Passeports, permis de conduire, selfies, adresses et habitudes de consommation : les données de près d'un million de membres de cannabis clubs, en Espagne surtout, étaient accessibles à n'importe qui sur Internet. En cause, le logiciel de l'éditeur irlandais Cannabis Club Systems, qui a mis des semaines à prendre la fuite au sérieux. Il suffisait de changer un numéro dans une adresse web.
Au fait, c'est quoi un cannabis club ?
Le terme est trompeur, alors mettons les choses au clair. En Espagne, consommer du cannabis dans un cadre privé est toléré, mais en acheter ou en vendre reste interdit. Pour vivre dans ce flou juridique, des associations privées à but non lucratif ont vu le jour : on y adhère contre une cotisation, on est en général parrainé par un membre, et on peut consommer sur place, dans un local fermé. Ce sont des clubs réservés à des adhérents majeurs et enregistrés, rien à voir avec une boutique ouverte à tous.
Et pour devenir adhérent, impossible d'échapper au contrôle : à l'accueil, on scanne votre passeport ou votre permis de conduire, plus un selfie. Tout ça file ensuite dans le cloud de Cannabis Club Systems, la société irlandaise qui équipe ces clubs. Sauf que le chercheur en sécurité Sammy Azdoufal a découvert que ces images étaient rangées à des adresses publiques parfaitement prévisibles, sans le moindre verrou. Près de 985 000 documents d'identité se retrouvaient ainsi exposés, avec 5 000 nouvelles pièces ajoutées chaque jour.
Une clé Stripe en clair et des mots de passe au rabais
Le pire est presque ailleurs. En décortiquant PuffPal, l'application qui ouvre les clubs via un QR code, le chercheur a trouvé une clé secrète Stripe stockée en clair dans le code, de quoi toucher directement aux paiements. L'API laissait aussi récupérer les profils complets des membres : passeports, téléphones, adresses, préférences de consommation. Le portail d'administration, lui, était posé sur le web public, protégé par des mots de passe si faibles qu'un GPU moderne les casserait en quelques minutes.
Cinq jours de silence et une rechute
Contactée début juin, Nefos a mis cinq jours à répondre, et il a fallu la menace d'un article de The Verge pour que les choses bougent. L'entreprise a verrouillé les images, avant de tout rouvrir le 4 juin parce que des clubs se plaignaient de ne plus voir les photos. Depuis le 10 juin, c'est enfin sécurisé : Nefos a coupé tout le système PuffPal et rompu avec le prestataire qui l'avait développé. Le cofondateur Andreas Nilsen a prévenu l'autorité irlandaise et reconnaît que des amendes vont tomber, le RGPD imposant de signaler ce genre de fuite sous 72 heures.
On en dit quoi ?
C'est quand même un cocktail détonant : une pièce d'identité, un selfie et un historique de consommation de cannabis, le tout en accès libre, il y a là de quoi alimenter du chantage ou de l'usurpation d'identité pendant des années. Et les membres n'y pouvaient rien, puisque ces clubs exigent une pièce d'identité à l'entrée. On espère que le régulateur irlandais sortira le grand carnet d'amendes.
