Le tableau de bord des caméras ANPR de la ville britannique de Sheffield a été ouvert au public pendant longtemps. Il en est résulté que des millions d’enregistrements de déplacements de véhicules étaient consultables par tout un chacun.
Il est question de 8,6 millions de fichiers journaux provenant d’une centaine de caméras ANPR installées à Sheffield. Ces journaux contenaient des plaques minéralogiques filmées à certaines heures et à certains endroits dans la ville, comme l’a découvert The Register sur les indications de l’expert en sécurité Chris Kubecka et du rédacteur freelance Gérard Janssen.
Le tableau de bord concerné pouvait être ouvert en entrant simplement l’adresse IP du serveur dans un navigateur. Pas besoin de login ou d’autre authentification pour visionner les quasiment neuf millions de données. Il était ainsi possible à quasiment tout un chacun de passer en revue les déplacements d’habitants en voiture ou à pied.
Images brutes
The Register a demandé à un expert en sécurité d’étudier le système. Il affirme qu’il était aussi possible de renommer les caméras et de modifier leurs métadonnées, telles leur numéro d’identification unique ou des informations sur leur emplacement. Il y avait également un lien vers le stockage en ligne, où étaient conservées les images brutes des caméras ANPR. C’était bel et bien sécurisé, mais uniquement au moyen d’un mot de passe, ce qui permettait d’essayer diverses combinaisons de mots de passe.
On ignore combien de temps le tableau de bord a été ouvert et si les données relatives aux véhicules remontent à longtemps. Ce qui est sûr, par contre, c’est que le tableau de bord est utilisé depuis novembre 2018. Les caméras ANPR sont installées depuis 2014. Elles servent surtout au contrôle d’une zone à faible émission locale.
Dans une réaction à l’adresse de The Register, le président du National ANPR Independant Advisory Group déclare que l’incident sera examiné, et qu’on va rechercher ses causes.
Les autorités de Sheffield prétendent au site web IT britannique qu’elles assumeront leur coresponsabilité: “Il est inacceptable que cela se soit passé. Mais il est important d’indiquer clairement que pour autant qu’on le sache, personne n’a encore été lésé ou subi d’effets négatifs à cause de cet incident.” Peu après cette révélation, le tableau de bord a été mis hors ligne par The Register.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici