Plusieurs sites Web publics conçus pour permettre aux tribunaux aux États-Unis et au Canada de gérer les informations personnelles des jurés potentiels présentaient une simple faille de sécurité qui exposait facilement leurs données sensibles, y compris les noms et les adresses personnelles, a appris TechCrunch en exclusivité.
Un chercheur en sécurité, qui a demandé à ne pas être nommé pour cette histoire, a contacté TechCrunch avec des détails sur la vulnérabilité facile à exploiter et a identifié au moins une douzaine de sites Web de jurés créés par l’éditeur de logiciels gouvernementaux Tyler Technologies qui semblent vulnérables, étant donné qu’ils fonctionnent sur la même plate-forme.
Les sites sont répartis dans tout le pays, notamment en Californie, en Illinois, au Michigan, au Nevada, en Ohio, en Pennsylvanie, au Texas et en Virginie.
Tyler a déclaré à TechCrunch qu’il corrigeait la faille après avoir alerté l’entreprise des révélations d’informations.
Le bug signifiait qu’il était possible pour n’importe qui d’obtenir des informations sur les jurés sélectionnés pour le service. Pour se connecter à ces plateformes, un juré reçoit un identifiant numérique unique qui lui est attribué, qui pourrait être forcé puisque le numéro était séquentiellement incrémentiel. La plate-forme ne disposait pas non plus d’un mécanisme empêchant quiconque d’inonder les pages de connexion avec un grand nombre de suppositions, une fonctionnalité connue sous le nom de « limitation de débit ».
Début novembre, le chercheur en sécurité a déclaré à TechCrunch qu’il avait identifié au moins un portail de gestion de jury pour un comté du Texas comme vulnérable. À l’intérieur de ce portail, TechCrunch a vu les noms complets, les dates de naissance, la profession, les adresses e-mail, les numéros de téléphone portable, ainsi que les adresses personnelle et postale.
D’autres données exposées comprenaient des informations partagées dans les questionnaires que les jurés potentiels doivent remplir pour voir s’ils sont qualifiés pour faire partie d’un jury.
Dans le portail vu par TechCrunch, les questions portaient sur le sexe de la personne, son origine ethnique, son niveau d’éducation, son employeur, son état civil, ses enfants, si la personne était citoyenne, si elle avait plus de 18 ans et si elle avait été reconnue coupable ou inculpée pour un vol ou un crime.
La vulnérabilité aurait pu exposer des données de santé personnelles dans le profil d’un juré dans certains cas. Par exemple, si un juré avait demandé à être exempté du service pour des raisons de santé, il aurait pu divulguer quelle raison médicale, selon lui, le disqualifie. TechCrunch en a également vu un exemple.
Contactez-nous
Avez-vous plus d’informations sur les vulnérabilités des produits de Tyler Technologies ? Ou une autre technologie gouvernementale ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou par e-mail.
TechCrunch a alerté Tyler du problème le 5 novembre. Tyler a reconnu la vulnérabilité le 25 novembre.
Dans un communiqué, la porte-parole de Tyler, Karen Shields, a déclaré que l’équipe de sécurité de l’entreprise avait confirmé « qu’il existe une vulnérabilité dans laquelle certaines informations juridiques peuvent avoir été accessibles via une attaque par force brute ».
« Nous avons développé une solution pour empêcher tout accès non autorisé et communiquons les prochaines étapes avec nos clients », indique le communiqué.
Le porte-parole n’a pas répondu à une série de questions complémentaires, notamment si Tyler dispose des moyens techniques nécessaires pour déterminer s’il y a eu un accès malveillant aux informations personnelles des jurés et s’il envisage d’informer les personnes dont les données ont été exposées.
Ce n’est pas la première fois que Tyler laisse des données personnelles sensibles exposées sur Internet. En 2023, un chercheur en sécurité a découvert qu’en raison d’une faille de sécurité distincte, certains systèmes d’archives judiciaires en ligne des États-Unis exposaient des données scellées, confidentielles et sensibles, telles que des listes et des témoignages de témoins, des évaluations de santé mentale, des allégations détaillées d’abus et des secrets commerciaux d’entreprise.
Dans ce cas, Tyler a corrigé des vulnérabilités dans son produit Case Management System Plus, utilisé dans tout l’État de Géorgie.
Deux autres fournisseurs de technologie gouvernementaux exposaient des données dans cette affaire : Catalis, via son produit CMS360, un système utilisé dans plusieurs États américains ; et Henschen & Associates, via son système d’archives judiciaires CaseLook, utilisé dans l’Ohio.
