En novembre 2025, Cannabis Club Systems revendiquait fièrement avoir franchi la barre des 900 établissements clients de sa plateforme dédiée à la gestion des coffee shops, cannabis social clubs et autres structures dédiées à la distribution ou à la consommation de cannabis.

« Nous ne nous contentons pas d’adapter la technologie des dispensaires, nous concevons de A à Z l’infrastructure numérique des cannabis social clubs », déclarait à cette occasion Ahab Thornhill, cofondateur de cette entreprise, qui se revendique d’origine espagnole mais opère sous mentions légales d’une entité irlandaise, Nefos Solutions Ltd.

1 million de fumeurs exposés, dont 104 000 Français

L’infrastructure en question facilite peut-être la gestion commerciale d’un coffee shop, mais elle a souffert pendant au moins plusieurs semaines de graves carences en matière de sécurité. La plateforme associée a en effet exposé pendant plusieurs semaines les informations personnelles ainsi que les pièces d’identité des membres et clients des clubs et coffee shops affiliés.

« Les clubs qui utilisent Cannabis Club Systems proposent de s’inscrire au travers d’une application mobile, qui demande un scan de la pièce d’identité. C’est en regardant le code de cette application que j’ai découvert que le backend de la plateforme n’était absolument pas sécurisé », nous explique Sammy Azdoufal, le « spécialiste IA » qui avait déjà révélé l’affaire des babyphones espion de l’entreprise chinoise Meari.

En explorant les endpoints (points de terminaison) de la plateforme, il découvre où sont stockées les pièces d’identité, et remarque que chaque utilisateur est associé à un identifiant sous forme d’entier séquentiel. Vous devinez la suite : il suffit d’incrémenter l’ID pour passer à l’utilisateur suivant et consulter sa pièce d’identité.

En lançant une boucle sur la base de données concernée, Sammy Azdoufal arrive à la conclusion que la plateforme liste et expose les données de plus d’un million d’amateurs provenant de 40 pays, dont un peu plus de 104 000 détenteurs d’un passeport ou d’une carte nationale d’identité française. Au total, il dénombre 1 082 680 profils enregistrés, dont 985 841 comportent un document officiel. Il compte aussi 377 clubs (dont des adresses très réputées chez les amateurs, comme les fameux coffee shops Bulldog d’Amsterdam), loin des 900 clients revendiqués par Nefos.

« Le modèle CSC [cannabis social club] fonctionne sur le principe de la discrétion. Les membres font confiance au club pour la confidentialité de leurs informations sensibles, car l’alternative serait le marché noir. Cette confiance dépendait de la configuration du serveur de Nefos. Or, Nefos n’a rien configuré du tout », résume l’auteur de la découverte.

Puffpal : l’application qui en savait trop

Outre sa plateforme de gestion, Cannabis Club Systems propose donc une application mobile optionnelle (Android et iOS) baptisée Puffpal, qui permet à l’utilisateur final de découvrir les clubs cannabis les plus proches et de gérer de façon numérique les formalités d’inscription, en scannant sa pièce d’identité.

Suite à notre premier échange avec Sammy Azdoufal, nous avons entrepris d’inspecter directement le code de la version Android, ce qui nous a permis de confirmer que les principaux endpoints de la plateforme étaient effectivement accessibles sans aucune barrière d’authentification côté client.

Il reste 51% de l'article à découvrir.

Déjà abonné ou lecteur  ? Se connecter

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous