Outils / Actualités / Cannaleaks : 985 000 scans d'identité de clubs de cannabis laissés ouverts sur des URL publiques
Presse

Cannaleaks : 985 000 scans d'identité de clubs de cannabis laissés ouverts sur des URL publiques

· VaultTools

Le chercheur en sécurité Sammy Azdoufal a découvert près de 985 000 passeports, cartes d'identité et permis de conduire de l'application de club de cannabis PuffPal stockés à des adresses web publiques prévisibles, sans mot de passe ni contrôle d'accès. Le système, conçu par la société irlandaise Nefos Solutions, contenait plus d'un million de profils de membres. High Times a révélé la fuite le 17 juin 2026.

VaultTools · 18 juin 2026

Une personne tenant des passeports, le type de document d'identité exposé lors de l'incident Cannaleaks. Photo sur Unsplash

Table des matières

Ce qui s’est passé

Près de 985 000 documents d’identité officiels liés à des membres de clubs de cannabis se trouvaient sur l’internet public sans mot de passe, sans chiffrement et sans contrôle d’accès, selon un article de High Times publié le 17 juin 2026.

Les documents appartenaient aux utilisateurs de PuffPal, une application de membres conçue par la société irlandaise Nefos Solutions via sa plateforme Cannabis Club Systems (CCS). Le système desservait plus de 800 clubs de cannabis, concentrés en Espagne (notamment à Barcelone), en Italie, en France et en Afrique du Sud, et contenait plus d’un million de profils de membres enregistrés.

L’exposition a été découverte par Sammy Azdoufal, un chercheur en sécurité indépendant, qui a constaté que les images d’identité téléversées par les membres étaient stockées à des adresses web prévisibles et entièrement ouvertes. Quiconque connaissait ou devinait l’URL pouvait ouvrir les fichiers.

Ce qui a été exposé

Selon High Times et des articles concordants, les données exposées comprenaient des images de passeports, de cartes d’identité nationales, de permis de conduire, de selfies et de photos de vérification. À côté des scans de documents figuraient des numéros de téléphone, des adresses postales, des adresses e-mail, des numéros de passeport, les préférences de variétés de cannabis des membres et des données sur la fréquence de leurs visites ou de leur consommation dans les clubs. Des messages privés entre clubs et utilisateurs étaient également accessibles.

Ce sont des données de niveau identité. Un scan de passeport, un selfie correspondant et une adresse postale forment exactement l’ensemble dont un fraudeur a besoin pour passer une vérification d’identité à distance ou ouvrir un compte au nom d’une autre personne.

Comment c’est arrivé

Selon Azdoufal, le backend de Nefos (appelé CCS Nube) utilisait une indexation séquentielle des utilisateurs et n’appliquait aucune protection aux fichiers stockés. Il n’y avait ni jeton d’authentification, ni cookie de session, ni clé d’API, ni mot de passe pour protéger les documents. Comme les adresses suivaient une structure prévisible, passer d’un enregistrement au suivant était trivial.

Le chercheur a également signalé avoir trouvé une clé secrète Stripe stockée en clair dans le code de l’application PuffPal, ce qui aurait permis à quiconque ayant des compétences minimales d’accéder directement aux données de paiement des utilisateurs.

La chronologie de la divulgation

La fuite n’a pas été refermée proprement. Après une première restriction de l’accès, la plateforme l’a rouvert le 4 juin 2026 parce que certains clubs se plaignaient de ne plus voir les photos de leurs membres. Pendant que les données restaient ouvertes, environ 5 000 nouveaux documents étaient ajoutés chaque jour. Le système n’a été entièrement arrêté que le 10 juin 2026, lorsque Nefos a coupé l’ensemble du dispositif PuffPal et rompu avec le prestataire qui l’avait conçu.

Andreas Nilsen, cofondateur de Nefos, a déclaré à The Verge que l’entreprise était « tenue de signaler la violation en vertu de la réglementation européenne » et qu’elle « pourrait encourir des sanctions ». Nefos a indiqué avoir averti les autorités locales et être en contact avec la Commission irlandaise de protection des données. En vertu du RGPD, les violations concernées doivent être signalées dans les 72 heures.

Pourquoi c’est important pour les outils de fichiers basés sur le navigateur

Le schéma Cannaleaks est le même que celui des fuites de systèmes d’enregistrement hôtelier, des portails de visa et des incidents KYC de la fintech : un document sensible est téléversé sur le serveur de quelqu’un d’autre, une copie est conservée, et une seule erreur de configuration transforme cette copie en fichier public. Les membres n’ont rien fait de mal. Ils ont scanné un passeport parce qu’une application le demandait, et le stockage derrière était grand ouvert.

Un fichier qui ne quitte jamais l’appareil ne peut pas se retrouver dans un bucket ouvert ou derrière une URL devinable. Lorsque le traitement des documents s’exécute localement dans le navigateur, il n’y a pas de téléversement, pas de copie côté serveur et pas de configuration de stockage à mal régler plus tard. VaultTools exécute chaque outil PDF et image côté client via WebAssembly : les octets restent sur votre machine, de sorte que le mode de défaillance qui a exposé près d’un million de scans d’identité n’existe tout simplement pas.

Si vous devez convertir, compresser, caviarder ou supprimer les métadonnées d’un document d’identité, le faire sur l’appareil élimine entièrement la copie sur serveur. Il n’y a rien à faire fuiter.

Sources

← Retour aux actualités