Imaginez un instant : des milliers de conteneurs traversant les océans, remplis de marchandises valant des millions d’euros, et dont les informations les plus sensibles – itinéraires précis, noms des clients, mots de passe administrateurs – sont accessibles à n’importe qui disposant d’une simple connexion internet. Cette situation, digne d’un scénario catastrophe, a pourtant été réalité pendant plusieurs mois en 2025-2026.
Derrière cette brèche hors norme se cache une société américaine peu connue du grand public mais pourtant essentielle dans l’ombre de la logistique mondiale : Bluspark Global. Son logiciel Bluvoyix orchestre une partie significative des flux de fret internationaux. Et pendant longtemps, cette porte d’entrée stratégique est restée grande ouverte.
Quand la logistique mondiale danse avec le feu numérique
Depuis plusieurs années, les experts en cybersécurité maritime tirent la sonnette d’alarme. Les attaques de plus en plus sophistiquées visant les chaînes d’approvisionnement ne se contentent plus de voler des données. Elles permettent désormais de détourner physiquement des cargaisons entières au profit de réseaux criminels très organisés.
Vapes high-tech volées par camions entiers, homards canadiens disparus mystérieusement, meubles de luxe réacheminés vers des entrepôts clandestins… La liste des « success stories » du crime organisé 2.0 s’allonge dangereusement.
Bluspark : l’invisible mais indispensable
Basée à New York, Bluspark Global développe depuis de nombreuses années des solutions technologiques pour la gestion des flux de fret. Sa plateforme Bluvoyix est utilisée par de très nombreuses entreprises du commerce de détail, de l’agroalimentaire, de l’ameublement et bien d’autres secteurs encore.
Ce que l’on sait moins, c’est que plusieurs autres sociétés affiliées utilisent également cette technologie en marque blanche. En clair : quand vous commandez un meuble en ligne ou que votre supermarché reçoit ses palettes de produits frais, il y a de fortes chances que les informations de transport aient transité, à un moment ou à un autre, par les serveurs de Bluspark.
« Une seule faille dans un maillon invisible peut compromettre des chaînes d’approvisionnement entières. »
Eaton Zveare, chercheur en cybersécurité
Octobre 2025 : la découverte glaçante
Tout commence par un détail qui pourrait sembler anodin. Eaton Zveare, chercheur indépendant spécialisé dans les systèmes industriels et maritimes, consulte le site internet d’un client de Bluspark. Il remarque que le formulaire de contact envoie les messages via l’infrastructure de Bluspark.
Curieux, il inspecte le code source de la page. Il découvre alors l’adresse de l’API utilisée. Quelques secondes plus tard, en collant cette URL dans son navigateur, il tombe sur… la documentation complète et publique de l’API Bluspark.
- Liste des utilisateurs
- Création de compte
- Modification de droits
- Accès aux historiques de 2007 à aujourd’hui
Et surtout : la possibilité de tester toutes ces fonctionnalités directement depuis la page de documentation. Sans aucun login. Sans aucun mot de passe.
Mots de passe en clair : le cauchemar absolu
En explorant les différentes requêtes, le chercheur récupère rapidement une liste impressionnante de comptes : employés de Bluspark, mais aussi clients directs. Et parmi eux… les identifiants et mots de passe, stockés en texte clair, parfaitement lisibles.
Le compte administrateur global est là, bien visible. Une seule paire login/mot de passe permettrait donc de prendre le contrôle total de la plateforme Bluvoyix et de visualiser l’intégralité des flux de centaines d’entreprises.
Mais l’histoire ne s’arrête pas là. L’API permet également de créer de nouveaux comptes administrateurs sans aucune vérification. Eaton Zveare le fait… et obtient immédiatement les droits les plus élevés sur l’ensemble du système.
Des semaines d’alertes dans le vide
Comme tout chercheur responsable, Eaton commence par chercher un moyen de prévenir l’entreprise. Problème : Bluspark ne dispose d’aucun canal officiel de signalement de vulnérabilités. Pas de security@, pas de page /security, pas de programme bug bounty.
Il se tourne alors vers le Maritime Hacking Village, une organisation à but non lucratif qui aide à mettre en relation les chercheurs et les acteurs du monde maritime. Malgré plusieurs relances, toujours le silence.
Après des semaines sans avancée, il décide de contacter un média spécialisé : TechCrunch. L’histoire que vous lisez est née de ce choix courageux et risqué.
Les différentes étapes de la prise de conscience
Premier contact de TechCrunch → silence.
Deuxième relance → toujours rien.
Troisième email, cette fois avec un extrait du mot de passe du PDG pour prouver la réalité de la menace → réponse quasi immédiate… mais par l’intermédiaire d’un cabinet d’avocats.
- Signalement initial par Eaton Zveare (octobre 2025)
- Multiples tentatives de contact sans réponse
- Implication de TechCrunch
- Envoi d’une preuve choc
- Réponse par avocat (janvier 2026)
- Correction annoncée des cinq vulnérabilités principales
- Annonce d’un futur programme de disclosure
Ce que nous apprend cette affaire majeure
Cette histoire est symptomatique de plusieurs maux qui gangrènent encore en 2026 le secteur de la logistique et des technologies industrielles :
- Manque cruel de culture sécurité dans certaines entreprises critiques
- Absence totale de canal de signalement structuré
- Stockage de mots de passe en clair (pratique interdite depuis plus de 15 ans par toutes les bonnes pratiques)
- API publiques sans aucune protection d’authentification
- Réactivité extrêmement faible face à une menace critique
Dans un monde où une simple redirection d’un conteneur peut représenter plusieurs centaines de milliers d’euros de marchandises dérobées, ces négligences sont proprement inacceptables.
Et maintenant ? Vers une prise de conscience collective ?
Bluspark affirme aujourd’hui avoir corrigé les cinq vulnérabilités majeures identifiées. L’entreprise dit également travailler sur la mise en place d’un programme de divulgation responsable et envisage de faire auditer ses systèmes par un tiers indépendant.
Mais plusieurs questions essentielles restent sans réponse :
- Combien de temps la plateforme est-elle restée vulnérable avant octobre 2025 ?
- Des acteurs malveillants ont-ils eu connaissance de cette brèche avant le chercheur ?
- Des détournements de cargaisons ont-ils pu être facilités par cette faille ?
- Les clients ont-ils été prévenus individuellement ?
À ce jour, Bluspark maintient qu’aucune exploitation malveillante n’a été détectée. Difficile cependant de prouver une absence d’attaque quand on ne dispose pas, au départ, des logs d’accès adéquats…
Les leçons que chaque dirigeant devrait retenir
1. Si votre entreprise touche de près ou de loin à la chaîne logistique, vous êtes une cible stratégique.
2. Ne pas avoir de canal de signalement de vulnérabilités en 2026 est inexcusable.
3. Stocker des mots de passe en clair est une faute professionnelle grave.
4. Toute API exposée sur internet doit être protégée par une authentification forte, point barre.
5. La transparence et la rapidité de réaction face à une faille critique sont désormais des marqueurs de crédibilité.
Conclusion : le réveil douloureux de la logistique tech
L’affaire Bluspark ne restera probablement pas dans les annales comme la plus grosse fuite de données de l’histoire. Mais elle incarne parfaitement la vulnérabilité d’un écosystème qui n’a pas encore pris la mesure des menaces qui pèsent sur lui.
Entre les hackers qui scrutent les API mal protégées et les organisations criminelles prêtes à payer cher pour un simple changement d’itinéraire de conteneur, la fenêtre d’opportunité est immense.
Espérons que cette histoire, grâce au courage d’un chercheur solitaire et à la ténacité d’un journaliste, permettra à d’autres entreprises du secteur de faire leur propre introspection avant qu’un incident bien plus grave ne vienne les y contraindre.
La mer est grande. Les conteneurs sont nombreux. Mais la sécurité, elle, ne devrait jamais être une option.
