Ah, le Texas. Ses cowboys, ses steakhouses, ses pick-ups plus gros que des studios parisiens… et maintenant, son Department of Transportation (Texas DOT) qui distribue des crash records comme des hot-dogs à la foire locale. Environ 300 000 dossiers d’accidents de la route se sont retrouvés librement accessibles, dans ce qui ressemble fort à une nouvelle masterclass en comment rater sa cybersécurité sans même un cheval de Troie.
Les faits : une fuite XXL façon barbecue texan
L’affaire commence comme beaucoup d’autres : un journaliste de la data met la main sur une base de données publique contenant plusieurs centaines de milliers de rapports d’accidents routiers. Le hic ? Cette base contient des données nominatives, géolocalisées, parfois sensibles, liées à des incidents de la circulation couvrant tout l’État du Texas.
Les données comprennent :
- Le nom complet des conducteurs
- Le lieu et la date précise de l’accident
- Le type de véhicule impliqué
- La cause probable du sinistre
- Parfois même des informations médicales ou comportementales (alcool, stupéfiants, etc.)
Oui, vous avez bien lu : une fiche complète pour chaque galette contre un poteau, chaque dérapage incontrôlé, chaque pick-up lancé un peu trop vite sur l’Interstate 35. Une vraie cartographie de la casse texane… désormais dans la nature.
Pas de ransomware identifié, pas de phishing avéré. Juste… un manque de bon sens ?
Contrairement à ce qu’on pourrait penser à la première lecture, ce leak ne serait pas lié à une attaque de ransomwarecomme on en voit chaque semaine. Pas de revendication signée LockBit ou Black Basta, pas de double extorsion avec site vitrine à l’appui. Et aucune preuve concrète d’un phishing ciblé ayant permis une intrusion dans les serveurs.
Alors quoi ? La piste la plus probable semble être la négligence pure et dure. Une mauvaise configuration de serveur, un partage de fichier trop large, un bucket mal sécurisé ou un export mal pensé – au choix. À croire que la culture du “on a rien à cacher” a migré depuis les saloons jusqu’aux bases de données du gouvernement texan.
Ce que ça dit de la cybersécurité dans les agences publiques américaines
Ce n’est pas la première fois qu’une institution publique américaine se fait surprendre en plein coma cybernétique. Mais cette fuite révèle plusieurs points inquiétants :
- Absence de gouvernance des données : Qui accède à quoi ? Comment ? Pourquoi ? Ici, visiblement, la réponse est « tout le monde », « sans raison », et « avec joie ».
- Pas d’audit de sécurité régulier : La base était accessible pendant plusieurs mois. Il a fallu qu’un chercheur externe tire la sonnette d’alarme pour que quelqu’un au Texas DOT réalise que leur gestion des données avait un goût de chili périmé.
- Manque de classification des données : Quand on traite des données liées à la santé, à la géolocalisation et à des comportements à risque, il faut les protéger comme des données médicales, pas comme une recette de sauce BBQ.
Les conséquences : un accident de la route à grande vitesse
Outre la honte médiatique et la gêne politique, les implications sont sérieuses :
- Risque de réidentification : croiser les données de crash avec d’autres bases (Facebook, courtiers en données, etc.) permettrait de reconstituer des profils très précis.
- Discrimination assurantielle : les compagnies d’assurance pourraient théoriquement utiliser ces données pour augmenter les primes des conducteurs impliqués.
- Chantage ou harcèlement : les cas de conduite en état d’ivresse ou de récidive peuvent être exploités pour des fins malveillantes. Un simple “on sait ce que tu as fait sur la Route 66” peut faire des dégâts.
Et bien sûr, la confiance dans l’administration publique en prend un sacré coup… mais ça, c’est presque devenu un effet secondaire normal aux États-Unis.
Conclusion : quand on parle de crash… on ne pensait pas aux serveurs
La leçon ici n’est pas nouvelle, mais elle mérite d’être martelée : les données sensibles ne sont pas des cacahuètes à balancer en libre-service. Même dans un État aussi grand et fier que le Texas, les failles de cybersécurité n’épargnent personne.
Une fuite de 300 000 rapports d’accidents, ce n’est pas juste un problème technique. C’est un échec systémique qui combine légèreté, absence de supervision, et probablement un manque criant de compétences en sécurité numérique dans les équipes responsables.
Alors, Texas DOT, la prochaine fois que vous mettez vos données en ligne, assurez-vous que c’est pas un crash test en production. Et si vous avez besoin d’un RSSI, on vous envoie un chapeau de cowboy avec un manuel de bonnes pratiques.
