Une clé USB contenant potentiellement des informations personnelles sensibles de milliers d’employés actuels et anciens de la ville de San José a été perdue le mois dernier, révélant de sérieuses failles dans la sécurité des données municipales. L’incident, qui soulève des questions sur la gestion des informations confidentielles par la ville, pourrait mettre en danger des milliers de personnes face à des risques de fraude à l’identité.
À retenir
- Une clé USB contenant des numéros de sécurité sociale et d’autres données personnelles a été égarée par un employé de San José le 9 janvier.
- La ville a mis près d’un mois pour informer les employés concernés de la violation, suscitant des critiques sur sa réactivité et sa transparence.
- Des experts en cybersécurité pointent du doigt l’utilisation d’une clé USB pour stocker des informations sensibles, une pratique jugée obsolète et risquée.
Contexte
L’incident a été signalé aux autorités municipales le 12 janvier, trois jours après la perte de la clé USB. La ville a immédiatement ouvert une enquête et alerté les forces de l’ordre, selon une lettre adressée aux personnes potentiellement affectées. À ce jour, le nombre exact de personnes concernées par cette violation de données n’a pas été divulgué. San José Spotlight a pu interroger trois personnes ayant reçu la notification de la ville, dont un employé en poste et deux anciens employés, l’un d’entre eux ayant quitté ses fonctions dès 2000.
La ville de San José a déclaré n’avoir, à ce stade, aucune preuve que les informations contenues sur la clé USB aient été consultées, copiées ou utilisées à des fins malveillantes. Néanmoins, par mesure de précaution, elle a proposé aux employés actuels et anciens un service gratuit de surveillance de leur crédit pendant un an.
Ce qui change
L’employé actuel interrogé par San José Spotlight a exprimé son inquiétude face à cette situation, estimant que la ville avait compromis ses données sans mettre en place des mesures de protection adéquates. « La ville a compromis mes données sans avoir mis en place de mesures de protection, » a-t-il déclaré. « Cela ne fait qu’ajouter encore plus de stress aux travailleurs municipaux déjà en difficulté. »
John Tucker, un représentant du syndicat AFSCME Local 101, a mis en doute la pertinence de l’offre de surveillance de crédit d’un an, soulignant que les numéros de sécurité sociale ne sont pas périssables et que le risque de fraude à l’identité persiste au-delà de cette période. « Les numéros de sécurité sociale n’expirent pas, » a-t-il affirmé. « Le risque ne prend pas fin dans 12 mois. »
L’incident intervient alors que le maire de San José, Matt Mahan, promeut activement l’intégration de technologies basées sur l’intelligence artificielle au sein de l’administration municipale. Certains observateurs s’interrogent sur la capacité de la ville à gérer efficacement ses infrastructures informatiques de base avant de se lancer dans de nouvelles initiatives technologiques.
Prochaines étapes
La ville de San José a annoncé qu’elle révisait ses politiques de stockage et de transfert de données afin d’éviter que de tels incidents ne se reproduisent. Le département de police de San José a ouvert une enquête le 19 janvier, mais n’a pas communiqué d’informations supplémentaires à ce stade. Il reste à déterminer si la clé USB a été retrouvée et si les données qu’elle contenait ont été compromises.
Ahmed Banafa, expert en cybersécurité à l’Université d’État de San José, a critiqué l’utilisation d’une clé USB pour stocker des informations sensibles, la qualifiant de pratique dépassée. « Qui utilise encore des clés USB pour des informations sensibles ? C’est ma première question, » a-t-il déclaré. « Ces informations sensibles doivent être conservées dans une base de données où un nombre limité de personnes peuvent y accéder. Si cela est nécessaire, il devrait y avoir un protocole en place selon lequel vous devez obtenir l’approbation avant de pouvoir les télécharger. »
Sources
Lettre de la ville de San José aux employés concernés (datée du 9 février).