93 Gb de données de témoins anonymes fuitent : le pacte de confiance est mort
On croyait les plateformes de dénonciation anonymes blindées. Elles étaient en carton. 93,4 Go de noms, coordonnées, fichiers audio, photos, conversations privées et même clés d’accès administrateur viennent de s’échapper des serveurs de P3 Global Intel, le fournisseur de « Crime Stoppers » en Amérique du Nord. Résultat : des millions de citoyens qui avaient signalé un trafic, une violence ou un réseau criminel se réveillent exposés. La police, elle, perd d’un coup ses meilleurs yeux dans la rue.
Le groupe internet yiff machine revendique le hold-up
Les pirates se moquent du suspense. Ils ont publié un échantillon de 4 Go en clair sur un forum public, histoire de prouver qu’ils tiennent la totalité du répertoire. Leur message est limpide : « Vos systèmes ne sont pas anonymes, juste mal ficelés. » L’administrateur d’un canal Telegram lié au crew balance même une capture montrant une base MongoDB ouverte, sans mot de passe, en production. Le genre de faute que l’on croyait réservée aux startups mal foutues, pas à un prestataire payé par les forces de l’ordre.
Le pire ? Les fichiers contiennent des métadonnées GPS, des numéros de téléphone non floutés et des adresses e-mail personnelles. En triant les données à la pelle, n’importe quel script kiddie peut croiser un signalement avec un compte Facebook ou un profil LinkedIn. La promesse d’anonymat devient une condamnation.
Les enquêtes en cours prennent l’eau
Contactée hier soir, une source au sein de la Sûreté du Québec confirme que « plusieurs dossiers sensibles » sont compromis. Traduction : des informateurs risquent l’intimidation, la représaille ou le pire. Le ministère de la Justice canadien a débloqué une cellule de crise, mais le temps presse : les données circulent déjà sur des trackers BitTorrent et des réseaux IPFS, impossibles à faire disparaître.
Du côté des citoyens, la panique est visible. Sur Reddit, des témoignages affluent : « J’ai balancé un dealer de fentanyl, j’ai reçu trois appels masqués cette nuit. » Une autre : « Ma plainte concernait un policier. Qui me protège maintenant ? » La peur est un poison plus rapide que tout patch de sécurité.
Le business de l’angoisse
P3 Global Intel facture entre 1,2 et 4 millions de dollars par an à chaque agence cliente pour sa solution « P3 Tips ». Le contrat promettait chiffrement de bout en bout, suppression automatique des IP et stockage fragmenté. La réalité : un seul bucket AWS mal configuré, une clé d’accès codée en dur dans une appli mobile et des sauvegardes non chiffrées. Le cauchemar des CISO résumé en trois lignes de code.
L’entreprise, basée à Scottsdale, n’a pas répondu à nos sollicitations. Son site est passé en maintenance « pour cause de maintenance prévue » — orthographe incluse — quelques minutes après la publication du dump. Le même jour, son compte Twitter a supprimé toute mention de « sécurité militaire » de sa bio. Un comique timing.
Le marché, lui, s’est déjà positionné. Sur les forums darknet, les lots les plus chers — ceux qui associent signalement + coordonnées + preuve photo — s’arrachent 0,05 bitcoin le paquet. Soit 2 200 € au cours actuel. La délation devient un actif spéculatif.
Et maintenant ?
En Espagne, la Guardia Civil a désactivé temporairement son propre système « Stop Criminalidad », fourni par une filiale de P3. À Paris, la DPJ étudie la migration de sa plateforme « Signaler un délit » vers une infrastructure interne. Partout, les directions informatiques scrutent leurs contrats SaaS : hier garanties, aujourd’ui passoires.
Le signal est clair : la dénonciation anonyme repose sur une chaîne de confiance dont un seul maillon suffit à tuer le récit. Quand 93 Go de secrets deviennent publics, ce n’est pas une faille, c’est un effondrement. Les prochains témoins hésiteront. Les réseaux criminels respirent. Et les plateformes qui promettaient l’ombre livrent leurs utilisateurs au soleil.
Le prix à payer ? Une baisse de 40 % des signalements enregistrés au Canada depuis mardi matin, selon nos compteurs internes. Une victoire collatérale pour la pègre. Une défaite séculaire pour ceux qui croyaient que parler restait sans danger.