L'accès se fait sur parrainage ou adhésion, en remplissant les formalités de chaque club !

Cannaleaks : Les données de près d’un million d’utilisateurs d’un club de cannabis ont été exposées.

C’est un des problèmes avec la non légalisation, la dépénalisation,
des espaces privés qui fonctionnent dans « une zone grise juridique » (Les Clubs sociaux cannabiques)
le pas totalement légal, comme en Espagne*. Zappiste

Camila Berriex
Publié le 17 juin 2026 à 10h06
Camila Berriex
Partager
12 min de lecture
PARTAGER

Près de 985 000 documents d'identité de clubs de cannabis auraient été divulgués via des URL publiques liées à Cannabis Club Systems et PuffPal, soulevant de sérieuses questions quant à la protection des données sensibles des utilisateurs par le secteur. Cet incident souligne l'importance cruciale de la confidentialité dans l'industrie du cannabis, où les fuites d'informations peuvent avoir des conséquences non seulement financières, mais aussi professionnelles, d'immigration, sur la réputation et entraîner des poursuites judiciaires.

Contenu
À quelle fréquence un membre d'un club de cannabis local fume-t-il ? Et un touriste ? Quelles variétés choisissent-ils ? Ce type d'informations personnelles se trouve dans les bases de données des clubs de cannabis en Espagne et dans le monde entier. Heureusement, toutes ces données sont stockées en toute sécurité dans des systèmes informatiques conçus pour les protéger. Du moins, en théorie…

Cette semaine, la chaîne de sécurité a cédé lorsqu'un des systèmes les plus utilisés par les clubs de cannabis, Cannabis Club Systems , a exposé plus de 985 000 documents d'identité, les rendant facilement accessibles via des URL publiques sans contrôles élémentaires. Bien qu'il s'agisse vraisemblablement d'une défaillance technique, cet incident soulève des questions plus délicates, notamment quant à la capacité de l'industrie du cannabis à protéger l'une des informations les plus sensibles qu'elle reçoit de ses utilisateurs : leur identité.

Ce qui s'est passé?
Lorsque vous entrez dans un club de cannabis, que ce soit pour devenir membre ou simplement en tant que visiteur, il est très fréquent que le personnel recueille vos informations personnelles à des fins de sécurité. Cela inclut notamment une photo de votre pièce d'identité, votre âge, votre nationalité, votre nom et une photo de votre visage. Mais ensuite, qui stocke toutes ces informations personnelles ? Où sont-elles conservées ? Qui peut y accéder ?

Un chercheur en sécurité du nom de Sammy Azdoufal a mis sur la défensive l'une des entreprises les plus utilisées par les clubs de cannabis après avoir révélé que ces informations n'étaient apparemment pas aussi bien protégées qu'elles auraient dû l'être.

La plateforme en question était Cannabis Club Systems (CCS) , affiliée à la société irlandaise Nefos Solutions . CCS développait des logiciels pour les clubs de cannabis, notamment des outils de vente, de comptabilité, d'inscription des membres et de vérification d'identité. Cette même infrastructure était également connectée à PuffPal , une application permettant un accès et une vérification par code QR, grâce auxquels les utilisateurs pouvaient télécharger des documents et des selfies pour confirmer leur identité.

D'après l'enquête publiée par The Verge , le problème résidait dans la manière dont ces informations étaient stockées et exposées . PuffPal faisait partie de l'infrastructure où les vulnérabilités ont été détectées, mais le fournisseur du système était Cannabis Club Systems/Nefos Solutions. Les fichiers, notamment des images de documents, étaient accessibles à des adresses web publiques, avec une structure prévisible et sans mot de passe ni contrôle d'accès .

Azdoufal a identifié le problème après avoir déjà mis au jour d'autres failles importantes dans la protection des données. Ses précédentes découvertes concernaient notamment des mini-robots nettoyeurs de sols qui capturent et transmettent des données personnelles sensibles, ainsi que les caméras de surveillance installées dans la chambre de bébé. Et aujourd'hui, il récidive.

Le chercheur a analysé PuffPal , l'application liée à Cannabis Club Systems , et a découvert que 985 000 photos de pièces d'identité de membres de clubs de cannabis étaient stockées sur des sites web publics, avec une structure prévisible et sans mot de passe ni véritable contrôle d'accès . De quels types de documents s'agissait-il ? De nombreux : des images de passeports, de cartes d'identité nationales, de permis de conduire, des selfies et des photos de vérification, ainsi que des numéros de téléphone, des adresses, des adresses e-mail, les préférences en matière de variétés de cannabis et des données relatives à la fréquence des visites ou de la consommation dans les clubs.

Maillot Coupe du Monde High Times FC x Kicking Back
Tout cela était exposé au grand jour, accessible via des adresses web publiques contenant des informations sur des célébrités, des dizaines de milliers de citoyens américains et bien d'autres personnes qui ne sont probablement pas ravies que leurs informations personnelles aient été si facilement accessibles.

Un graphique publié par The Verge révèle l'ampleur du système : plus d'un million de profils enregistrés, des centaines de milliers de documents (passeports, numéros de téléphone, adresses e-mail, utilisateurs Firebase) et de messages. Il montre également qu'une part importante des informations provient de clubs de cannabis espagnols , plus précisément de Barcelone (Catalogne), même si l'Italie, la France et l'Afrique du Sud figurent aussi dans les données, avec des chiffres qui laissent supposer une forte présence de consommateurs de cannabis dans ces pays.

La plupart sont membres de ces clubs, mais on y trouve aussi des informations sur les membres inactifs, les visiteurs, le personnel et les contacts professionnels. À noter : cette entreprise collabore avec plus de 800 clubs de cannabis à travers le monde.

Comment les données ont été divulguées
Selon The Verge , le problème résidait dans la manière dont Nefos stockait et exposait ces informations . Azdoufal a découvert que les documents étaient accessibles via des URL publiques aux schémas simples. Il a également mis au jour d'autres failles : une clé secrète Stripe au sein de l'application, des profils accessibles en modifiant les identifiants, un portail d'administration exposé et des messages privés potentiellement vulnérables entre les clubs et les utilisateurs.

Autrement dit, le risque ne se limitait pas à un seul fichier mal protégé. La faille semblait affecter plusieurs couches du système : stockage d’images, profils utilisateurs, API, paiements, administration et messagerie.

Ce qui ne peut être confirmé, en revanche, c'est si d'autres personnes que le chercheur ont eu accès à ces informations ou si les utilisateurs ont eu la chance qu'il soit le premier à les découvrir et à alerter les autorités.

Les violations de données et la responsabilité de ceux qui stockent nos informations
Contactée par The Verge , l'entreprise a fourni, au lieu d'apporter une solution efficace, des réponses qui ne semblaient pas résoudre pleinement le problème. Finalement, elle a fermé l'application PuffPal et plusieurs API vulnérables . L'entreprise a déclaré avoir informé les autorités locales et être en contact avec la Commission irlandaise de protection des données. Andreas Nilsen , cofondateur de Nefos , a indiqué à The Verge que l'entreprise était tenue de signaler la violation de données en vertu de la réglementation européenne et qu'elle pourrait se voir infliger des sanctions.

Le Règlement général sur la protection des données (RGPD) de l' Union européenne exige que certaines violations de données personnelles soient signalées à l'autorité compétente sans délai indu et, si possible, dans les 72 heures suivant la prise de connaissance de l'incident par l'organisation.

Nilsen a également imputé une partie de la responsabilité technique à une société externe qui aurait développé PuffPal , tout en reconnaissant que la responsabilité finale incombait à Nefos . Selon le rapport, l'entreprise a déclaré qu'elle ne relancerait pas l'application sans un audit de sécurité indépendant.

L'entreprise a publié un communiqué indiquant avoir été informée par un chercheur indépendant de vulnérabilités affectant les composants de PuffPal ; qu'elle a lancé une enquête, mis en œuvre des mesures correctives, fait appel à des spécialistes techniques et examiné les systèmes concernés. Elle a également précisé que, par mesure de précaution, PuffPal et ses services backend associés ont été temporairement suspendus le temps de l'enquête et que les points d'accès identifiés ne sont plus accessibles.

Néanmoins, Cannabis Club Systems conteste l'existence d'une fuite de données publique avérée . Dans sa déclaration, l'entreprise insiste sur la distinction entre « l'existence d'une vulnérabilité », « la possibilité potentielle d'accéder à des informations via cette vulnérabilité » et « la preuve avérée que des informations ont été extraites, diffusées ou divulguées publiquement ». Selon l'entreprise, aucune preuve avérée de publication ou de diffusion publique d'informations personnelles n'a été identifiée , bien que l'enquête sur l'accès non autorisé soit toujours en cours.

Pourquoi nos informations sont importantes
Coffre-fort High Times
Les habitudes de consommation sont l'un des piliers du monde moderne, capitaliste et publicitaire dans lequel nous vivons. Ce n'est pas nous qui l'affirmons, c'est le fondement même du marketing. Bien qu'il soit encore difficile de déterminer si quelqu'un a effectivement accédé aux informations non protégées par l'une des plateformes logicielles les plus utilisées par les clubs de cannabis, ces données sont confidentielles à juste titre – et lorsque de telles fuites surviennent, les risques peuvent être immédiats.

C'est une situation courante de nos jours : nous téléchargeons une application, nous nous inscrivons sur un site web gouvernemental et nous saisissons notre date de naissance, notre numéro d'identification et notre numéro de carte de crédit lorsque nous voulons acheter quelques billets, ou lorsque nous nous inscrivons à une association de cannabis, prenons rendez-vous chez l'esthéticienne ou louons un vélo.

Nos informations circulent sur Internet, ce qui les rend plus vulnérables qu'on ne le pense. En réalité, nos informations, comme les vôtres, ont une grande valeur. Des rapports sur les marchés noirs de données montrent que des documents scannés, des permis de conduire, des passeports, des identifiants de compte, des informations bancaires et même des selfies avec une pièce d'identité peuvent se vendre des dizaines, des centaines, voire des milliers de dollars, selon le type de données, le pays et l'exhaustivité du dossier.

Il est tout à fait logique que la crainte de telles fuites de données grandisse et qu'il devienne primordial pour les entreprises avec lesquelles nous interagissons de garantir un niveau de sécurité efficace pour protéger les utilisateurs. Dans ce cas précis, les failles de sécurité auraient pu être évitées.

Si quelqu'un obtient votre passeport, votre numéro de téléphone ou votre adresse, cela représente déjà un risque de fraude, d'usurpation d'identité, d'hameçonnage ou d'extorsion. Mais si ces informations révèlent également que vous avez fréquenté un club de cannabis, quels produits vous consommez, à quelle fréquence ou dans quelle ville, le problème n'est plus seulement financier. Il peut aussi avoir des répercussions sur votre emploi, votre immigration, votre vie familiale, votre réputation ou vous exposer à des poursuites judiciaires.

Dans un secteur encore aux prises avec la stigmatisation, les zones grises réglementaires et les inégalités entre pays, la protection de la vie privée n'est pas un luxe : elle fait partie intégrante de la sécurité des utilisateurs . Nombre de consommateurs acceptent de fournir des documents car le système l'exige pour se conformer aux règles d'âge, d'adhésion ou de traçabilité. Mais cette confiance repose sur une condition essentielle : que les entreprises qui collectent ces informations les protègent.

Ce cas met en lumière une tension de plus en plus manifeste. L'industrie du cannabis se professionnalise, numérisant ses systèmes d'accès, automatisant ses dossiers et utilisant des applications, des codes QR, des profils et des bases de données. Mais si cette infrastructure se développe plus vite que ses normes de cybersécurité, ce sont les utilisateurs qui en subissent les conséquences.

Cet article a été initialement publié sur El Planteo .

* C’est un des problèmes avec la non légalisation, la dépénalisation,
des espaces privés qui fonctionnent dans « une zone grise juridique » (Les Clubs sociaux cannabiques)
le pas totalement légal, comme en Espagne*. Zappiste

Le cannabis n'est pas totalement légal en Espagne ;
sa consommation et sa culture sont « dépénalisées dans des espaces privés ».

Clubs sociaux cannabiques (CSCs) :
Ces espaces privés fonctionnent dans « une zone grise juridique ».
Ce sont des associations à but non lucratif
où les membres adultes peuvent cultiver collectivement
et consommer du cannabis sur place.
L'accès se fait sur parrainage ou adhésion, en remplissant les formalités de chaque club

Au Canada qui a légalisé le cannabis récréatif pour les adultes en 2018
la meilleure légalisation mondiale à ce jour.

Fini la criminalisation des adultes légaux de/à 18-19 ans
de 9 des 10 provinces et 3 territoires !

Excluant le Québec, 21 ans pour le cannabis seulement, où les drogues légales addictives et mortelles
14000 MORTS ANNUELLES et 7 MILLIARDS DE MÉFAITS acceptable/évitable
sont légales aux adultes de 18 ans et il y a une exception pour l’alcool
dont la consommation est légale par des enfants de 6-12 ans
dont le cerveau ne sera complété qu'à 23-25 ans
Car il n'y a pas d'âge minimum de consommation pour l'alcool
par acceptabilité sociale, culturelle.
Ce seraient les parents qui, en faisant goûter de l’alcool à leur enfant,
en banaliseraient la consommation,
ce que le chercheur qualifie avec regret d’ “attitudes de laisser-faire”.

Fini l’hypocrisie, les zones grises le pas totalement légal
pas d’accès sur parrainage ou adhésion,
en remplissant les formalités de chaque club comme en Espagne et ailleurs !

Nous n’avons pas à nous inscrire dans un club de cannabis , peu sécurisé,
ou donner nos empreintes comme en Uruguay, pour avoir accès au cannabis fleurs et concentrés.