Flock Safety a codé en dur 53 fois le mot de passe de l’infrastructure de surveillance américaine

 (nexanet.ai)
2 points par GN⁺ 2026-01-10 | 1 commentaires | Partager sur WhatsApp
  • Il a été confirmé que Flock Safety, qui exploite un réseau de surveillance à l’échelle des États-Unis, a codé en dur une clé d’API ArcGIS et l’a exposée dans 53 bundles JavaScript publics
  • Cette clé permettait d’accéder à un environnement ArcGIS qui centralise et gère les données de localisation et de détection d’environ 12 000 organisations, sans restriction d’IP ni de référent, ce qui la rendait utilisable par n’importe qui
  • Les données exposées incluaient des informations de localisation sensibles sur les véhicules de police, les drones, les bodycams, les appels au 911 et le déploiement des caméras
  • Le chercheur a également découvert une deuxième vulnérabilité permettant d’émettre des jetons ArcGIS sans authentification, restée non corrigée pendant plus de 55 jours
  • L’affaire met en lumière un risque grave pour la sécurité nationale et la protection de la vie privée, et appelle selon l’article à une enquête du Congrès américain et des autorités de régulation

Résumé et principales découvertes

  • La clé d’API ArcGIS de Flock Safety était incluse dans 53 bundles JavaScript web publics, donnant accès à environ 50 couches de données privées

    • Il s’agissait de la clé d’API par défaut, un identifiant à l’échelle de toute l’organisation émis automatiquement lors de la création d’un compte ArcGIS
    • Aucune restriction de référent, d’IP ou de domaine n’était appliquée, permettant un accès ouvert à tous

  • Les données accessibles via cette clé comprenaient des détections de plaques d’immatriculation, la position des véhicules de patrouille, la télémétrie des drones, les appels au 911 et l’emplacement des caméras de surveillance

    • Les données d’environ 5 000 services de police, 6 000 communautés et 1 000 entreprises privées étaient ainsi exposées

  • FlockOS est une interface unifiée basée sur une carte qui centralise tous les équipements et toutes les données de surveillance, ArcGIS servant de socle

    • La clé exposée donnait accès à l’ensemble de cette couche cartographique intégrée

Flock Safety et l’infrastructure de surveillance

  • Flock Safety exploite aux États-Unis des lecteurs de plaques d’immatriculation, des drones et des capteurs audio, et collecte chaque mois plus de 30 milliards de données de détection de véhicules
  • Ce système centralise toutes les données sur une seule carte via FlockOS, une plateforme basée sur ArcGIS
  • La clé d’API exposée jouait le rôle d’une clé ouvrant toute cette architecture « One Map »

Détails de la vulnérabilité

  • Les identifiants exposés correspondaient à une clé au niveau de l’organisation, reliée à l’ensemble de l’environnement ArcGIS de Flock Safety

    • La même clé a été retrouvée de manière répétée sur 53 endpoints publics
    • Chaque endpoint pouvait accéder indépendamment à l’environnement ArcGIS

  • Selon la documentation d’Esri, les clés d’API définissent les droits d’accès aux contenus publics et privés et doivent impérativement être limitées par portée et par référent avant déploiement

    • Flock n’a appliqué aucune de ces restrictions

Catégories de données exposées

  • Infrastructure de surveillance : caméras de police, de communautés et d’acteurs privés, drones, capteurs audio, équipements tiers
  • Données de localisation : GPS des véhicules de patrouille, bodycams, montres connectées, événements CAD, historique des patrouilles
  • Informations sur les personnes et les véhicules : alertes de détection, historique des recherches, alertes audio (y compris la détection de coups de feu)
  • Données d’enquête : détections de hotlists, filtres de recherche, zones de recherche géographique
  • Informations personnelles identifiables (PII) : nom, e-mail, numéro de téléphone, adresse et nombre de caméras des personnes enregistrant des caméras
  • Données Flock911 : localisation des incidents en temps réel, ID d’appel, jetons d’accès aux enregistrements, état de lecture audio
  • Informations sur l’état des drones : statut des équipements (enregistrement, recharge, hors ligne, etc.)

Schéma répété d’exposition des identifiants

  • En plus de la même clé d’API par défaut, une vulnérabilité permettant d’émettre des jetons ArcGIS sans authentification a également été découverte
    • Un jeton nommé « Flock Safety Prod » permettait d’accéder aux données réelles du réseau de caméras
    • Après un premier signalement le 13 novembre 2025, la faille est restée non corrigée pendant plus de 55 jours
Propriété Default API Key Flock Safety Prod
Éléments accessibles 50 éléments privés Aucun
Accès au réseau de caméras Oui Oui
Origine Bundle JS de développement Émission de jeton sans authentification
État Corrigé (juin 2025) Non corrigé (plus de 55 jours)
  • L’environnement de développement disposait de droits d’accès plus larges que l’environnement de production et restait accessible depuis l’extérieur

Risques pour la sécurité nationale et la vie privée

  • Des données de localisation à l’échelle nationale peuvent révéler les schémas de déplacement de responsables politiques, de personnels militaires ou d’agents du renseignement
    • De simples vides dans les données de localisation peuvent suffire à inférer le lancement d’opérations spéciales
  • Si des services de renseignement étrangers abusaient de ces données, ils pourraient déduire des informations opérationnelles sans même intercepter les communications
  • Sur le plan intérieur, il existe aussi un risque d’usage abusif pour la violation de la vie privée, le chantage ou l’influence

Cas réels d’abus

  • Braselton, Géorgie (2025) : le chef de la police a été arrêté, accusé d’avoir utilisé des caméras Flock pour harceler une personne
  • Sedgwick, Kansas (2023–2024) : un chef de police a suivi son ex-compagne à 228 reprises en saisissant de faux motifs d’enquête
  • Orange City, Floride (2024–2025) : un policier a suivi son ex-compagne et a été arrêté pour accès illégal et harcèlement

Ces cas montrent que les systèmes de surveillance peuvent être détournés à des fins personnelles

Vérification des affirmations de Flock sur la sécurité et la conformité

  • Le CEO de Flock a affirmé que « Flock n’a jamais été piraté », mais c’est parce que la vulnérabilité a été découverte via un signalement avant d’être exploitée
  • Flock a mis en avant sa conformité à CJIS, SOC 2/3, ISO 27001, etc., alors qu’en réalité la clé d’API par défaut était incluse dans 53 ressources publiques
  • Cela est présenté non comme un simple échec procédural, mais comme un défaut structurel de sécurité

Recommandations

  • Citoyens : demander la publication des contrats Flock et des journaux d’accès auprès des collectivités locales
  • Journalistes : mener des investigations complémentaires sur la base des preuves techniques
  • Forces de l’ordre : vérifier les résultats des tests d’intrusion du fournisseur et l’étendue réelle des accès aux données
  • Décideurs publics : imposer des audits de sécurité indépendants et soutenir une enquête de la FTC

Conclusion

  • La clé d’API a été remplacée, mais le fait que les identifiants d’accès centraux d’une infrastructure nationale de surveillance aient été exposés 53 fois constitue un grave signal d’alerte en matière de sécurité
  • Si un seul chercheur a pu obtenir un accès d’une telle ampleur, un acteur malveillant aurait pu collecter bien davantage d’informations
  • Flock Safety est décrit non comme ayant simplement divulgué une clé, mais comme ayant exposé le cœur opérationnel du système de surveillance américain

À lire aussi

1 commentaires

 
GN⁺ 2026-01-10
Avis sur Hacker News

  • Je n’aime pas Flock, mais les affirmations de l’article me semblent suspectes
    La plupart des captures d’écran semblent montrer du code JavaScript côté client plutôt que de vraies réponses d’API
    Dans la communauté bug bounty, les fuites de clés Google Maps API sont un cas classique de faux positif : elles servent simplement à la facturation et ne donnent pas accès aux données
    L’article n’apporte pas non plus de preuve qu’ArcGIS serait différent

    • La sécurité des cartes est en pratique impossible
      Dans l’administration et l’ingénierie, il faut largement partager les cartes, et il est facile de trouver des moyens d’accéder même à des couches payantes avec un minimum de recherche
      Si les clés ne sont pas révoquées à la fin d’un projet, c’est parce que tous les anciens liens seraient cassés, ce qui nuirait à la recherche ou à la planification
      Même des étudiants peuvent accéder à divers jeux de données cartographiques via les accords de leur université, et ces données deviennent au final de fait publiques
      Au XXIe siècle, il devient presque impossible de préserver la vie privée

  • Le problème avec Flock, ce n’est pas son niveau de sécurité, c’est son existence même
    Suivre en permanence la localisation de quelqu’un ne relève pas d’une surveillance raisonnable, mais d’une perquisition abusive

    • Si quelqu’un me suivait 24 heures sur 24 en prenant des photos et en enregistrant mes trajets, ce serait clairement du harcèlement
      Ce que fait Flock n’est pas fondamentalement différent, c’est simplement moins visible
    • Quand on regarde les cas de ces dernières décennies, on en vient à penser qu’il faudrait finalement inscrire explicitement un droit constitutionnel à la vie privée

  • Les flux des caméras publiques sont un bien public et devraient donc être accessibles au public

    • C’est particulièrement vrai, à mon avis, lorsqu’elles sont exploitées par des organismes qui se présentent comme des services publics
      Cela dit, on peut aussi craindre qu’une telle ouverture finisse par externaliser l’État de surveillance à la foule
    • Ce type de système facilite aussi la création d’applications de harcèlement

  • Dans un monde sensé, ce genre d’affaire aurait conduit l’entreprise à faire faillite et à voir ses dirigeants incarcérés

  • Partage d’une vidéo d’expérimentations techniques adversariales visant à perturber les lecteurs de plaques d’immatriculation
    Attention toutefois : ce n’est pas légal partout, il faut vérifier la loi locale
    Lien YouTube

  • Je me demande si quelqu’un a déjà réussi à faire retirer des caméras Flock dans sa ville
    Elles ont été installées chez nous il y a environ un an et demi, et les villes voisines les ont adoptées presque au même moment

    • Je fais partie des organisateurs communautaires qui ont réussi à faire annuler les contrats Flock à Eugene et Springfield, dans l’Oregon
      Je travaille maintenant avec des villes proches de Portland et un groupe de travail du parlement de l’État pour faire avancer une législation sur le sujet
      La manière dont Flock manipule les services de police est assez stupéfiante
      Par exemple, une entreprise appelée Lexipol vend des documents de politique publique à la police tout en exploitant en parallèle une plateforme appelée Police1
      Police1 aide les forces de l’ordre à trouver des subventions pour financer des abonnements Flock, et Flock y est très présent
      Au final, la police achète ses politiques chez Lexipol, et ces politiques sont très favorables à Flock
      Flock martèle sans cesse les mêmes éléments de langage auprès de la police et des responsables municipaux
      Flock Safety, issu de YCombinator, avance des affirmations très trompeuses sur son produit et son activité
    • À Redmond, dans l’État de Washington, il y a aussi eu un cas réussi de désactivation de Flock
      Article lié
    • Il y a aussi eu des cas de résiliation ou de rejet de contrat à Sedona en Arizona, à Bend dans l’Oregon, ainsi qu’à Hays County et Lockhart au Texas
      Cas de Sedona, article sur Bend, article sur Hays County, article sur Lockhart
      Nous menons aussi une campagne dans notre ville, et plus le nom de Flock est connu, plus l’opinion évolue
      Participer directement aux réunions du conseil municipal et discuter est important
    • À Flagstaff, en Arizona, le contrat Flock a également été annulé
      Lien vers l’article
    • Plusieurs villes de l’Oregon et de l’État de Washington ont décidé de ne pas renouveler leurs contrats avec Flock
      Article lié

  • Cela ressemble au simple résultat de l’incompétence
    Lors de la controverse autour du déploiement de ShotSpotter, le CIO municipal et l’auditeur avaient eux aussi été écartés, et il avait fallu convaincre les élus un par un pour obtenir une évaluation technique
    J’espère que cela ne se reproduira pas

    • Mais ce n’est pas de l’incompétence, c’est de la désinvolture
      S’il y avait eu une volonté de corriger le problème, ce serait déjà réglé

  • J’ai déjà signalé une clé exposant des données sensibles dans un organisme public utilisé par des millions de personnes
    Je comprends désormais pourquoi ce genre de faille reste ignoré pendant des mois, voire des années
    Le problème vient du burn-out, de l’ignorance, et d’une culture où l’on préfère cacher le problème plutôt que le reconnaître

  • Au Royaume-Uni, il existe les Blade Runners, qui démontent des caméras CCTV ; je me demande pourquoi il n’y a pas de réaction aussi active aux États-Unis

    • Aux États-Unis, les forces opposées à la surveillance sont faibles, tandis que le camp agressif est justement celui qui veut construire l’appareil de surveillance
    • Dans ma ville, certaines caméras Flock ont été désactivées à cause de panneaux solaires ou d’objectifs endommagés, mais contractuellement c’est la ville qui paie les réparations
    • Le risque de sanctions pénales est élevé, les frais d’avocat coûtent cher, donc il est difficile de passer à l’action
      Sans compter le risque d’avoir affaire à une police violente
    • Sur le site de Flock, on peut aussi voir une présentation de leurs fonctions de drone
    • Nous subissons de plus en plus une nouvelle forme de politique de la terreur (gestapo)
      Nous nous appelons les « défenseurs de la liberté », mais en réalité nous ne résistons presque pas du tout