Outils / Actualités / Un faux site de visa britannique a laissé 100 000 passeports et selfies téléversés en accès libre
Presse

Un faux site de visa britannique a laissé 100 000 passeports et selfies téléversés en accès libre

· VaultTools

Le 27 mai 2026, TechCrunch a révélé que UK Visa Portal, un site sans lien avec le gouvernement britannique, avait laissé au moins 100 000 passeports et selfies d'identité téléversés en accès libre dans un bucket Amazon S3 mal configuré. Les données GPS EXIF des selfies exposaient même l'adresse du domicile. Les outils dans le navigateur évitent tout téléversement.

VaultTools · 31 mai 2026

Une personne tenant des passeports, illustrant le type de document d'identité que les demandeurs téléversaient sur UK Visa Portal. Photo de Spencer Davis sur Unsplash

Sommaire


Ce qui s’est passé

Le 27 mai 2026, TechCrunch a révélé qu’un site nommé UK Visa Portal avait laissé au moins 100 000 documents accessibles publiquement en ligne. Ces fichiers étaient des passeports et des selfies d’identité que des demandeurs avaient téléversés dans le cadre d’une demande de visa. Le site n’a aucun lien avec le gouvernement britannique. Il serait exploité par la société Active Leadgen LLC, dont le siège se trouverait aux Émirats arabes unis, et utilise les pseudonymes “UK Visit” et “ETA-Pass.” Certains demandeurs ont affirmé avoir payé cette entreprise par erreur, croyant utiliser le service officiel GOV.UK.

Un informateur anonyme a signalé l’exposition à TechCrunch. Les données n’ont été sécurisées qu’au cours de la nuit de mardi à mercredi, quelques heures après la publication du premier article, alors que le problème était resté sans réponse pendant plusieurs jours.

Comment les fichiers ont été exposés

Les documents se trouvaient dans un espace de stockage hébergé par Amazon (un bucket Amazon S3). Le bucket lui-même n’affichait pas son contenu au public, mais une faille dans la partie technique du site permettait à une personne extérieure d’énumérer la liste complète des fichiers stockés. Une fois les noms de fichiers visibles, n’importe quel passeport ou selfie pouvait être ouvert par quiconque en connaissait l’adresse. Il n’y a eu aucune intrusion sophistiquée. Un navigateur pointé vers la bonne partie technique suffisait à révéler le catalogue.

C’est le même mode de défaillance qui avait exposé plus d’un million de scans de passeports chez l’hôtelier japonais Tabiq quelques semaines plus tôt. Le schéma reste le même : collecter un fichier sensible, l’écrire dans un stockage cloud et espérer que chaque réglage reste correct pour toujours.

Le risque caché dans un selfie

La fuite était pire qu’une simple pile de scans de pièces d’identité. Beaucoup des selfies téléversés conservaient leurs métadonnées EXIF d’origine, dont des coordonnées GPS précises indiquant le lieu de prise de chaque photo. Dans certains cas, cette localisation était assez exacte pour désigner l’adresse du domicile de la personne. Un seul selfie, téléversé pour vérifier une identité, devenait une carte menant à celui qui l’avait pris. La plupart des gens ignorent que leurs photos transportent leur position.

Un signalement accueilli par des avocats

Plutôt que de corriger la fuite après avoir été contactés, les exploitants ont répondu par l’intermédiaire des avocats du cabinet BakerHostetler et d’une agence de communication de crise, FTI Consulting. Les avocats n’ont fourni aucune preuve d’autorisation, et le gérant mentionné n’a pas répondu aux questions. Le bucket n’a été sécurisé qu’après que l’affaire est devenue publique, et non parce que le signalement avait été bien accueilli.

Pourquoi c’est important

C’est le problème de fond lorsqu’on téléverse des fichiers sensibles vers un site que l’on ne contrôle pas. Dès qu’un scan de passeport ou un selfie quitte votre appareil, sa sécurité dépend entièrement de la configuration du serveur d’un inconnu, et un seul bucket mal configuré expose tout le monde d’un coup. Le détail EXIF est la leçon la plus tranchante, car les données de localisation voyagent en silence dans des photos tout à fait ordinaires.

Les outils qui traitent les fichiers en local suppriment tout simplement l’étape du téléversement. Avec VaultTools, un scan de passeport, une image ou un PDF est traité dans votre navigateur, et les données ne voyagent jamais vers un serveur. Le retrait des métadonnées EXIF, y compris les coordonnées GPS, se fait sur votre propre appareil. Il n’y a aucun bucket à mal configurer, aucune durée de conservation à vérifier et aucun tiers à qui faire confiance. Un serveur qui ne reçoit jamais un fichier ne peut pas le divulguer.


Sources