de la Défense britannique a divulgué les informations personnelles d'environ 19 000 Afghans ayant travaillé pour l'armée britannique. Noms, adresses, photos, identité des membres de leur famille — tout était accessible. La fuite a été découverte à l'été 2023, quand des informations ont commencé à circuler sur Facebook.
Les conséquences ont été dramatiques. Le gouvernement britannique a dû mettre en place un programme d'accueil secret, l'Afghan Relocation Route (ARR), pour relocaliser les personnes menacées. En juillet 2025, le ministre de la Défense John Healey a présenté des excuses officielles devant le Parlement, révélant que 900 bénéficiaires principaux et 3 600 membres de leur famille avaient été transférés au Royaume-Uni, pour un coût de 400 millions de livres sterling. Le coût total du programme devrait atteindre 850 millions de livres.
Ce qui frappe dans cette affaire, c'est le temps de réaction : la fuite date de février 2022, mais le gouvernement n'en a pris connaissance qu'à l'été 2023. Pendant plus d'un an, les données des Afghans étaient dans la nature, sans protection. Le parallèle avec l'affaire ukvisaportal.com est frappant : à chaque fois, le Royaume-Uni tarde à corriger et à informer les victimes.
Un schéma qui se répète : négligence et silence
En 2007 comme en 2022 et aujourd'hui en 2026, les mêmes problèmes reviennent : des prestataires privés qui ne sécurisent pas correctement les données, des failles qui restent ouvertes pendant des mois, et des autorités qui tardent à réagir. Le Royaume-Uni a dépensé des centaines de millions de livres pour gérer les conséquences de ces fuites, mais n'a pas investi dans la prévention. La transition numérique des visas, censée simplifier les démarches, a été lancée sans filet de sécurité suffisant. Les sites frauduleux prospèrent, et les données des demandeurs continuent de fuir.
Home Office : pourquoi le silence face à une faille ouverte ?
Face à la révélation de TechCrunch, le Home Office est resté silencieux. Aucun communiqué officiel, aucune mise en garde sur le site GOV.UK, aucune déclaration aux médias. L'ambassade britannique à Paris n'a pas réagi non plus. Ce silence interroge, d'autant plus que la faille expose des citoyens de pays alliés, dont la France.
Une faille connue, mais pas de communication en français
Le site France Diplomatie, qui rappelle les conditions d'entrée au Royaume-Uni et l'obligation d'ETA depuis le 25 février 2026, ne mentionne pas la fuite de données. Pourtant, des milliers de Français consultent cette page chaque semaine pour préparer leur voyage. Une simple alerte aurait pu éviter à de nouvelles victimes de tomber dans le piège.
En comparaison, le système français France-Visas, géré par le ministère de l'Europe et des Affaires étrangères, centralise les demandes de visa vers la France. Il propose un portail unique, sécurisé, avec des prestataires contrôlés par l'État. La protection des données personnelles y est présentée comme une priorité. Le contraste avec le système britannique, qui laisse des sites tiers prospérer sans contrôle, est saisissant.
Le Home Office aurait pu — et dû — publier une mise en garde en plusieurs langues, dont le français. Il aurait pu contacter les hébergeurs du site pour faire retirer les données. Il aurait pu exiger de Google de supprimer les publicités sponsorisées. Rien de tout cela n'a été fait au moment de la publication de TechCrunch.
Violation du RGPD ? Les conséquences juridiques
La question juridique est complexe. ukvisaportal.com est un site tiers, basé hors du Royaume-Uni, qui traite des données de citoyens européens. En tant que responsable de traitement, il est soumis au Règlement général sur la protection des données (RGPD) de l'Union européenne. La fuite de données personnelles sans mesure de sécurité appropriée constitue une violation potentiellement grave.
Les victimes françaises peuvent saisir la CNIL, qui peut enquêter et infliger des amendes pouvant atteindre 4 % du chiffre d'affaires mondial de l'entreprise. Mais encore faut-il identifier l'entité juridique derrière le site, ce qui n'est pas toujours évident.
Le Home Office, de son côté, a-t-il une obligation de contrôle ? Le gouvernement britannique ne peut pas être tenu responsable des actions d'un site tiers non affilié. Mais il pourrait être accusé de ne pas avoir suffisamment protégé les consommateurs contre ces arnaques, surtout depuis le passage au tout numérique pour les visas. L'ICO britannique pourrait être saisi pour négligence dans la prévention des fraudes.
Des plaintes collectives pourraient voir le jour, comme cela s'est produit dans d'autres affaires de fuites de données. Les victimes françaises pourraient se regrouper pour demander des dommages et intérêts, tant pour le préjudice financier que pour l'exposition de leurs données personnelles.
Le précédent des amendes ICO : des précédents inquiétants
L'ICO a déjà sanctionné des entreprises pour des fuites de données similaires. En 2023, British Airways a écopé d'une amende de 20 millions de livres pour une fuite ayant touché 500 000 clients. En 2024, Marriott a été condamné à 18,4 millions de livres pour une faille ayant exposé 339 millions d'enregistrements clients. Mais ces amendes concernent des entreprises privées, pas des sites frauduleux fantômes qui disparaissent du jour au lendemain. La question reste ouverte : qui paiera pour les dégâts causés par ukvisaportal.com ?
Que faire concrètement si vous avez utilisé ukvisaportal.com ?
Si vous avez utilisé ukvisaportal.com ou un site similaire pour demander un visa ou un ETA britannique, il est urgent d'agir. Les données sont probablement compromises, et les risques d'usurpation d'identité sont réels. Voici les étapes à suivre pour vous protéger.
Étape 1 : Vérifier si vos données sont dans la nature
Commencez par vérifier vos e-mails : avez-vous reçu une confirmation de paiement de ukvisaportal.com ? Regardez vos relevés bancaires : des prélèvements suspects, notamment un abonnement mensuel de 39 €, doivent vous alerter.
Vous pouvez utiliser des services comme Have I Been Pwned pour vérifier si votre adresse e-mail a été compromise dans des fuites connues. Mais attention : cette base de données ne couvre pas toutes les fuites, et celle de ukvisaportal.com pourrait ne pas y être référencée.
La meilleure vérification reste manuelle : surveillez vos comptes bancaires, vos e-mails, et soyez attentif à toute activité suspecte. La fuite est active depuis plusieurs mois, donc des fraudeurs ont peut-être déjà utilisé vos données. Pour un guide détaillé sur la protection après une fuite de données, consultez notre article sur la fuite Tabiq : 1 million de passeports exposés, le guide pour vous protéger.
Étape 2 : Agir immédiatement (banque, CNIL, plainte)
Si vous avez payé par carte bancaire, contactez immédiatement votre banque. Demandez l'opposition sur les paiements à venir (notamment l'abonnement mensuel) et signalez les transactions frauduleuses. La plupart des banques proposent un service de surveillance renforcée des comptes.
Faites un signalement à la CNIL via leur formulaire en ligne. Expliquez que vos données personnelles ont été exposées sans votre consentement et que le site responsable n'a pas corrigé la faille. La CNIL peut enquêter et, si l'entreprise est basée dans l'UE, imposer des sanctions.
Si vous constatez des faits d'usurpation d'identité (ouverture de compte à votre nom, crédit non autorisé), portez plainte auprès du commissariat de police ou de la gendarmerie. Conservez tous les justificatifs : relevés bancaires, copies des e-mails, captures d'écran du site.
Enfin, vous pouvez saisir l'ICO britannique via leur site. Même si le site est tiers, l'ICO peut enquêter sur les pratiques de sécurité des données au Royaume-Uni.
Étape 3 : Protéger ses futures demandes de visa
La leçon est claire : pour toute demande de visa ou d'ETA britannique, n'utilisez que le site officiel GOV.UK ou l'application officielle UK ETA disponible sur l'App Store et Google Play. Ne passez jamais par un intermédiaire, sauf s'il s'agit d'un avocat spécialisé en immigration dont vous avez vérifié les références.
Vérifiez toujours l'URL avant de payer : l'adresse doit être gov.uk, pas ukvisaportal.com, gov-uk-eta.com ou autre variante. Les sites officiels du gouvernement britannique se terminent toujours par .gov.uk.
Le prix officiel de l'ETA est d'environ 23 € (depuis avril 2026). Si un site vous demande plus, c'est une arnaque. Méfiez-vous des publicités sponsorisées dans Google : les sites frauduleux les utilisent pour apparaître avant le site officiel. Tapez directement l'URL dans votre navigateur plutôt que de cliquer sur un lien.
Enfin, si vous avez déjà été victime, partagez votre expérience. Signalez le site à Google, à la CNIL, et aux autorités britanniques. Plus les signalements seront nombreux, plus vite ces sites seront fermés.
Étape 4 : Surveiller son identité sur le long terme
L'usurpation d'identité ne se manifeste pas toujours immédiatement. Des fraudeurs peuvent conserver vos données pendant des mois, voire des années, avant de les utiliser. Activez les alertes bancaires pour tout mouvement suspect. Vérifiez régulièrement votre fichier auprès de la Banque de France (FICP) pour détecter d'éventuels incidents de crédit. Si vous recevez des courriers ou appels concernant des comptes que vous n'avez pas ouverts, réagissez immédiatement.
Conclusion : la confiance brisée dans le visa britannique
Plus de 100 000 documents exposés, des Français déjà arnaqués et dont les données personnelles sont dans la nature, un Home Office qui n'a pas corrigé la faille et reste silencieux. Le tableau est alarmant. Cette affaire révèle une fois de plus les failles du système britannique de gestion des visas, passé au tout numérique sans préparation suffisante ni protection adéquate des demandeurs.
La transition numérique, censée simplifier les démarches, a ouvert la porte aux arnaques. Les sites frauduleux prolifèrent, imitant le site officiel avec une précision troublante, et les autorités britanniques peinent à réagir. Pour les voyageurs français, la leçon est amère : ils doivent redoubler de vigilance et ne faire confiance qu'au site GOV.UK.
Jusqu'à quand les voyageurs français seront-ils les oubliés de la sécurité numérique britannique ? La question mérite d'être posée. En attendant une réaction du Home Office, la meilleure protection reste la prudence. Vérifiez chaque URL, refusez les intermédiaires, et signalez tout site suspect. Et si vous avez été victime, agissez vite : vos données sont précieuses, et leur protection est entre vos mains.
