Attaque

SNOSM : 11 682 fichiers et code source en fuite après une cyberattaque

Une revendication particulièrement lourde vise le Système national d’observation de la sécurité en montagne (SNOSM). Publiée le 9 juillet 2026, elle annonce la compromission complète d’un serveur contenant du code source, des emails, des sauvegardes, des statistiques d’accidents et des secrets techniques.

Les auteurs affirment avoir récupéré 11 682 fichiers, ainsi que l’intégralité d’un dépôt Git développé avec Laravel et Vue.js. À ce stade, il s’agit d’une revendication non confirmée officiellement.

SNOSM cyberattaque

Le serveur complet du SNOSM revendiqué

La publication est signée par BLACKHATSECT0R et DXQRTXX, en collaboration avec APT-90. Les auteurs affirment avoir obtenu un accès très large à l’infrastructure : serveur, code source, emails, clés techniques et tableau de bord d’administration.

Le SNOSM centralise des informations liées à l’accidentologie et à la sécurité en montagne. Une compromission de cet environnement pourrait donc exposer non seulement des données techniques, mais aussi des statistiques opérationnelles, documents de travail et échanges entre acteurs de la sécurité en montagne.

Des volumes revendiqués encore incohérents

Les auteurs annoncent 11 682 fichiers pour 1,6 Go de données. Pourtant, le détail publié mentionne ensuite un dossier d’archives de 9 848 fichiers représentant à lui seul 2,1 Go.

Ces chiffres apparaissent donc incohérents et devront être vérifiés. Ils peuvent correspondre à plusieurs ensembles distincts, à une erreur dans la publication ou à des volumes calculés à différents moments de l’extraction.

Trois années de code source Laravel et Vue.js

La revendication mentionne la récupération du dépôt Git complet de l’application SNOSM, avec environ trois années d’historique. Le projet utiliserait Laravel 8 côté serveur et Vue.js pour l’interface.

Les éléments revendiqués comprennent notamment :

  • l’intégralité du code source ;
  • l’historique des modifications Git ;
  • les routes API ;
  • les points d’accès administratifs ;
  • les fichiers Docker Compose ;
  • les webhooks ;
  • des configurations techniques ;
  • d’anciens secrets présents dans l’historique.

Les auteurs affirment notamment avoir retrouvé des mots de passe en clair dans d’anciens commits. Même lorsqu’un secret a ensuite été supprimé du code, il peut rester accessible dans l’historique Git tant que celui-ci n’a pas été nettoyé.

Un fichier .env contenant des secrets techniques

La publication affirme également que le fichier .env de l’application a été récupéré. Ce fichier contient généralement les variables sensibles nécessaires au fonctionnement d’un service : accès aux bases de données, clés d’API, secrets applicatifs, identifiants de messagerie ou paramètres d’infrastructure.

Les auteurs évoquent aussi un accès au tableau de bord administrateur ainsi qu’à une configuration SMTP liée à Mailjet. Si ces éléments sont exacts et toujours actifs, ils pourraient permettre l’envoi de messages frauduleux depuis une infrastructure légitime ou faciliter de nouvelles intrusions.

Des emails et statistiques d’accidents exposés

Plusieurs dossiers de messagerie sont détaillés dans la revendication. Un répertoire présenté comme contenant des éléments « à traiter » regrouperait 212 fichiers, dont environ 12 Mo d’emails en attente.

Les auteurs affirment y avoir trouvé des exports récents liés aux CRS ainsi que des statistiques d’accidents datant de mai 2026.

Des années d’archives sur l’accidentologie en montagne

Le principal dossier d’archives contiendrait 9 848 fichiers, dont :

  • 6 456 pièces jointes ;
  • 1 383 fichiers XML contenant des statistiques saisonnières d’accidentologie ;
  • 735 exports mensuels attribués aux CRS entre 2023 et 2026 ;
  • des photographies ;
  • des cartes ;
  • des feuilles de calcul Excel provenant de différentes stations.

Ces données peuvent contenir des informations opérationnelles sur les accidents, les interventions, les zones concernées et l’évolution de la sécurité en montagne. Leur sensibilité dépendra du niveau de détail des exports et de la présence éventuelle d’informations permettant d’identifier des victimes ou intervenants.

Des emails supprimés auraient également été récupérés

Les auteurs affirment avoir récupéré 346 fichiers depuis un dossier d’éléments supprimés, pour environ 100 Mo. Ces données comprendraient notamment des emails datant de 2021 et 2022.

La publication affirme que la corbeille n’aurait pas été vidée depuis plusieurs années. Cette situation montre qu’un message supprimé par un utilisateur ne disparaît pas nécessairement immédiatement des systèmes ou des sauvegardes.

Des échanges envoyés et chaînes hiérarchiques revendiqués

Un dossier de messages envoyés contenant 225 fichiers est également mentionné. Les auteurs affirment y avoir trouvé des réponses, des échanges internes, des contacts et des informations permettant de comprendre les circuits de communication.

Ce type de contenu peut être utilisé pour cartographier une organisation, identifier les responsables, comprendre les habitudes de travail et préparer des attaques d’ingénierie sociale très crédibles.

Des bulletins confidentiels de sécurité en montagne

La revendication mentionne aussi une archive de 230 fichiers, représentant environ 55 Mo, contenant des bulletins de sécurité en montagne présentés comme confidentiels.

Le contenu exact de ces documents n’est pas détaillé. Ils pourraient néanmoins contenir des analyses internes, retours d’expérience, statistiques, recommandations ou informations destinées aux acteurs professionnels de la sécurité en montagne.

Quels risques pour le SNOSM ?

Le risque principal concerne la profondeur de la compromission revendiquée. La combinaison du code source, des secrets techniques, des emails, des sauvegardes et des accès administratifs pourrait permettre aux attaquants de comprendre entièrement l’architecture du service.

Les conséquences possibles incluent :

  • réutilisation de clés ou identifiants techniques ;
  • accès à d’autres services connectés ;
  • usurpation d’adresses email ;
  • phishing ciblé contre les agents et partenaires ;
  • exploitation de vulnérabilités découvertes dans le code ;
  • divulgation de documents internes ;
  • exposition d’informations liées aux accidents en montagne ;
  • préparation d’attaques contre des services interconnectés.

Une compromission qui pourrait venir d’un serveur ou d’une sauvegarde exposée

Le scénario technique exact n’est pas précisé. La diversité des données revendiquées pourrait correspondre à un accès direct au serveur, à la compromission d’un compte administrateur, à une sauvegarde exposée ou à l’accès à un espace contenant à la fois les fichiers applicatifs et les archives de messagerie.

La récupération simultanée du dépôt Git, du fichier .env, des emails et des documents suggère en tout cas un accès très large, bien au-delà d’une simple extraction via une API ou d’une fuite de base de données isolée.

Une revendication à confirmer officiellement

À ce stade, les éléments proviennent exclusivement de la revendication publiée par les attaquants. Le périmètre réel, l’origine de l’accès, la validité des secrets et la présence éventuelle de données personnelles doivent être confirmés par une analyse officielle.

Les incohérences observées dans les volumes imposent également de rester prudent. Mais si l’essentiel de la revendication est confirmé, l’incident serait particulièrement sérieux : il concernerait à la fois l’infrastructure technique, le code source, les communications internes et plusieurs années de données liées à la sécurité et à l’accidentologie en montagne.

Thomas Lazzaroni Thomas Lazzaroni
Articles similaires