**Companies House**, une agence gouvernementale britannique, a mis son service WebFiling hors ligne vendredi pour remédier à une vulnérabilité de sécurité présente depuis octobre 2025. La faille a potentiellement exposé les données de millions d'entreprises enregistrées. ### Découverte de la vulnérabilité La vulnérabilité a été signalée à **Companies House** par **Dan Neidle**, fondateur de **Tax Policy Associates**, après que John Hewitt de **Ghost Mail** a initialement découvert le problème mais n'aurait pas reçu de réponse de l'agence. "Il suffisait de se connecter à Companies House avec ses propres identifiants et d'accéder au tableau de bord de sa propre entreprise. Ensuite, il fallait choisir de 'déposer pour une autre entreprise' et d'entrer le numéro d'entreprise de l'une des cinq millions d'entreprises enregistrées auprès de Companies House", [a déclaré Neidle](https://taxpolicy.org.uk/2026/03/13/companies-house-security-vulnerability-directors-addresses/). "À ce stade, on vous demandait un code d'authentification, que vous n'aviez bien sûr pas. Pas de problème. Appuyez sur la touche 'retour' quelques fois pour revenir à votre tableau de bord. Sauf que – ce n'est pas votre tableau de bord. C'est le tableau de bord de l'autre entreprise." ### Exposition des données Selon Neidle, la faille a permis d'accéder à des informations sensibles, y compris les adresses personnelles et e-mail de la direction de l'entreprise, pour les cinq millions d'entreprises enregistrées. **Companies House** a confirmé la vulnérabilité lundi, déclarant qu'elle avait été introduite lors d'une mise à jour de ses systèmes WebFiling en octobre 2025.  L'agence a reconnu que les utilisateurs connectés auraient potentiellement pu "modifier certains éléments des détails d'une autre entreprise sans leur consentement". Elle a également admis que la vulnérabilité aurait pu être exploitée pour voler des données et accéder aux registres d'entreprise un par un. ### Impact et enquête "Notre enquête a établi que des données spécifiques d'entreprises individuelles qui ne sont normalement pas publiées sur le registre de Companies House ont pu être visibles par d'autres utilisateurs connectés à WebFiling", a déclaré **Companies House** dans une [annonce publique](https://www.gov.uk/government/news/update-on-companies-house-webfiling-security-issue). Ces données exposées comprenaient les dates de naissance, les adresses résidentielles et les adresses e-mail d'entreprise. L'agence a également noté la possibilité de dépôts non autorisés, tels que des comptes ou des changements de directeur, effectués sur le dossier d'une autre entreprise. **Companies House** a précisé que les mots de passe des utilisateurs et les données de vérification d'identité, telles que les informations de passeport, n'ont pas été compromis. De plus, les documents déjà déposés n'ont pas pu être modifiés. L'agence a signalé l'incident au **Information Commissioner's Office (ICO)** et au **National Cyber Security Centre (NCSC)** du Royaume-Uni. Une enquête est en cours pour déterminer si la vulnérabilité a été exploitée pour accéder ou modifier les détails d'une entreprise. "Nous n'avons à ce stade aucun rapport de données ayant été consultées ou modifiées sans autorisation", a déclaré **Companies House**. "Cependant, notre enquête est en cours. Nous fournirons de nouvelles mises à jour au fur et à mesure de l'avancement de nos travaux et nous nous engageons à faire preuve de transparence tout au long du processus."