Les législateurs ont demandé à la Federal Trade Commission d’enquêter sur Flock Safety, une société qui exploite des caméras de lecture de plaques d’immatriculation, pour avoir prétendument omis de mettre en œuvre des protections de cybersécurité qui exposent son réseau de caméras aux pirates informatiques et aux espions.
Dans une lettre envoyée par le sénateur Ron Wyden (D-OR) et le représentant Raja Krishnamoorthi (D-IL, 8e), les législateurs exhortent le président de la FTC, Andrew Ferguson, à enquêter sur les raisons pour lesquelles Flock n’impose pas l’utilisation de l’authentification multifacteur (MFA), une protection de sécurité qui empêche tout accès malveillant par une personne connaissant le mot de passe du titulaire du compte.
Wyden et Krishnamoorthi ont déclaré que même si la société offre à ses clients chargés de l’application des lois la possibilité d’activer l’authentification multifacteur, « Flock ne l’exige pas, ce que la société a confirmé au Congrès en octobre », selon la lettre.
Wyden et Krishnamoorthi ont déclaré que si des pirates informatiques ou des espions étrangers découvrent le mot de passe d’un utilisateur des forces de l’ordre, « ils peuvent accéder aux zones réservées aux forces de l’ordre du site Web de Flock et rechercher les milliards de photos de plaques d’immatriculation américaines collectées par des caméras financées par les contribuables à travers le pays ».
Flock exploite l’un des plus grands réseaux de caméras et de lecteurs de plaques d’immatriculation aux États-Unis, donnant accès à plus de 5 000 services de police, ainsi qu’à des entreprises privées, à travers le pays. Les caméras de Flock scannent les plaques d’immatriculation des véhicules qui passent afin que la police et les agences fédérales connectées à la plate-forme de Flock puissent rechercher les milliards de photos capturées et suivre où les véhicules ont voyagé à un moment donné.
Les législateurs ont déclaré avoir trouvé des preuves que certains des identifiants de connexion des clients des forces de l’ordre de Flock avaient déjà été volés et partagés en ligne, citant des données de Hudson Rock, une société de cybersécurité qui a identifié les noms d’utilisateur et les mots de passe volés par des logiciels malveillants voleurs d’informations.
Le chercheur indépendant en sécurité Benn Jordan a également fourni aux législateurs une capture d’écran montrant un forum russe sur la cybercriminalité vendant prétendument l’accès aux connexions Flock.
Lorsqu’il a été contacté par TechCrunch pour commentaires, Flock a partagé la réponse de l’entreprise dans une lettre de son directeur juridique Dan Haley, dans laquelle il affirme que l’entreprise a activé MFA par défaut pour tous les nouveaux clients à partir de novembre 2024, et que 97 % de ses clients chargés de l’application des lois ont activé MFA à ce jour.
Cela laisse environ 3 % des clients de l’entreprise – potentiellement des dizaines d’organismes chargés de l’application des lois – qui ont refusé d’activer la MFA, citant « des raisons qui leur sont spécifiques », a écrit Haley.
Holly Beilin, porte-parole de Flock, n’a pas immédiatement fourni un nombre précis de clients chargés de l’application de la loi qui n’ont pas encore activé la MFA, ni indiqué si des agences fédérales faisaient partie des clients restants, ou pour quelle raison Flock n’exige pas que ses clients activent la fonction de sécurité.
404 Media a précédemment rapporté que la Drug Enforcement Administration des États-Unis avait utilisé le mot de passe d’un policier local pour accéder aux caméras de Flock afin de rechercher un individu soupçonné de « violation de l’immigration », mais à l’insu de l’agent. Le service de police de Palos Heights a déclaré avoir activé l’authentification multifacteur à la suite de la violation.
