Une faille critique chez le service de téléphonie carcérale
Le fournisseur de téléphonie pour prisons, Pay Tel, a récemment été mis en lumière pour une négligence majeure en matière de cybersécurité. Une recherche menée par la société de sécurité UpGuard a révélé qu’un serveur hébergé sur Microsoft Azure était laissé sans aucune authentification, rendant publiques plus de 300 000 scans de permis de conduire ainsi que d’autres pièces d’identité officielles.
Comment la faille a été découverte
Le 7 mai, les analystes d’UpGuard ont identifié le serveur mal configuré et ont immédiatement contacté Pay Tel. Après plusieurs jours d’échanges, l’entreprise a finalement sécurisé l’infrastructure, mais aucun communiqué officiel n’a encore été publié pour informer le public ou les victimes potentielles.
Quelles informations ont été mises à nu ?
Outre les copies numériques de permis de conduire, la fuite comprenait des photos de profil, des notes manuscrites, des messages texte et même des relevés financiers des appelants. Certaines images contenaient des métadonnées de géolocalisation suffisamment précises pour permettre de déterminer l’adresse de domicile des personnes concernées.
Contexte et antécédents
Ce n’est pas la première fois que Pay Tel fait face à une compromission. En juin 2025, la société a subi une attaque par ransomware qui a perturbé son activité pendant plusieurs semaines. La répétition des incidents soulève des questions sur la gouvernance de la sécurité au sein de l’entreprise et sur les mesures prises pour prévenir de futures expositions.
Répercussions légales et réglementaires
Aux États-Unis, la plupart des États obligent les entreprises à notifier les autorités et les personnes affectées en cas de violation de données sensibles. Il reste donc incertain si Pay Tel respectera ces obligations ou s’il devra faire face à des poursuites de la part des procureurs généraux d’État.
Leçons à retenir pour les organisations
Cette affaire rappelle l’importance cruciale d’une configuration correcte des services cloud, notamment le contrôle d’accès et le chiffrement des données au repos. Les entreprises qui traitent des informations personnelles doivent adopter des pratiques de sécurité « privacy‑by‑design » et réaliser régulièrement des audits pour détecter les failles avant qu’elles ne deviennent publiques.