Une faille de sécurité critique dans les systèmes de gestion des jurés utilisés dans plusieurs États américains et au Canada a exposé les données personnelles sensibles des jurés potentiels, notamment les noms, adresses et réponses détaillées aux questionnaires. La vulnérabilité, identifiée par un chercheur en sécurité et rapportée exclusivement par TechCrunch, affecte au moins une douzaine de sites Web alimentés par l’éditeur de logiciels gouvernementaux Tyler Technologies.
La nature de la vulnérabilité
Le principal problème réside dans le manque de mesures de sécurité de base : les plateformes utilisent des numéros d’identification des jurés incrémentiels et séquentiels qui peuvent être facilement forcés. Surtout, les systèmes manquent de limitation de débit, ce qui signifie que les attaquants peuvent inonder les pages de connexion de suppositions sans restriction. Cela permet un accès non autorisé aux profils complets des jurés, contenant non seulement des informations de contact mais également des détails profondément personnels collectés via des questionnaires obligatoires.
Quelles données ont été exposées ?
Les données exposées comprennent :
- Noms complets, dates de naissance et coordonnées (e-mail, numéro de téléphone, adresse du domicile).
- Informations personnelles détaillées : profession, origine ethnique, niveau d’éducation, état civil, statut parental, citoyenneté et antécédents criminels.
- Données de santé potentiellement sensibles : Les jurés demandant des exemptions pour des raisons médicales peuvent avoir divulgué des conditions disqualifiantes.
Ce niveau d’exposition est particulièrement préoccupant car les données des jurés sont souvent considérées comme confidentielles pour protéger l’impartialité et prévenir l’intimidation.
Réponse de Tyler Technologies
Après avoir été alerté de la faille le 5 novembre, Tyler Technologies a reconnu la vulnérabilité le 25 novembre, déclarant que « certaines informations des jurés auraient pu être accessibles via une attaque par force brute ». La société prétend avoir développé un correctif mais n’a pas encore confirmé si un accès malveillant s’est produit ou si les personnes concernées seront informées.
Historique de l’exposition des données
Il ne s’agit pas d’un incident isolé. En 2023, Tyler Technologies a déjà été impliqué dans une autre fuite de données majeure, dans laquelle les systèmes d’archives judiciaires américaines ont exposé des données confidentielles scellées, notamment des listes de témoins, des évaluations de santé mentale et des secrets commerciaux. Des problèmes similaires ont également été constatés dans les systèmes fournis par Catalis et Henschen & Associates, mettant en évidence un problème systémique plus large en matière de sécurité technologique gouvernementale.
Pourquoi c’est important
L’exposition répétée de données gouvernementales sensibles soulève de sérieuses questions sur les normes de cybersécurité pour les fournisseurs gérant les infrastructures critiques. Les données des jurés sont particulièrement vulnérables aux utilisations abusives, pouvant conduire au harcèlement, à l’intimidation, voire au vol d’identité. Le manque de transparence de la part de Tyler Technologies concernant les violations potentielles aggrave encore le problème, laissant les individus exposés sans savoir si leurs données ont été compromises.
L’incident souligne le besoin urgent d’audits de sécurité plus stricts et de mesures de protection des données plus robustes dans les systèmes gouvernementaux. D’ici là, le risque d’expositions similaires reste élevé, mettant en péril l’intégrité du système judiciaire et la vie privée des citoyens ordinaires.
