Flock Safety a codé en dur 53 fois le mot de passe de l’infrastructure de surveillance américaine

 (nexanet.ai)
2 points par GN⁺ 2026-01-10 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Il a été confirmé que Flock Safety, qui exploite un réseau de surveillance à l’échelle des États-Unis, a codé en dur une clé d’API ArcGIS et l’a exposée dans 53 bundles JavaScript publics
  • Cette clé permettait d’accéder à un environnement ArcGIS qui centralise et gère les données de localisation et de détection d’environ 12 000 organisations, sans restriction d’IP ni de référent, ce qui la rendait utilisable par n’importe qui
  • Les données exposées incluaient des informations de localisation sensibles sur les véhicules de police, les drones, les bodycams, les appels au 911 et le déploiement des caméras
  • Le chercheur a également découvert une deuxième vulnérabilité permettant d’émettre des jetons ArcGIS sans authentification, restée non corrigée pendant plus de 55 jours
  • L’affaire met en lumière un risque grave pour la sécurité nationale et la protection de la vie privée, et appelle selon l’article à une enquête du Congrès américain et des autorités de régulation

Résumé et principales découvertes

  • La clé d’API ArcGIS de Flock Safety était incluse dans 53 bundles JavaScript web publics, donnant accès à environ 50 couches de données privées

    • Il s’agissait de la clé d’API par défaut, un identifiant à l’échelle de toute l’organisation émis automatiquement lors de la création d’un compte ArcGIS
    • Aucune restriction de référent, d’IP ou de domaine n’était appliquée, permettant un accès ouvert à tous

  • Les données accessibles via cette clé comprenaient des détections de plaques d’immatriculation, la position des véhicules de patrouille, la télémétrie des drones, les appels au 911 et l’emplacement des caméras de surveillance

    • Les données d’environ 5 000 services de police, 6 000 communautés et 1 000 entreprises privées étaient ainsi exposées

  • FlockOS est une interface unifiée basée sur une carte qui centralise tous les équipements et toutes les données de surveillance, ArcGIS servant de socle

    • La clé exposée donnait accès à l’ensemble de cette couche cartographique intégrée

Flock Safety et l’infrastructure de surveillance

  • Flock Safety exploite aux États-Unis des lecteurs de plaques d’immatriculation, des drones et des capteurs audio, et collecte chaque mois plus de 30 milliards de données de détection de véhicules
  • Ce système centralise toutes les données sur une seule carte via FlockOS, une plateforme basée sur ArcGIS
  • La clé d’API exposée jouait le rôle d’une clé ouvrant toute cette architecture « One Map »

Détails de la vulnérabilité

  • Les identifiants exposés correspondaient à une clé au niveau de l’organisation, reliée à l’ensemble de l’environnement ArcGIS de Flock Safety

    • La même clé a été retrouvée de manière répétée sur 53 endpoints publics
    • Chaque endpoint pouvait accéder indépendamment à l’environnement ArcGIS

  • Selon la documentation d’Esri, les clés d’API définissent les droits d’accès aux contenus publics et privés et doivent impérativement être limitées par portée et par référent avant déploiement

    • Flock n’a appliqué aucune de ces restrictions

Catégories de données exposées

  • Infrastructure de surveillance : caméras de police, de communautés et d’acteurs privés, drones, capteurs audio, équipements tiers
  • Données de localisation : GPS des véhicules de patrouille, bodycams, montres connectées, événements CAD, historique des patrouilles
  • Informations sur les personnes et les véhicules : alertes de détection, historique des recherches, alertes audio (y compris la détection de coups de feu)
  • Données d’enquête : détections de hotlists, filtres de recherche, zones de recherche géographique
  • Informations personnelles identifiables (PII) : nom, e-mail, numéro de téléphone, adresse et nombre de caméras des personnes enregistrant des caméras
  • Données Flock911 : localisation des incidents en temps réel, ID d’appel, jetons d’accès aux enregistrements, état de lecture audio
  • Informations sur l’état des drones : statut des équipements (enregistrement, recharge, hors ligne, etc.)

Schéma répété d’exposition des identifiants

  • En plus de la même clé d’API par défaut, une vulnérabilité permettant d’émettre des jetons ArcGIS sans authentification a également été découverte
    • Un jeton nommé « Flock Safety Prod » permettait d’accéder aux données réelles du réseau de caméras
    • Après un premier signalement le 13 novembre 2025, la faille est restée non corrigée pendant plus de 55 jours
Propriété Default API Key Flock Safety Prod
Éléments accessibles 50 éléments privés Aucun
Accès au réseau de caméras Oui Oui
Origine Bundle JS de développement Émission de jeton sans authentification
État Corrigé (juin 2025) Non corrigé (plus de 55 jours)
  • L’environnement de développement disposait de droits d’accès plus larges que l’environnement de production et restait accessible depuis l’extérieur

Risques pour la sécurité nationale et la vie privée

  • Des données de localisation à l’échelle nationale peuvent révéler les schémas de déplacement de responsables politiques, de personnels militaires ou d’agents du renseignement
    • De simples vides dans les données de localisation peuvent suffire à inférer le lancement d’opérations spéciales
  • Si des services de renseignement étrangers abusaient de ces données, ils pourraient déduire des informations opérationnelles sans même intercepter les communications
  • Sur le plan intérieur, il existe aussi un risque d’usage abusif pour la violation de la vie privée, le chantage ou l’influence

Cas réels d’abus

  • Braselton, Géorgie (2025) : le chef de la police a été arrêté, accusé d’avoir utilisé des caméras Flock pour harceler une personne
  • Sedgwick, Kansas (2023–2024) : un chef de police a suivi son ex-compagne à 228 reprises en saisissant de faux motifs d’enquête
  • Orange City, Floride (2024–2025) : un policier a suivi son ex-compagne et a été arrêté pour accès illégal et harcèlement

Ces cas montrent que les systèmes de surveillance peuvent être détournés à des fins personnelles

Vérification des affirmations de Flock sur la sécurité et la conformité

  • Le CEO de Flock a affirmé que « Flock n’a jamais été piraté », mais c’est parce que la vulnérabilité a été découverte via un signalement avant d’être exploitée
  • Flock a mis en avant sa conformité à CJIS, SOC 2/3, ISO 27001, etc., alors qu’en réalité la clé d’API par défaut était incluse dans 53 ressources publiques
  • Cela est présenté non comme un simple échec procédural, mais comme un défaut structurel de sécurité

Recommandations

  • Citoyens : demander la publication des contrats Flock et des journaux d’accès auprès des collectivités locales
  • Journalistes : mener des investigations complémentaires sur la base des preuves techniques
  • Forces de l’ordre : vérifier les résultats des tests d’intrusion du fournisseur et l’étendue réelle des accès aux données
  • Décideurs publics : imposer des audits de sécurité indépendants et soutenir une enquête de la FTC

Conclusion

  • La clé d’API a été remplacée, mais le fait que les identifiants d’accès centraux d’une infrastructure nationale de surveillance aient été exposés 53 fois constitue un grave signal d’alerte en matière de sécurité
  • Si un seul chercheur a pu obtenir un accès d’une telle ampleur, un acteur malveillant aurait pu collecter bien davantage d’informations
  • Flock Safety est décrit non comme ayant simplement divulgué une clé, mais comme ayant exposé le cœur opérationnel du système de surveillance américain

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.