Netcrook Logo
👤 AUDITWOLF
🗓️ 18 Apr 2026   🌍 North America

Le fiasco des fichiers de Fiverr : des données sensibles d’utilisateurs accessibles via une simple recherche Google

Des chercheurs révèlent une faille critique de confidentialité chez Fiverr, exposant des documents confidentiels de clients - y compris des formulaires fiscaux - directement dans les résultats de recherche publics.

Imaginez taper votre nom sur Google et tomber sur votre propre déclaration d’impôts - visible par tous, sans mot de passe requis. Pour des milliers d’utilisateurs de Fiverr, ce cauchemar pourrait être une réalité, car des chercheurs en sécurité ont découvert une faille de confidentialité alarmante qui laisse des fichiers sensibles en accès libre, indexés par les moteurs de recherche et accessibles à toute personne disposant d’un navigateur web.

En bref

  • Les documents confidentiels des utilisateurs de Fiverr, y compris des formulaires fiscaux, sont accessibles publiquement via des recherches Google.
  • L’exposition est liée à une gestion non sécurisée des fichiers via Cloudinary, un service de stockage tiers.
  • Les fichiers étaient partagés via des URL publiques, sans expiration, sans authentification ni contrôle d’accès.
  • Les chercheurs ont signalé le problème à Fiverr 40 jours avant de le rendre public, sans recevoir de réponse.
  • La fuite pourrait enfreindre les exigences légales de protection des données pour les préparateurs fiscaux et leurs clients.

Comment la fuite s’est produite

La faille tourne autour de l’utilisation par Fiverr de Cloudinary, un service cloud pour la gestion d’images et de documents. Contrairement aux bonnes pratiques - qui exigent des liens privés, signés et expirant après de courtes périodes - Fiverr aurait opté pour des URL entièrement publiques pour les fichiers échangés entre freelances et clients. Cela signifie que des documents confidentiels, y compris des formulaires IRS et des pièces d’identité, pouvaient être consultés par toute personne disposant du lien direct.

Mais le problème ne s’arrête pas là. Le site de Fiverr proposait également des pages HTML publiques faisant référence à ces fichiers, facilitant la découverte et l’indexation par les robots d’indexation de Google. Résultat : une simple requête de recherche pouvait révéler des documents hautement sensibles - sans qu’aucun piratage ne soit nécessaire.

Quels sont les risques ?

Les fichiers exposés incluent des documents fiscaux contenant des numéros de sécurité sociale, des adresses et des données financières. Les cybercriminels exploitent activement ce type de données issues de sources publiques pour alimenter l’usurpation d’identité, le phishing ciblé et la fraude financière. Les risques ne sont pas théoriques : un chercheur a démontré en direct des recherches Google renvoyant des formulaires IRS 1040 et d’autres documents confidentiels.

Les conséquences sont graves tant pour Fiverr que pour ses utilisateurs. Non seulement cette fuite viole la vie privée, mais elle menace aussi la conformité à des réglementations strictes comme le Gramm-Leach-Bliley Act et la FTC Safeguards Rule, d’autant plus que Fiverr propose des services de préparation fiscale sur sa plateforme.

Le silence de Fiverr - et ce qu’il faut faire maintenant

Selon “morpheuskafka”, le chercheur en sécurité à l’origine de la découverte, Fiverr a été averti par les canaux officiels 40 jours avant la publication des résultats. L’absence de réponse ou de correction a conduit à une divulgation sur un forum public, dans l’espoir d’alerter les utilisateurs avant que d’autres dommages ne surviennent.

Les experts estiment que la solution est simple : restreindre l’accès aux fichiers à des URL signées, révoquer le partage public et collaborer avec Google pour retirer les documents exposés des résultats de recherche. Au moment de la publication, Fiverr n’a pas encore commenté ni publié de déclaration officielle.

Conclusion

Cet incident rappelle brutalement que même les places de marché en ligne les plus populaires au monde peuvent être victimes de négligences basiques en matière de sécurité, avec des conséquences dévastatrices. À mesure que les plateformes numériques gèrent des données toujours plus sensibles, utilisateurs et entreprises doivent exiger des protections robustes - non seulement pour la tranquillité d’esprit, mais aussi pour se prémunir contre des préjudices bien réels.

WIKICROOK

  • Cloudinary : Cloudinary est un service cloud permettant de stocker, gérer et distribuer des images et documents de manière sécurisée, aidant les organisations à améliorer leur cybersécurité et leur évolutivité.
  • URL signée : Une URL signée est un lien sécurisé avec authentification et expiration intégrées, permettant uniquement aux utilisateurs autorisés d’accéder à certaines ressources pendant une durée déterminée.
  • Données personnelles identifiables (PII) : Les données personnelles identifiables (PII) sont des informations, comme les noms ou adresses, permettant d’identifier une personne spécifique.
  • Robot d’indexation : Un robot d’indexation est un outil automatisé qui analyse et collecte des données à partir de pages web, utilisé par les moteurs de recherche et parfois par des pirates à diverses fins.
  • Gramm : Gramm est l’abréviation du Gramm-Leach-Bliley Act, une loi américaine obligeant les institutions financières à protéger et expliquer l’utilisation des données privées des consommateurs.
Fiverr data breach privacy violation
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news