← Back to Cyber Tours

Le gouvernement sans verrou

Un audit OSINT passif à l'échelle nationale de l'infrastructure.gouv.htd'Haïti a cartographié plus de 50 domaines gouvernementaux, 710 Mo de preuves, une application fiscale nationale largement ouverte, 3 233 dossiers de citoyens et un domaine de la police nationale détourné. Rien n'a été forcé. Rien n'était verrouillé.

Par l’équipe d’enquête ODINT — 2026

Vues :...

.GOUV.HT HAITI 3 233 ENREGISTREMENTS PII Enquête OSINT

Statistiques de campagne

Une seule opération de reconnaissance passive contre le domaine Web du gouvernement haïtien – les ministères, les organismes de surveillance financière, l'appareil de sécurité et les sous-domaines découverts en matière de transparence des certificats – a produit les résultats globaux suivants. Chaque requête était un HTTPGETnon authentifié. Aucune information d'identification n'a été utilisée. Aucun système n’a été violé.

710 MB Preuves recueillies
50+ Domaines .gouv.ht sondés
3,233 Informations personnelles des candidats aux douanes
6 Expositions critiques
227 Documents analysés
1,365 Images numérisées EXIF
194 Fichiers API non authentifiés
18 Identités gouvernementales exposées
Archives complètes de preuves brutes Parcourez la collection complète d'Haïti OSINT — captures par agence, rapports de reconnaissance et corpus de documents/PII — sur le serveur de données d'ODINT.
Parcourir les archives

Tout a commencé avec une inscription dans un annuaire

Il n’y a eu aucun exploit. Il y avait une URL.

curl -s https://civitax.gouv.ht/

civitax.gouv.htest l'application d'administration fiscale municipale d'Haïti — le système qui gère le recensement des propriétés (Recensement) et la facturation fiscale (Bordereau) pour les citoyens. Le serveur n'a pas renvoyé de mur de connexion. Il a renvoyé une liste complète du répertoirede l'ensemble de l'application: fichiers sources, pages de rapport, modules de statistiques, pages d'administration de sécurité (Edit_User,GroupRights), et archives téléchargeables.rardes modules Recensement et Bordereau.

L'application exécuteTelerik UIv2013.3.1015.40— une pile de composants vulnérable àCVE-2017-9248(faiblesse cryptographique) etCVE-2019-18935(exécution de code à distance non authentifié). Le point de terminaison TelerikDialogHandler.aspxa répondu avec200 OK. Le gestionnaire IIStrace.axdexistait. Ce qui est censé être un système fiscal gouvernemental contrôlé n’était, en pratique, qu’un classeur ouvert dont le tiroir était déjà retiré.

Aucune authentification n'était requise. Aucun exploit n'a été déployé. L'index du répertoire était public par configuration – ou par négligence. Du point de vue du citoyen, la différence n’a pas d’importance.

Cibles évaluées

L'enquête a balayé le domaine gouvernemental d'Haïti en plusieurs couches : 13 domaines ministériels, 15 agences financières et de surveillance, 9 domaines militaires et de sécurité, 13 sous-domaines de transparence des certificats jamais évalués auparavant et 20 cibles de messagerie cPanel/autodiscover. Les résultats ci-dessous sont ceux qui comptent.

civitax.gouv.ht
Demande de taxe municipale nationale – CRITIQUE
Répertoire complet de l’ensemble de l’application fiscale exposée. Telerik UI 2013 avecCVE-2017-9248etCVE-2019-18935(RCE non authentifié). Archives RAR téléchargeables des modules Recensement (recensement foncier) et Bordereau (facturation fiscale). Pages d'administration de sécurité accessibles sans authentification.
pnh.gouv.ht
Police Nationale d'Haïti — DOMAINE PIRATE
Le domaine officiel de la Police Nationale ne dessert plus la Police Nationale. Il sert une plate-forme d'arnaque"Cash Rocket / smocup-cashads". Le certificat TLS est délivré àcashads.smocup.site, et non àpnh.gouv.ht. Un domaine national d’application de la loi a été discrètement réaffecté à la fraude.
agdmail.douane.gouv.ht
Courrier de l'autorité douanière (AGD) - Microsoft Exchange 2016 EXPOSÉ
Un serveur Microsoft Exchange 2016 entièrement exposé (build15.1.2507.61, IIS/10.0) face au courrier électronique des douanes d'Haïti. Découverte automatique accessible. De tous les domaines sondés, seules les douanes publient une politique de rejet DMARC – les autres n’appliquent rien.
mde.gouv.ht
Ministère de l'Environnement — CRITIQUE (abandonware)
Exécution deJoomla 3.8.7— publié en avril 2018 et non corrigé depuis environ huit ans — derrière nginx/1.26.3. Un CMS non maintenu aussi ancien sur un ministère en direct est une invitation permanente.
md.gouv.ht
Ministère — Énumération des utilisateurs WordPress + données de recrutement
API REST WordPress complète avec énumération des utilisateurs, 168 fichiers multimédias, 22 publications, XML-RPC activé avec plus de 80 méthodes. Des formulaires d'enrôlement militaire, un système de newsletter pour les employés et des listes d'éligibilité des candidats accessibles au public via l'API REST. Le plugin Code Snippets (exécution arbitraire de PHP) et l'authentification par mot de passe de l'application sont activés.
mpce.gouv.ht
Ministère du Plan — ÉLEVÉ
WordPress 6.9.1 + Thème enfant Divi sur Apache, répondant200avec une surface dénombrable. L'un des six domaines de ministère actifs sur treize sondés ; les sept autres ne sont pas du tout résolus dans le DNS public.

3 233 citoyens dans une seule feuille de calcul

L’artefact le plus dommageable n’était pas une base de données. Il s'agissait d'un fichier public sur le site de la Douane :DOUANE-GOUV/downloads/Liste-des-candidats-retenus.xlsx— la liste complète des3,233 candidats retenus pour l'examen de la Douane d'Haïti (AGD), chaque ligne comportant des données personnelles complètes.

Code         | Last Name  | First Name   | Sex | Phone            | Department
OE12AG7570   | Abdon      | Gerald       | M   | (+509) 5544-6924 | OUEST
OE12AO1940   | Abel       | Osmane       | M   | (+509) 4019-1719 | OUEST
ND18AC1872   | ABEL       | CAMY         | M   | (+509) 3259-5650 | NORD_EST

Un jumeau expurgé (Liste-des-candidats-retenus-no_phone.xlsx) existe sur le même serveur – prouvant que l'éditeur savait que les numéros de téléphone étaient sensibles, puis a quand même publié la version qui les contenait.

Dans l’ensemble du corpus de documents plus large, ODINT a analysé 227 documentset 1 365 imagesnumérisées par EXIF ​​récupérées à partir de points de terminaison du gouvernement public. Le résultat global : 59 adresses e-mail uniques, des milliers de numéros de téléphone, des identifiants fiscaux NIF, des personnes nommées, des PDF budgétaires et de lois financières et des données opérationnelles des douanes (tableaux de codes de conteneurs, de ports et d'entrepôts SYDONIA - y compris une référence de port international de 895 lignes). Dix-huit utilisateurs, auteurs et commentateurs de WordPress ont été recensés auprès de la banque centrale (brh.ht), de la direction des impôts (dgi.gouv.ht, où un compte Gmail personnel est enregistré en tant qu'auteur) et d'autres agences, chacune avec son hachage Gravatar public.

Un État sur l'hébergement mutualisé

La découverte structurelle n’est pas une vulnérabilité unique : c’est l’architecture. Le gouvernement haïtien fonctionne sur l'hébergement partagé de base. ODINT a pris les empreintes digitales des sites du ministère et de surveillance sur les plans partagésBluehost,SiteGroundetHostinger, plusieurs divulguant leur origine d'hébergement via des en-têtes d'hôte codés en base64. WordPress 6.9.1 est récurrent dans des agences indépendantes, suggérant un responsable ou un modèle partagé. Parmi les domaines financiers et de surveillance, 10 des 15 domaines étaient actifs (cinq WordPress, deux Laravel, un CMS d'octobre, un IIS/ASP.NET avec divulgation détaillée du chemin d'erreur). Sur neuf domaines militaires et sécuritaires, sept n'existent pas dans le DNS public – le périmètre de sécurité numérique de l'État haïtien est, en grande partie, tout simplement absent.

Lorsqu’un domaine de la police nationale peut être redirigé silencieusement vers une plateforme frauduleuse et que personne ne le remarque, le problème n’est pas un correctif manquant. Le problème est que personne ne détient les clés.

Données brutes et téléchargements

Toutes les preuves collectées ont été archivées et sont disponibles pour les chercheurs, les journalistes et les organisations de la société civile via le serveur de données d'ODINT. Les archives publiées contiennent les captures par agence et les rapports de reconnaissance analytique ; les outils de dénombrement utilisés pour les collecter sont intentionnellement retenus.

Haïti — Collection complète — Archives OSINT complètes, toutes les agences et rapports
Parcourir
Rapport de reconnaissance — Reconnaissance passive de l'infrastructure Web de base du ministère
Voir
Résultats du balayage du ministère — 13 domaines ministériels sondés, 6 en direct
Voir
Balayage financier et de surveillance — 15 domaines d'agence financière/de surveillance
Voir
Balayage militaire et de sécurité — 9 domaines militaires/sécurité dont. détournement de pnh.gouv.ht
Voir
Reconnaissance de sous-domaines de grande valeur — Objectifs de transparence des certificats, y compris. civitax.gouv.ht
Voir
Sonde FAES et civitax — Rapport de sonde cible de grande valeur
Voir
cPanel et reconnaissance des e-mails — Infrastructure de messagerie, y compris. Bourse des douanes 2016
Voir
Analyse de la pile technologique — Empreintes digitales du CMS, du serveur et du framework
Voir
Analyse inversée de Gravatar — Résolution d'identité à partir des hachages Gravatar publics
Voir
Rapport PII du document — 227 documents analysés, résultats combinés des informations personnelles
Voir
Rapport principal PII — Extraction de PII agrégées à partir de points de terminaison d'API publics
Voir
DGI — Direction des Impôts — La Direction Générale des Impots s'empare
Parcourir
Douane — Douane (AGD) — Captures douanières incl. ensemble de documents du candidat
Parcourir
civitax — Application de taxes municipales — Captures du module Recensement & Bordereau
Parcourir
BRH — Banque centrale — La Banque de la République d'Haïti s'empare
Parcourir
MD — Ministère — API REST WordPress + captures multimédias
Parcourir
Documenter les e-mails et les téléphones — Identifiants de contact extraits du corpus
Voir
Captures du ministère et de l'agence — DINEPA, MSPP, MENFP, MICT, MPCE, ONI, IGF, MAE, Primature
Parcourir
Rapport EXIF — Métadonnées de 1 365 images numérisées
Voir
Analyse Web.config — Sonde d'exposition de configuration ASP.NET
Parcourir
Index du plan du site Yoast — Structure du plan du site capturée
Voir

Avis de non-responsabilité OSINT

Ce rapport est entièrement basé sur des renseignements open source (OSINT). Aucune information classifiée n’a été consultée. Aucune source confidentielle n’a été utilisée. Aucun système n’a été violé. Aucun mécanisme d'authentification n'a été contourné. Toutes les données référencées dans cette enquête étaient accessibles au public et servies sans contrôle d'accès au moment de la collecte.

Chaque point de terminaison décrit ici a répondu aux requêtes HTTPGETnon authentifiées. Aucun mot de passe, jeton ou identifiant de quelque nature que ce soit n'a été requis ou utilisé. Les outils d'énumération utilisés pour collecter ces preuves ont été retirés des archives publiques ; seuls les matériaux capturés et les rapports analytiques sont publiés.

Compilé 2026 — Classification : OSINT — Open Source
Observatoire des infrastructures numériques et de la transparence des réseaux (ODINT)

© 2026 Observatory for Digital Infrastructure and Network Transparency.
501(c)(3) Public Charity · EIN 41-4306936 · Donations tax-deductible to the fullest extent allowed by law.

Home · Privacy · Terms

Donate