• Home
  • Cybersecurity
  • L’application SweepWizard est victime d’une importante fuite de données policières privées

L’application SweepWizard est victime d’une importante fuite de données policières privées

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email

En septembre dernier, des agents des forces de l’ordre de cinq comtés de Californie du Sud ont coordonné une opération visant à enquêter et arrêter plus de 600 délinquants sexuels présumés. 

Cette mission, baptisée “Operation Protect the Innocent”, était l’une des plus importantes opérations de ce type depuis des années, impliquant plus de 64 agences. Selon la police de Los Angeles, elle a été coordonnée à l’aide d’un essai gratuit d’une application appelée SweepWizard.

Mais il y a eu un problème : à l’insu de la police, SweepWizard a divulgué sur Internet l’emplacement et les noms de 5 770 suspects avec des informations supplémentaires, telles que la taille, le poids, la couleur des yeux et le statut de logement, spécifiées dans certains cas.

Ces détails supplémentaires contenaient aussi les numéros de sécurité sociale de plus de 1 000 suspects. Enfin, le point de terminaison API non sécurisé a également exposé les noms, numéros de téléphone et adresses électroniques de centaines de membres des forces de l’ordre.

Cette exposition a eu lieu à une adresse web spécifique à laquelle n’importe qui pouvait obtenir des données de police de SweepWizard sans aucune forme d’authentification.

Ce point de terminaison non sécurisé de l’interface de programmation d’applications (API) aurait pu être utilisé par des acteurs de la menace pour accéder à des informations sensibles et surveiller l’activité de la police, bien que l’on ignore actuellement si un tel accès par des tiers a eu lieu. 

Selon le rapport, la base de données exposée contenait des informations relatives à plus de deux cents opérations s’étalant de décembre 2022 à 2011.

WIRED, qui a publié le rapport sur le point de terminaison API non sécurisé, a d’abord alerté le Los Angeles Police Department (LAPD) du problème. Le département a réagi en suspendant son utilisation de SweepWizard et en lançant une enquête sur le sujet.

Le capitaine Kelly Muniz, de la division des relations avec les médias du LAPD, a déclaré à WIRED que « le département travaille avec les forces de l’ordre fédérales pour déterminer la source de la diffusion non autorisée d’informations, qui n’est pas claire pour le moment. À ce stade de l’enquête, il n’a pas été déterminé si l’application tierce ou un autre moyen est à l’origine de la diffusion non autorisée. »

WIRED a également révélé ce problème à ODIN Intelligence avant de publier son rapport. La société a rapidement supprimé l’application de l’App Store d’Apple et de Google Play et a retiré le site Web de SweepWizard. 

Après une première enquête, le PDG d’ODIN Intelligence, Erik McCauley, a déclaré : « Jusqu’à présent, nous n’avons pas été en mesure de reproduire la prétendue atteinte à la sécurité d’un quelconque système ODIN. En cas de preuve d’une compromission de la sécurité d’ODIN ou de SweepWizard, nous prendrons les mesures appropriées. »

Évaluez votre niveau
de conformité

En quelques clics,
lancez sans engagement
et en toute conformité un
audit flash !

Pour recevoir votre audit flash gratuit et sans engagement, merci de bien vouloir remplir ce formulaire :