Outils / Actualités / Des chercheurs ont trouvé 19,6 milliards de fichiers en accès libre dans des buckets cloud publics, sans aucun mot de passe
Presse

Des chercheurs ont trouvé 19,6 milliards de fichiers en accès libre dans des buckets cloud publics, sans aucun mot de passe

· VaultTools

Le 28 mai 2026, Security Affairs a relayé une étude de Mysterium VPN qui a trouvé 19,6 milliards de fichiers exposés dans 535 480 buckets cloud listables publiquement, dont plus d'un million de fichiers nommés « password » et autant nommés « passport ». Les fichiers étaient accessibles à tous, sans identifiant. Les outils dans le navigateur ne déposent jamais un fichier dans un bucket.

VaultTools · 2 juin 2026

Des baies de serveurs dans un centre de données, illustrant le stockage cloud public où des milliards de fichiers étaient en accès libre sans mot de passe. Photo sur Unsplash

Sommaire


Ce que les chercheurs ont trouvé

Le 28 mai 2026, Security Affairs a relayé une étude de Mysterium VPN qui a passé au crible la face publique du stockage cloud mondial. Les chercheurs ont dénombré 19,6 milliards de fichiers présents dans 535 480 buckets cloud listables publiquement. Aucun de ces fichiers n’exigeait de mot de passe, d’identifiant ni d’exploit pour être lu. Toute personne qui en trouvait l’adresse pouvait l’ouvrir.

Il ne s’agit pas de la fuite d’une seule entreprise. C’est un instantané de la quantité de données sensibles accessibles sur Internet à tout moment, réparties entre des milliers d’organisations qui ont toutes commis la même petite erreur.

Comment les fichiers ont été exposés

Les fichiers étaient stockés dans des buckets cloud, ces conteneurs de stockage proposés par des services comme Amazon S3, Google Cloud, Azure, DigitalOcean et Alibaba. Selon le rapport, environ deux tiers du stockage exposé se trouvaient chez Amazon Web Services.

Un bucket est privé par défaut, mais un seul réglage suffit à l’ouvrir au public. Lorsque cela arrive, chaque fichier qu’il contient devient une adresse web que n’importe qui peut demander. L’équipe de Mysterium VPN n’a forcé aucun accès. Elle a analysé les métadonnées des buckets datant de mars 2026 et a trié les fichiers par type et par nom, sans télécharger les contenus. L’exposition était déjà là, visible par tous.

Ce qui est en accès libre

L’étude ne s’est pas arrêtée à un simple décompte, elle a classé ce que ces fichiers étaient réellement. Les résultats dressent un panorama des données les plus sensibles que détient une organisation.

  • 685 047 fichiers d’identifiants et de clés, dont des fichiers .env, des clés privées et des coffres de mots de passe
  • 985 645 fichiers .sql et 733 040 fichiers .bak, les exports de bases de données et les sauvegardes qui contiennent des tables entières d’utilisateurs
  • 764 015 fichiers contenant « secret » dans leur nom, 250 563 contenant « salary », 195 475 contenant « kyc » et 124 967 contenant « credentials »
  • plus d’un million de fichiers pour chacun des noms « password », « passport », « invoice » et « backup »

Un export de base de données dans un bucket ouvert, note le rapport, ce sont les mêmes données sans aucune protection, téléchargeables en un clic et exploitables pour toujours.

Une erreur de configuration, pas un piratage

Le fil conducteur de chacun de ces fichiers, c’est qu’aucun attaquant n’était nécessaire. Pas d’identifiant volé, pas de faille logicielle, pas de rançongiciel. Chaque exposition vient d’un conteneur de stockage censé être privé et resté public.

C’est le même mode de défaillance que derrière les récentes fuites de passeports chez le prestataire hôtelier japonais Tabiq, chez le site tiers UK Visa Portal et chez la plateforme d’études à l’étranger Leverage Edu. La différence ici, c’est l’échelle. Cette étude montre que le schéma ne concerne pas une poignée d’entreprises malchanceuses. C’est une condition structurelle de la façon dont les fichiers sont stockés dès qu’ils quittent un appareil.

Pourquoi c’est important

Chacun de ces 19,6 milliards de fichiers a été téléversé quelque part. Une personne a envoyé un scan de passeport pour vérifier un compte, une entreprise a poussé une sauvegarde dans le cloud, un développeur a versionné un fichier de secrets. Dès qu’un fichier atterrit dans un bucket, sa sécurité dépend d’un réglage qui doit rester correct, d’une règle de sauvegarde qui doit rester stricte, et de chaque personne ayant un accès qui ne doit jamais se tromper. L’étude montre à quelle fréquence cette chaîne se rompt.

Les outils qui traitent les fichiers en local suppriment l’étape du téléversement. Avec VaultTools, un scan de passeport, un relevé bancaire ou un PDF est traité dans votre navigateur, et les octets ne voyagent jamais vers un serveur. Vous pouvez recadrer une pièce d’identité, compresser un document, supprimer les métadonnées ou fusionner un PDF sans qu’aucun fichier ne quitte jamais votre machine. Il n’y a aucun bucket à mal configurer, aucune sauvegarde à laisser fuir, aucun tiers à qui faire confiance. Un fichier qui n’est jamais téléversé ne peut pas se retrouver dans un bucket ouvert.


Sources