30 000 déclarations fiscales, pièces d'identité et contrats : les fichiers privés des utilisateurs de Fiverr retrouvés dans Google
Un chercheur en sécurité a révélé le 16 avril 2026 que Fiverr stockait les PDF téléversés par les utilisateurs sur Cloudinary derrière des URL publiques non authentifiées et sans expiration. Des formulaires fiscaux, permis de conduire, dossiers médicaux et identifiants d'administrateur ont été indexés par Google. Fiverr avait été prévenu 40 jours plus tôt sans réagir. L'entreprise nie qu'il s'agisse d'un incident de cybersécurité.
VaultTools · 21 avril 2026
Photo sur Unsplash
Table des matières
- Ce qui s’est passé
- Ce qui a fuité
- Comment une mauvaise configuration est devenue une archive publique
- Chronologie de la divulgation et réponse de Fiverr
- Pourquoi les fichiers téléversés sont un risque structurel
- Sources
Ce qui s’est passé
Le 16 avril 2026, un chercheur en sécurité anonyme, sous le pseudonyme Morpheuskafka, a publié sur Hacker News des résultats montrant que des documents privés téléversés sur Fiverr étaient accessibles via la recherche Google. Cybernews et plusieurs autres médias ont confirmé les faits de façon indépendante le même jour.
Les documents n’ont pas été volés lors d’une intrusion. Ils étaient hébergés sur le compte Cloudinary de Fiverr, un service tiers utilisé par la plateforme pour stocker les PDF et images échangés entre acheteurs et vendeurs. Fiverr a configuré ces fichiers derrière des URL publiques non authentifiées et sans date d’expiration, et Google Search les a parcourues puis indexées. Une requête du type site:fiverr-res.cloudinary.com form 1040 renvoyait des milliers de résultats au moment de la divulgation.
SecurityOnline et Sentra ont rapporté que plus de 30 000 documents privés ont été exposés. Les fichiers sont restés accessibles durant des semaines après la notification privée initiale, et durant plusieurs heures après le début de la couverture médiatique publique.
Ce qui a fuité
Les documents exposés comprenaient des formulaires fiscaux comme le Form 1040 (déclaration de revenus des particuliers aux États-Unis), des passeports, des permis de conduire, des cartes nationales d’identité, des contrats de travail privés et des livrables, des factures mentionnant des adresses personnelles, des dossiers médicaux, des mots de passe, des clés d’API ainsi qu’au moins un jeu d’identifiants d’administrateur.
Cybernews a relevé que certains fichiers révélaient des accords commerciaux interentreprises, des travaux de design non publiés et des correspondances personnelles. L’analyse de Sentra a montré que la portée couvrait des catégories réglementées, notamment les informations fiscales et les données de santé protégées, qui relèvent respectivement de l’IRS et de la loi HIPAA aux États-Unis.
Un détail ressort particulièrement. Fiverr payait des annonces Google Ads ciblant le mot-clé « form 1040 filing » pendant que les formulaires fiscaux téléversés par ses propres utilisateurs étaient, sur le même moteur de recherche, indexés publiquement.
Comment une mauvaise configuration est devenue une archive publique
Cloudinary prend en charge les URL signées, les URL à expiration et les règles de contrôle d’accès. Fiverr n’a choisi aucune de ces options pour les documents concernés. À la place, les fichiers envoyés dans les fils de discussion recevaient des URL publiques permanentes, ensuite intégrées dans des pages HTML accessibles à Google.
David Stuart, de Sentra, a résumé la cause profonde comme « un défaut de compréhension de l’endroit où résident les données réglementées, de la manière dont elles se diffusent rapidement et sont partagées entre services, et de la présence effective de contrôles comme les URL signées, l’authentification et des règles d’indexation correctes ». Il a ajouté que l’incident n’est pas une faille zero-day, mais un manque d’hygiène dans la configuration.
Privacy Guides a signalé un élément connexe durant la période de divulgation. La certification ISO 27001 de Fiverr en matière de sécurité de l’information avait expiré, un détail qui ne prouve pas à lui seul une négligence, mais qui contredit la communication de la plateforme sur la robustesse de sa gestion des données.
Chronologie de la divulgation et réponse de Fiverr
D’après le message du chercheur, l’équipe de sécurité de Fiverr a été prévenue par courriel environ 40 jours avant la divulgation publique. Le chercheur indique n’avoir reçu aucune réponse de fond durant cette période. Ce n’est qu’après que Cybernews et Inc. ont contacté l’entreprise que Fiverr a publié un communiqué.
Le communiqué de Fiverr est le suivant : « Soyons clairs : il ne s’agit pas d’un incident de cybersécurité. Fiverr n’expose pas de manière proactive les informations privées de ses utilisateurs. Les contenus en question ont été partagés par les utilisateurs dans le cadre normal de l’activité de la place de marché pour présenter des exemples de travaux, conformément aux accords et autorisations entre acheteurs et vendeurs. »
La déclaration requalifie l’exposition en comportement voulu par les utilisateurs plutôt qu’en erreur de configuration. Elle n’aborde ni l’indexation des déclarations fiscales, ni celle des passeports ou des identifiants d’administrateur, des documents qu’aucun vendeur ne partagerait raisonnablement comme « exemple de travail ». Au moment de la publication, les URL publiques renvoyaient toujours certains fichiers.
Pourquoi les fichiers téléversés sont un risque structurel
L’incident Fiverr ne concerne pas un attaquant sophistiqué. Il illustre ce qui se passe quand un fichier quitte l’appareil d’un utilisateur et entre dans la chaîne d’un tiers. Une fois le PDF téléversé, l’utilisateur ne contrôle plus s’il est stocké avec des URL signées, s’il est indexé, si le fournisseur de stockage est lui-même compromis, ou si les certifications de conformité de l’hébergeur sont à jour.
Privacy Guides a fait le même constat dans sa couverture : « Si vous ne le téléversez pas, il ne peut pas être exposé. »
C’est l’argument structurel en faveur de l’exécution des opérations sur fichiers dans le navigateur. Un PDF fusionné, découpé, compressé ou filigrané à l’intérieur d’un module WebAssembly reste sur la machine de l’utilisateur. Pas de bucket cloud, pas de politique d’URL signée à mal configurer, aucun robot de moteur de recherche ne peut atteindre le fichier. Les données n’entrent jamais dans l’environnement d’un tiers.
VaultTools exécute chaque outil dans le navigateur, avec du Rust compilé en WebAssembly. Les fichiers sont lus en mémoire, traités par le module Wasm et renvoyés au téléchargement. Aucune requête réseau ne transporte leur contenu. L’exposition de Fiverr rappelle que le fichier le plus sûr est celui qui n’a jamais été téléversé.
Sources
- Massive cyber blunder at Fiverr: user IDs, private data leaking on Google Search (Cybernews)
- Open Access: How a Simple Fiverr Config Error Exposed 30,000 Private Documents to Google (SecurityOnline)
- Fiverr Data Breach: Beyond Misconfigured Buckets and the Data Sprawl That Made It Inevitable (Sentra)
- Fiverr Exposes Private Information of its Users Publicly on Google Search Results (Privacy Guides)
- Fiverr Denies ‘Major Security Lapse’ Despite Private User Data Appearing in Google Search (Inc.)
- Researchers Say Fiverr Left User Files Open to Google Search (Hackread)
- Fiverr exposes sensitive data via public URLs indexed by Google (CyberInsider)
- Fiverr data breach exposes sensitive user data via Cloud (Cybersecurity Insiders)
- Fiverr Denies Report of Data Leak (PYMNTS)