En avril 2026, un chercheur en cybersécurité a découvert que plus d'un million de passeports et de cartes d'identité étaient accessibles sur une simple URL publique, sans mot de passe ni cryptage. La plateforme Cannabis Club Systems, qui propose un service de gestion aux clubs de cannabis en Europe, avait laissé son API grande ouverte, exposant les données personnelles et les documents d'identité de ses membres. Cette négligence technique, d'une simplicité confondante, a permis de télécharger l'intégralité de la base en une seule nuit.
Le trou de la sécurité chez Cannabis Club Systems : une API ouverte à tous les vents
Sammy Azdoufal, chercheur en sécurité basé en Afrique du Sud, ne cherchait pas à faire un coup d'éclat ce jour-là. En naviguant sur Cannabis Club Systems, une plateforme qui fournit un logiciel de gestion aux clubs de cannabis en Europe, il a remarqué un détail troublant. L'identifiant de son profil utilisateur était un simple numéro entier dans l'URL : /user/1234. Par curiosité professionnelle, il a modifié ce chiffre. Le résultat est tombé sous ses yeux : les données complètes d'un autre membre, avec son nom, son email, son numéro de téléphone, et surtout la photographie de son passeport.
Il n'y avait pas de piratage sophistiqué, pas de faille zero-day exploitée par un groupe de hackers. L'API du backend de CCS Nube — le logiciel SaaS qui gère les adhésions et les stocks des clubs — ne possédait ni jeton d'authentification, ni cookie de session, ni clé API. N'importe qui, avec une simple requête HTTP, pouvait accéder à l'intégralité de la base de données. Azdoufal a envoyé quatre courriels au support de l'entreprise pour les alerter. Il a attendu vingt-six jours sans recevoir de réponse substantielle.
Le CTO de Cannabis Club Systems, Andreas Nilsen, a plus tard justifié ce silence en expliquant que les premiers messages manquaient de détails techniques suffisants pour valider les affirmations du chercheur. Une explication qui, sur le plan de la gestion de crise, ressemble à une tentative de minimiser une négligence flagrante.
Un simple chiffre dans l'URL : comment un chercheur a vidé la base de données en une nuit
Le mécanisme technique est d'une simplicité qui donne le vertige. Après avoir constaté que l'identifiant numérique de son profil était un entier séquentiel, Azdoufal a écrit un script de quelques lignes. Ce programme envoyait des requêtes en boucle, incrémentant simplement le chiffre dans l'URL à chaque itération. /user/1235, /user/1236, /user/1237… Chaque réponse renvoyait un fichier JSON contenant les données personnelles complètes d'un membre.
Aucune vérification d'identité n'était effectuée. Le serveur ne vérifiait pas si l'utilisateur connecté avait le droit d'accéder au profil d'un autre. Il n'y avait pas de limite de taux, pas de blocage après un certain nombre de requêtes. En quelques heures, le chercheur a téléchargé 1 082 680 enregistrements provenant de plus de quarante pays.
Cette faille est ce que les spécialistes appellent une Insecure Direct Object Reference (IDOR), l'un des types de vulnérabilités les plus basiques et les mieux documentés dans le manuel de l'OWASP. La corriger aurait pris quelques heures de travail à un développeur junior : ajouter une vérification de session, comparer l'identifiant demandé à celui de l'utilisateur authentifié, refuser l'accès en cas de non-correspondance. Rien de tout cela n'a été fait.
Nefos Solutions, PuffPal, CCS Nube : qui sont les vrais responsables ?
Derrière le nom Cannabis Club Systems se cache une structure bien réelle. La plateforme est exploitée par Nefos Solutions Ltd, une société enregistrée à Dublin, au 20 Harcourt Street, en Irlande. Son activité principale est la fourniture d'un logiciel SaaS appelé CCS Nube, destiné aux clubs et dispensaires de cannabis en Europe. La société propose également PuffPal, une application mobile white-label qui permet aux membres de gérer leur adhésion et leurs commandes depuis leur smartphone.
Ce n'est pas une start-up de deux personnes dans un garage. Nefos Solutions emploie des développeurs, dispose d'une équipe commerciale, et facture ses services à des clubs dans plusieurs pays. Elle collecte, stocke et traite des données personnelles extrêmement sensibles — des passeports, des cartes d'identité, des selfies de vérification — dans le cadre de son activité. Elle a donc des obligations légales claires en matière de protection des données, notamment celles imposées par le Règlement Général sur la Protection des Données (RGPD) européen.
Pourtant, l'outil central de son activité, le logiciel qui gère l'identité de ses membres, était accessible sans la moindre protection. C'est comme si une banque laissait la porte de son coffre ouverte avec un panneau « Entrez librement » au-dessus.
40 pays touchés : qui sont les millions de victimes anonymes ?
Les chiffres donnent le tournis. 1 082 680 enregistrements, provenant de plus de quarante pays. La majorité des membres sont espagnols, l'Espagne étant l'un des pays européens où les clubs de cannabis sont les plus répandus. L'Afrique du Sud arrive en deuxième position, avec plus de 88 000 dossiers exposés. Des Français sont très probablement dans le lot, via des clubs espagnols auxquels ils sont affiliés ou via des applications de commande.
Chaque dossier contient le nom complet, l'adresse email, le numéro de téléphone, le numéro d'identification nationale, et surtout la photographie du passeport ou de la carte d'identité. Pour certains membres, un selfie de vérification était également présent, pris au moment de l'inscription pour confirmer l'identité. Ce ne sont pas des numéros, ce sont des visages, des visages qui ont scanné leurs papiers en toute confiance pour acheter quelques grammes de fleurs séchées.
Passeport, selfie et photo d'identité : le kit de survie du parfait usurpateur
Une fois que l'on sait comment la fuite a eu lieu, il faut comprendre pourquoi c'est une catastrophe. Les données exposées ne sont pas de simples adresses email ou des mots de passe hashés. Ce sont des documents d'identité officiels, accompagnés de selfies de vérification. C'est exactement ce dont un fraudeur a besoin pour prendre votre place.
Les précédents dans l'industrie du cannabis sont éloquents. En 2024, THSuite, un système de point de vente pour dispensaires, avait laissé fuiter 85 000 fichiers depuis un bucket Amazon S3 non sécurisé, exposant les pièces d'identité de plus de 30 000 personnes. La même année, STIIIZY, un dispensaire californien majeur, avait subi une attaque par ransomware du groupe Everest, exposant les données personnelles de 420 000 clients, y compris leurs documents d'identité. Le secteur semble frappé par une malédiction récurrente.
Ouvrir un compte, acheter une carte SIM, louer une voiture : la vie rêvée d'un fraudeur avec vos papiers
La possession d'un passeport ou d'une carte d'identité scannée, accompagnée d'un selfie de vérification, ouvre des portes considérables aux fraudeurs. Les banques en ligne, les néobanques et les services financiers dématérialisés utilisent des procédures de Know Your Customer (KYC) qui reposent sur la comparaison entre un document d'identité et un selfie. Avec les données de CCS, un fraudeur peut présenter la photo de votre passeport et un selfie volé pour ouvrir un compte à votre nom.
Il peut ensuite utiliser ce compte pour blanchir de l'argent, souscrire un crédit, ou servir de mule financière. Le lien avec la fuite FICOBA est ici terrifiant : les fraudeurs peuvent associer l'identité volée à des comptes bancaires réels, rendant la traque encore plus difficile.
Mais les usages ne s'arrêtent pas là. Une carte SIM prépayée peut être achetée avec une copie de passeport. Une voiture peut être louée. Un compte sur un site de jeux d'argent peut être ouvert. Les sites pornographiques qui imposent un contrôle d'âge peuvent être contournés. Pour les jeunes dont les papiers ont fuité, le risque de voir leur identité utilisée pour accéder à des contenus réservés aux adultes est bien réel.
Chantage, stigmatisation et double peine : le facteur cannabis aggrave tout
Cette fuite n'est pas banale car elle touche un secteur sensible. Les données exposées ne sont pas seulement des papiers d'identité : elles sont associées à la consommation de cannabis. Dans les pays où le cannabis est illégal ou fortement stigmatisé — et ils sont nombreux —, les victimes sont exposées à un risque de chantage ou d'extorsion.
Un fraudeur peut contacter une victime et lui dire : « J'ai votre passeport et la preuve que vous achetez du cannabis. Si vous ne me payez pas, j'envoie tout à votre employeur, à votre famille, aux autorités. » Ce n'est pas de la science-fiction. C'est un scénario classique d'extorsion, rendu possible par la double exposition de l'identité et du comportement.
Les analystes de Cybernews ont souligné ce point : la combinaison de données personnelles et d'informations sur la consommation de substances crée une vulnérabilité unique. Les victimes peuvent hésiter à porter plainte, de peur de devoir révéler leur consommation. C'est la double peine.
D'où vient cette négligence chronique dans l'industrie du cannabis ?
Le secteur du cannabis, qu'il soit médical ou récréatif, souffre d'un problème structurel de sécurité. La régulation varie considérablement d'un pays à l'autre, créant un patchwork juridique où les obligations de protection des données sont inégalement appliquées. Beaucoup d'entreprises du secteur sont des start-ups récentes, avec une culture technique parfois légère et des priorités axées sur la croissance rapide plutôt que sur la sécurité.
La sous-traitance technique aggrave le problème. Les clubs de cannabis ne développent pas leur propre logiciel : ils achètent des solutions SaaS comme CCS Nube. Ils font confiance au fournisseur pour sécuriser les données. Quand ce fournisseur néglige les bases — comme ne pas mettre de mot de passe sur une API —, c'est toute la chaîne qui s'effondre.
L'effet domino : comment la France (via l'ANTS) est déjà la cible numéro un des voleurs d'identité
La fuite CCS n'est pas un cas isolé. En France, quasiment au même moment, une autre catastrophe de sécurité frappait les données d'identité. Le parallèle est frappant et inquiétant.
ANTS : 11,7 millions de comptes potentiellement piratés, la faille française
En avril 2026, l'Agence Nationale des Titres Sécurisés (ANTS), l'organisme public qui gère les demandes de passeports, de cartes nationales d'identité et de permis de conduire, a subi une cyberattaque majeure. Selon les informations du journal Le Monde, jusqu'à 11,7 millions de comptes ont été potentiellement affectés, et certaines sources évoquent jusqu'à 19 millions de dossiers mis en vente sur le dark web.
L'ANTS est le guichet numérique unique pour les démarches d'identité en France. Quand vous demandez un passeport ou une CNI, vos données transitent par ce système. La cyberattaque a exposé des noms, des adresses, des numéros de sécurité sociale, et potentiellement des informations sur les titres d'identité eux-mêmes. Deux immenses fuites de papiers d'identité, à quelques semaines d'intervalle : le timing est accablant.
Quand votre mairie et votre club de cannabis partagent les mêmes failles
Le point commun entre ces deux affaires est frappant. Les données des citoyens français transitent par des portails numériques publics (mairies, ANTS) et par des applications privées (CCS, PuffPal). La sécurité de l'État n'est pas infaillible — la cyberattaque de l'ANTS le prouve —, mais celle des start-ups privées est souvent inexistante.
En France, la fuite de l'application Duc avait déjà exposé 360 000 pièces d'identité sur le web, sans aucune protection. Le schéma se répète : une entreprise collecte des documents sensibles pour un service anodin, ne sécurise pas son infrastructure, et les données se retrouvent à la portée de n'importe qui.
Le marché noir des documents : combien vaut votre passeport sur le dark web ?
Sur les marchés illicites, une copie de passeport français s'échange entre 50 et 200 euros, selon sa qualité et sa fraîcheur. L'ajout d'un selfie de vérification ou d'une photo de CNI augmente considérablement la valeur. Les bases de données comme celle de CCS sont des mines d'or pour les fraudeurs, car elles fournissent des documents « frais » — non encore signalés comme volés ou perdus.
L'économie souterraine de l'identité est florissante. Un passeport volé permet d'ouvrir des comptes bancaires, de souscrire des crédits, de franchir des frontières. Les données de CCS, parce qu'elles incluent à la fois le document et le selfie, permettent de tromper les systèmes de vérification automatisés qui comparent les deux images. C'est le kit complet.
Votre email, votre téléphone, votre intuition : comment savoir si vous êtes dans la fuite CCS ?
Le danger est réel, mais la panique n'est pas une stratégie. Voici comment vérifier si vous êtes concerné et comment réagir.
Have I Been Pwned et les sites de monitoring : la vérification technique en 2 minutes
Le premier réflexe à adopter est de vérifier votre adresse email sur Have I Been Pwned (HIBP), le site de référence du chercheur Troy Hunt. Saisissez votre email, et le service vous indiquera s'il apparaît dans des fuites de données connues. C'est gratuit, rapide, et cela couvre des milliers de bases de données.
Nuançons toutefois : HIBP ne couvre pas toutes les fuites, et celle de CCS contient surtout des emails uniques associés à des comptes de clubs de cannabis. Si votre email n'apparaît pas, cela ne signifie pas que vous êtes hors de danger. Des alternatives existent : certains antivirus proposent des services de dark web monitoring payants, qui scrutent les forums et les places de marché illicites à la recherche de vos données.
La régularité est la clé. Vérifier ses emails une fois par mois sur HIBP devrait devenir un réflexe, au même titre que changer ses mots de passe.
Les signaux faibles de l'usurpation d'identité
L'usurpation d'identité ne se manifeste pas toujours par un courrier officiel de la police. Les premiers signes sont souvent discrets. Un courrier de votre banque vous informant de l'ouverture d'un compte que vous n'avez pas demandé. Un SMS de la CAF ou des impôts concernant un changement de coordonnées que vous n'avez pas effectué. Un refus de crédit inexpliqué alors que votre dossier est sain. La réception de colis que vous n'avez pas commandés.
Ces détails sont souvent les premiers indices que quelqu'un utilise votre identité. Ne les ignorez pas. Un appel à votre banque ou à l'organisme concerné peut confirmer ou infirmer le soupçon. Mieux vaut passer pour un paranoïaque que de découvrir six mois plus tard qu'un crédit a été souscrit à votre nom.
Faut-il paniquer ? La nuance entre exposition et vol
Rassurons-nous un instant : le fait que les données aient été exposées sur une URL publique ne signifie pas qu'elles aient toutes été téléchargées par des malfaiteurs. Le chercheur Sammy Azdoufal a démontré qu'il était possible de les aspirer en une nuit, mais cela ne prouve pas que d'autres l'ont fait avant lui. La base a été fermée après la notification, et il est possible que l'exposition ait été limitée dans le temps.
Cependant, la prudence commande de considérer que vos données sont compromises. L'absence de preuve de téléchargement n'est pas une preuve d'absence. Agissez comme si vos papiers étaient dans la nature. La section suivante vous explique comment.
Que faire si votre passeport ou votre CNI a fuité ? Le plan d'action en 4 étapes
Si vous découvrez que vos papiers sont dans la fuite CCS, ou si vous voulez agir par précaution, voici les démarches à suivre.
Étape 1 : Faire opposition et demander un nouveau titre de police
La première chose à faire est de déclarer la perte ou le vol préventif de votre passeport et de votre carte nationale d'identité. Pour le passeport, la déclaration peut se faire en ligne sur le site de l'ANTS — malgré la cyberattaque récente, le service reste opérationnel pour les déclarations. Pour la CNI, pas d'opposition en ligne possible : il faut se rendre physiquement dans une mairie, de préférence avec rendez-vous.
Une fois la déclaration faite, vous devez demander un nouveau titre. Le délai est long, plusieurs semaines voire plusieurs mois dans certaines préfectures. Le coût est de 86 euros pour un passeport (timbre fiscal) et gratuit pour la CNI. Prévoyez de l'avance : les files d'attente dans les mairies sont souvent importantes.
Attention : si vous changez de nom ou de prénom, la procédure est différente. Comme le rappelle le site de la préfecture de l'Ain, l'usage d'un titre d'identité qui ne correspond plus à votre état civil est passible de cinq ans d'emprisonnement et 75 000 euros d'amende. Assurez-vous que vos papiers sont à jour.
Étape 2 : Signaler le sinistre à la CNIL et déposer plainte
La Commission Nationale de l'Informatique et des Libertés (CNIL) est l'autorité compétente en France pour les violations de données personnelles. Vous pouvez déposer une plainte en ligne sur plainte.cnil.fr. C'est important : cela crée un précédent juridique, alimente les statistiques, et peut déclencher une enquête contre l'entreprise responsable — en l'occurrence Nefos Solutions.
Vous pouvez également déposer une plainte pénale en gendarmerie ou au commissariat. Mentionnez la fuite de données et le risque d'usurpation d'identité. Conservez tous les justificatifs : copies des écrans, captures d'écran de HIBP, courriers de la banque. Cela constituera votre dossier.
N'oubliez pas votre droit d'accès et de rectification. Vous pouvez demander à Cannabis Club Systems de vous communiquer l'intégralité des données qu'ils détiennent sur vous, et exiger leur suppression. Même si l'entreprise est basée à Dublin, le RGPD vous donne ce droit.
Étape 3 : Verrouiller son crédit et ses comptes bancaires
L'usurpation d'identité sert souvent à ouvrir des comptes bancaires ou à souscrire des crédits. Vérifiez votre fichier FICOBA (le fichier national des comptes bancaires) auprès de la Banque de France. Il vous indiquera tous les comptes ouverts à votre nom. Si un compte inconnu apparaît, signalez-le immédiatement.
Vérifiez également le fichier FCC (Fichier Central des Chèques) et le fichier des incidents de crédit. Un refus de crédit inexpliqué peut être le signe qu'un fraudeur a déjà souscrit un prêt à votre nom.
Activez les alertes SMS sur tous vos comptes bancaires. Configurez une double authentification renforcée partout où c'est possible. Contactez votre banque pour mettre en place un « mot de passe de compte » spécifique, une phrase secrète que seul vous et votre conseiller connaissez, pour sécuriser les opérations sensibles.
RGPD, million de victimes et impunité : qui va payer l'addition de cette négligence ?
La question qui brûle les lèvres : comment une entreprise peut-elle laisser les données d'un million de personnes sur la voie publique sans conséquence immédiate ?
« Aucun détail technique pour valider nos dires » : la communication désastreuse du CTO
Revenons sur les échanges entre Sammy Azdoufal et la direction de CCS. Le chercheur a envoyé quatre courriels au support de l'entreprise, étalés sur 26 jours. Aucune réponse substantielle. Le CTO Andreas Nilsen a justifié ce silence en expliquant que les premiers messages manquaient de détails techniques pour valider les affirmations.
C'est un cas d'école de bad crisis management. Quand un chercheur en sécurité vous contacte pour vous signaler une vulnérabilité, la première réaction n'est pas de lui demander des preuves supplémentaires, mais de le remercier et de commencer à enquêter. Le silence et le déni aggravent la faute. En 26 jours, n'importe quel acteur malveillant aurait pu découvrir la même faille et exploiter les données.
10 millions d'euros d'amende ou 2 % du chiffre d'affaires : le RGPD peut-il vraiment frapper ?
Cannabis Club Systems est basé à Dublin, via sa société mère Nefos Solutions Ltd. Il est donc sous la juridiction de la Data Protection Commission (DPC) irlandaise, le régulateur RGPD de l'Irlande. Le droit européen prévoit une amende maximale de 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour ce type de violation : absence de sécurité des données, notification tardive aux autorités.
Mais la réalité est plus complexe. Les procédures de la DPC irlandaise sont notoirement lentes. Les ressources des régulateurs sont limitées face au nombre croissant de plaintes. Et estimer le chiffre d'affaires d'une start-up comme Nefos Solutions n'est pas simple. La question de l'efficacité dissuasive de l'amende se pose : 10 millions d'euros, c'est beaucoup pour une petite entreprise, mais c'est dérisoire si cela n'arrive qu'une fois tous les dix ans.
Le vrai coût d'une fuite pour les victimes (et pour l'entreprise)
Pour les victimes, le coût est multiple. Du temps perdu à faire les démarches, du stress lié à l'incertitude, des frais de renouvellement de papiers (86 euros pour un passeport), et surtout le risque persistant de fraude. Une identité volée, c'est comme une clé perdue : même si vous changez la serrure, quelqu'un a peut-être déjà fait un double.
Pour l'entreprise, le coût est également lourd. Mise en conformité après la crise, embauche de consultants en sécurité, perte de confiance des clients, coûts juridiques, et potentiellement une amende. Si l'amende n'est pas dissuasive, qu'est-ce qui poussera les entreprises à sécuriser leurs données ? La réponse est simple : la peur du scandale et la perte de réputation.
Conclusion : Vos papiers sont votre clé universelle – ne laissez personne la copier
La fuite CCS est le symptôme d'un système où la collecte des données personnelles — photos de passeport, selfies, documents d'identité — est devenue banale pour des services qui n'en ont pas toujours la légitimité. Un club de cannabis n'a pas besoin de conserver une copie numérisée de votre passeport pour vous vendre des fleurs. Pourtant, c'est la pratique courante, et la sécurité n'est pas au rendez-vous.
Vous savez désormais quoi faire. Vérifiez vos identifiants sur Have I Been Pwned. Si vos papiers sont compromis, faites opposition et demandez un nouveau titre. Signalez l'incident à la CNIL. Verrouillez vos comptes bancaires. Et à l'avenir, réfléchissez à deux fois avant de scanner votre passeport pour un service en ligne : est-ce vraiment nécessaire ? Le vrai pouvoir est dans la connaissance de vos droits et dans votre réactivité. Ne laissez personne copier votre clé universelle.
