Statistiques de campagne
Une enquête OSINT en deux phases – reconnaissance passive en janvier 2026, suivie d'un dénombrement actif API et d'une collecte de données le 25 février 2026 – ciblant l'infrastructure numérique du gouvernement albanais a produit les résultats suivants.
Contexte : l’ambitieux État numérique de l’Albanie
L’Albanie a passé la dernière décennie à construire l’une des infrastructures gouvernementales numériques les plus ambitieuses d’Europe de l’Est. L'Agence nationale pour la société de l'information — AKSHI (Agjencia Kombëtare e Shoqërisë së Informacionit) – gère un réseau reliant 220 institutions gouvernementales, héberge 380 sites Web gouvernementaux, alimente plus de 600 services électroniques destinés aux citoyens et maintient un CSIRT dédié aux opérations de cybersécurité. L'Albanie a été classée 14ème mondial dans le GovTech Maturity Index 2025 et a reçu la reconnaissance de l'ONU comme modèle de transformation numérique.
Le pays est également membre de l’OTAN et cherche activement à adhérer à l’UE, avec une date d’adhésion fixée à 2030. Bruxelles a toujours identifié la corruption comme le principal obstacle. La réponse de l’Albanie, en septembre 2025, a été de nommer le premier ministre de l’IA au monde.
Diella — nommé d'après le mot albanais signifiant « soleil » — est un système d'IA développé par AKSHI à l'aide de Microsoft Azure et OpenAI. Le Premier ministre Edi Rama l'a nommée ministre d'État chargée de l'Intelligence artificielle avec une mission déclarée : « Les appels d’offres publics seront totalement exempts de corruption. » En octobre 2025, Rama a annoncé que Diella était « enceinte de 83 assistants numériques » qui seraient affectés à chaque député du parti au pouvoir pour surveiller les sessions législatives.
"L'agence qui a construit l'IA anti-corruption albanaise était elle-même une entreprise criminelle. Son directeur général et son adjoint ont été arrêtés trois mois après la nomination de Diella, accusés d'avoir dirigé un groupe criminel structuré pour manipuler les appels d'offres du gouvernement."
L'histoire
Cette enquête a débuté en janvier 2026 sous la forme d'une reconnaissance passive : cartographier l'infrastructure d'AKSHI et de Diella, identifier les sous-domaines via la transparence des certificats, sonder les systèmes destinés au public. La conclusion initiale était simple : les infrastructures gouvernementales albanaises étaient, selon les normes régionales, bien sécurisées. WAF sur les domaines principaux, WordPress API nécessitant une authentification, aucune information d'identification exposée dans le package JavaScript frontend de Diella.
L’évaluation a complètement changé en février 2026. Lorsque le recensement s’est tourné vers le Parlement albanais – l’institution que les 83 « enfants » d’IA de Diella étaient censés surveiller – une image différente est apparue. Le Parlement (parlament.al) sert une application React d'une seule page qui, à première vue, semblait être une impasse : elle renvoie HTTP 200 pour tous les chemins, un fourre-tout classique du SPA. Mais le bundle JavaScript principal raconte une autre histoire.
L'extraction du bundle JS de 355 Ko et l'exécution de l'extraction de chaîne ont révélé une URL de base API codée en dur : https://kuvendiapi.azurewebsites.net/api. Une extraction plus poussée à partir de variables Webpack minifiées a produit sept noms d'entités OData. Chaque point de terminaison a répondu à des requêtes GET non authentifiées. Pas de jetons, pas de limitation de débit, pas de contrôle d'accès d'aucune sorte.
L’ensemble du backend du Parlement albanais API était grand ouvert.
L’ironie est profonde. La directrice générale de l’AKSHI, Mirlinda Karçanaj, et son adjoint ont été arrêtés en décembre 2025 – trois mois seulement après la nomination de Diella – accusés de diriger un groupe criminel structuré au sein même de l’agence qui a créé le ministre anti-corruption d’Amnesty International. La SPAK (Structure spéciale anti-corruption d’Albanie) a identifié 12 procédures d’appel d’offres qui avaient été systématiquement manipulées. Le Parlement API était ouvert depuis au moins janvier 2022. Et Diella – intégrée à la plateforme e-Albania, avec accès à plus de 36 000 documents gouvernementaux – n’en a rien vu.
Constatation critique 1 — Parlement albanais : non authentifié API
Ouvrir les points de terminaison API
| Point de terminaison | Enregistrements | Taille | Contenu |
|---|---|---|---|
| /anetaret | 236 | 138 Ko | Enregistrements MP — complets PII |
| /structuration | — | 274 Ko | Commissions parlementaires |
| /aktet | — | 3,1 Mo | Actes législatifs, interpellations |
| /lajmet | — | 19,8 Mo | Articles d'actualité parlementaire |
| /mbledhjet | — | 2,2 Mo | Comptes rendus de séances et de réunions |
| /documentet | 54 545 URL | 30,2 Mo | Catalogue de documents avec des URL Azure Blob directes |
| /YouTube/recherche | — | 8 Ko | Proxy de recherche de vidéos YouTube |
| /abonimet | — | 401 | Seul point de terminaison protégé |
MP PII exposé — 236 enregistrements
Chacun des 236 dossiers de parlementaires du /anetaret La réponse contient les informations personnelles identifiables suivantes :
- Nom légal complet (prénom, nom du père, nom)
- Date de naissance et lieu de naissance
- Adresse e-mail officielle (@parlament.al)
- Affiliation à un parti politique et circonscription électorale
- URL de la photo de profil (hébergée sur Azure Blob Storage)
- Liens vers les réseaux sociaux (Facebook, Twitter/X, LinkedIn)
- Statut parlementaire actif/inactif
Il s'agit d'un dossier complet et structuré sur chaque personne siégeant dans la législature albanaise, y compris les identifiants personnels, les coordonnées et les affiliations politiques. Les données ont été collectées sans qu'aucune authentification ni aucun contrôle d'accès ne soient contournés.
Stockage Blob Azure – 54 545 documents publics
Le /dokumentet endpoint renvoie un catalogue JSON de 30,2 Mo répertoriant tous les documents des archives parlementaires. Liste des conteneurs sur kuvendiwebfiles.blob.core.windows.net/webfiles/ est désactivé - mais chaque URL est directement énumérable via la réponse API, et tous les blobs individuels ont un accès public en lecture activé.
| Type de fichier | Compter |
|---|---|
| 32,627 | |
| JPEG/JPG | 18,289 |
| JFIF | 1,768 |
| DOCX | 885 |
| DOCUMENT | 397 |
| XLSX | 392 |
| PNG | 208 |
| XLS | 117 |
Parmi les documents récupérés : Feuilles de calcul des salaires des députés (PAGA DÉPUTÉ) et Dossiers sur les avantages sociaux des députés (PERFITIME DEPUTETE) couvrant la période 2018-2020 sur une base mensuelle ; le Registre des lobbyistes (Regjistri elektronik i Lobisteve); Journaux de requêtes et de réponses FOIA couvrant la période 2018-2021 ; tableaux des dépenses budgétaires et données du fonds de réserve public ; la Constitution albanaise, le Code électoral et la loi sur le statut de député ; et les rapports parlementaires annuels de 2013 à 2019.
Le bundle JavaScript contient également une référence interne API codée en dur à l'adresse http://134.0.63.165:5000/public — une adresse IP interne inaccessible depuis l'Internet public, confirmant l'existence d'une infrastructure backend supplémentaire au-delà de ce qui est exposé publiquement.
Constatation critique 2 – Scandale de corruption AKSHI
L'ironie des chiffres
| Le but déclaré de Diella | Réalité |
|---|---|
| « Les marchés publics seront 100 % exempts de corruption » | Les dirigeants d'AKSHI arrêtés pour manipulation d'appel d'offres |
| Le ministre de l'IA luttera contre la corruption pour l'adhésion à l'UE | Le directeur de l'agence arrêté 3 mois après sa nomination |
| Des enfants IA pour surveiller l’activité législative de chaque député | Parlement API ouvert, zéro authentification, toutes les données des députés exposées |
| Intégré dans plus de 36 000 documents gouvernementaux | Documents consultés par cette enquête sans informations d'identification |
Constatation 3 – Analyse frontale de Diella AI
La sécurité technique de la propre infrastructure frontend de Diella est, de manière isolée, compétente. Azure Static Web Apps, configuration injectée au moment de l'exécution, IAM approprié via Keycloak, infrastructure interne segmentée. Mais les questions de sécurité soulevées par Diella ne sont pas essentiellement techniques : elles sont institutionnelles. L’agence qui contrôle les données de formation, l’accès au système et les paramètres opérationnels de Diella a été compromise par des pirates informatiques de l’État iranien en 2022 et a fonctionné comme une entreprise criminelle jusqu’en décembre 2025. Comment Diella a-t-elle été construite avec les données provenant de systèmes compromis ? Qui a surveillé l’IA anti-corruption pendant que ses créateurs manipulaient les appels d’offres ?
Constatation 4 — Portail de données ouvertes
Ensembles de données disponibles
| Ensemble de données | Source | Volume |
|---|---|---|
| Centres de santé | AKSHI | 400 centres avec GPS |
| Pharmacies et médicaments | AKSHI | 2 289 enregistrements |
| Registre des entreprises (forme juridique) | QKB | Données 2025 + 2026 |
| Registre des entreprises (propriété) | QKB | Données 2025 + 2026 |
| Registre des entreprises (Région) | QKB | Données 2025 + 2026 |
| Registre national de la dette 2024 | Ministère des Finances | 4 dossiers trimestriels |
| Données de trésorerie | Ministère des Finances | 900 distributions quotidiennes |
| Investissements publics | Ministère des Finances | Données mensuelles |
| Statistiques e-Albanie 2023 | AKSHI | 12 rapports mensuels |
| Utilisateurs d’e-Albania 2013-2024 | AKSHI | Statistiques d'inscription annuelles |
| Flux de courrier aéroportuaire 2025 | Aviation Civile | Statistiques mensuelles |
Analyse plus large du gouvernement albanais
Dix-sept domaines du gouvernement albanais ont été sondés au cours de la phase de février 2026. La majorité est durcie : Incapsula WAF, 403/404 réponses, pas de panneaux d'administration accessibles. Un certificat de transparence énumérant les .gov.al l'espace de domaine via crt.sh a produit 832 domaines et a augmenté le nombre de sous-domaines connus d'AKSHI de 50 (janvier) à 110 (février), révélant Jira, Rancher, Wiki et des environnements de test internes, le tout derrière un DNS interne uniquement, non accessible depuis l'Internet public.
| Domaine | Résultat | Entité |
|---|---|---|
| e-albania.al | 200 (durci) | Plateforme principale d'e-gouvernement |
| akshi.gov.al | WordPress, WAF | Agence nationale informatique |
| parlament.al | Réagir SPA — API OUVERT | Parlement albanais |
| kryeministria.al | WAF Incapsula | Cabinet du Premier ministre |
| president.al | 403 Interdit | Bureau du président |
| bankofalbania.org | 403 Interdit | Banque centrale |
| klsh.org.al | WordPress, 401 durci | Institution supérieure de contrôle |
| pp.gov.al | VERS LE BAS | Poursuite générale |
| policia.al | VERS LE BAS | Police d'État |
| mbrojtja.gov.al | VERS LE BAS | Ministère de la Défense |
| financat.gov.al | VERS LE BAS | ministère des Finances |
| drejtesia.gov.al | WAF Incapsula | ministère de la Justice |
| arsimi.gov.al | WAF Incapsula | Ministère de l'Éducation |
| tatime.gov.al | VERS LE BAS | Autorité fiscale |
| dogana.gov.al | VERS LE BAS | Autorité douanière |
| dpshtrr.gov.al | 415 (registre des véhicules) | Permis de conduire |
| instat.gov.al | 404 (propre) | Institut de Statistique |
Quatre portails SIG ont été découverts grâce à l'énumération crt.sh : geoportal.asig.gov.al (géoportail national), instatgis.gov.al (statistiques WebSIG), webgis.arrsh.gov.al (Autorité routière), et webgis.atp.gov.al (Aménagement du territoire). Aucun n’expose les points de terminaison de données GeoServer ou WFS accessibles – tous sont des applications frontales uniquement.
Organisations avec des compromis
Contexte historique : une décennie d’exposition
L’exposition du Parlement API n’existe pas de manière isolée. L'Albanie a été systématiquement compromise à chaque couche de son infrastructure numérique au cours des cinq dernières années.
| Date | Incident | Échelle |
|---|---|---|
| avril 2021 | Fuite de la base de données des électeurs | 910 000 enregistrements (∼33 % de la population) |
| décembre 2021 | Fuite de la base de données des salaires (WhatsApp) | 637 138 enregistrements (22 % de la population) |
| mai 2021 | La justice intérieure iranienne obtient un premier accès à AKSHI | 14 mois de persistance silencieuse |
| juillet 2022 | Attaque destructrice : ransomware ROADSWEEP + essuie-glace ZeroCleare | L'Albanie force les services gouvernementaux à se déconnecter |
| septembre 2022 | L'Albanie rompt ses relations diplomatiques avec l'Iran | L'OTAN condamne l'attaque |
| octobre 2022 | La base de données des suspects de la police a été divulguée via Telegram | ∼100 000 enregistrements, 1,7 Go |
| décembre 2023 | Parlement + One Telecom Albanie attaqué | 2 pétaoctets prétendument détruits |
| janvier 2024 | L'institut de statistique INSTAT piraté | Plus de 100 To déclarés exfiltrés |
| septembre 2025 | Diella nommé ministre de l'IA | — |
| décembre 2025 | Le directeur général d'AKSHI arrêté pour corruption | 12 appels d'offres en cours d'investigation |
| Février 2026 | Le Parlement API trouvé ouvert — cette enquête | 54 545 documents, 236 députés PII |
Le groupe parrainé par l’État iranien AccueilJustice Foncière (MITRE ATT&CK C0038, attribué par le FBI, la CISA, l'OTAN et le NCSC britannique au ministère iranien du renseignement et de la sécurité) a violé AKSHI en exploitant CVE-2019-0604 (Microsoft SharePoint). L’accès initial a été établi en mai 2021, soit quatorze mois avant l’attaque destructrice lancée en juillet 2022. Au cours de cette fenêtre, le voleur d’informations CHIMNEYSWEEP a exfiltré les données de l’agence qui allait plus tard former le ministre albanais de l’IA.
Inventaire des données
Collecte totale : 251 Mo répartis sur 1 309 fichiers, récupérés à partir de points de terminaison non authentifiés accessibles au public et d’URL de stockage Blob Azure.
OSINT Méthodologie & Mentions Légales
Toutes les données de cette enquête ont été récupérées grâce à des techniques OSINT passives et actives appliquées à des points de terminaison API non authentifiés accessibles au public et à des URL de stockage Blob Azure. Aucune authentification n'a été contournée. Aucune information d'identification n'a été testée ou utilisée. Aucun contrôle d'accès n'a été contourné. Le API du Parlement albanais a répondu aux demandes GET standard des HTTP sans exiger aucune forme d'identification ou de jeton.
Ce rapport suit la méthodologie standard de ODINT : les infrastructures destinées au public sont énumérées, documentées et signalées. Les PII collectés à partir des APIs ouverts sont présentés sous forme agrégée ou expurgée. Les enregistrements bruts PII sont conservés en accès restreint et ne sont pas publiés publiquement. L'accès à des ensembles de données restreints peut être accordé sur demande aux journalistes accrédités, aux chercheurs et aux entités gouvernementales concernées.