L’insouciance numérique a un prix. Cette fois, ce sont les clients des clubs de cannabis espagnols qui règlent la facture. Pendant plusieurs semaines, les secrets de près d’un million de personnes ont traîné sur des serveurs web ouverts aux quatre vents. Pas besoin d'être un génie du piratage. Une simple adresse URL bien ciblée suffisait pour feuilleter des dossiers confidentiels. À l’origine de ce naufrage, on trouve Cannabis Club Systems (CCS) — une firme irlandaise anciennement baptisée Nefos Solutions — qui fournit logiciels et matériels à ces associations ibériques. Le chercheur Sammy Azdoufal a soulevé le tapis. Ce qu'il a trouvé dessous donne la nausée à n'importe quel analyste des menaces.
Le mécanisme du piège est d'une simplicité affligeante. Pour consommer légalement en Espagne, le visiteur montre patte blanche. Le club scanne sa pièce d’identité, puis envoie le fichier directement dans le cloud de CCS pour faciliter les vérifications futures. Une centralisation des données massive. Absolue. Et non sécurisée. En parallèle, l’application PuffPal — censée fluidifier les accès via des QR codes — servait de passoire. En disséquant son code, Sammy Azdoufal a mis au jour des profils complets : numéros de téléphone, adresses physiques, historiques et préférences de consommation mensuelle. Tout y était.
Le compteur de la honte tournait à plein régime. Environ 5 000 nouvelles pièces d’identité venaient grossir les rangs de la base de données chaque jour. Au total, ce sont 985 000 photographies de passeports et de cartes d’identité qui attendaient sagement qu'on vienne les ramasser. Parmi les victimes, des touristes du monde entier et des célébrités. Des gens dont le point commun est de vouloir — par choix ou obligation professionnelle — garder leur consommation strictement privée. Un levier de chantage en or massif pour les officines de cyberextorsion. Le risque concret ici ne réside pas seulement dans l’usurpation d’identité classique. On parle d'ingénierie sociale ciblée, où l'attaquant utilise des détails intimes pour manipuler sa victime. Le spear-phishing (harponnage) devient redoutable quand l'escroc connaît votre adresse et vos habitudes hebdomadaires.
L’architecture de CCS cumulait les fautes professionnelles. Au-delà des serveurs mal configurés, un portail d’administration complet trônait sur le web, protégé par des mots de passe si ridicules qu’ils n'auraient pas résisté à une attaque par force brute de quelques minutes. Pire, l’application hébergeait les messages privés échangés entre les clubs et leurs membres. Une transparence totale. Mais pas dans le bon sens. Pour comprendre le niveau d'amateurisme, il faut imaginer un coffre-fort de banque dont on aurait laissé la porte grande ouverte sur le trottoir, avec un post-it contenant le code d'accès collé sur la vitrine. Les jetons d'authentification et la gestion des privilèges — des notions de base censées compartimenter les accès — semblaient inexistantes.
La réaction de l'entreprise face à l'incendie frise le déni. Alertée, CCS n'a pas coupé les circuits immédiatement. Ils ont tenté de colmater les brèches en plein vol, maintenant les services actifs avant de devoir se résoudre, dos au mur, à tout débrancher. L'infrastructure de PuffPal est aujourd'hui enterrée. Définitivement. CCS a pointé du doigt son sous-traitant, la société 9Series, lourdement impliquée dans le développement de l'application, avant de s'en séparer. La firme a notifié la DPC, l'autorité irlandaise de protection des données, et promet de prévenir les victimes. Si les fichiers sont désormais verrouillés et qu'aucune preuve technique n'indique que des cybercriminels ont pillé la base, le doute persiste. Les attaquants scannent le web en continu. Jour et nuit. Un tel gisement reste rarement invisible très longtemps.
Cette affaire illustre l'échec critique du modèle de confiance aveugle. Les entreprises doivent migrer vers une philosophie Zero Trust : ne jamais faire confiance, toujours vérifier. Tout applicatif gérant des données d'identité doit intégrer le principe du moindre privilège, limitant l'accès aux seules informations strictement nécessaires pour une tâche donnée. Pour les professionnels du secteur, le blindage numérique impose des règles strictes. D'abord, le chiffrement des données au repos et en transit est non négociable. Ensuite, l'audit permanent des configurations cloud et la rotation stricte des clés d'accès évitent qu'un serveur ne se retrouve exposé par mégarde. Enfin, la sous-traitance logicielle exige un contrôle continu du code produit. On ne délègue pas sa sécurité à un tiers sans vérifier ses arrières. Sous peine de voir son business partir en fumée.