Imaginez recevoir une convocation pour être juré… et découvrir quelques jours plus tard que votre adresse, votre numéro de portable, votre date de naissance et même vos problèmes de santé sont accessibles à n’importe qui sur Internet avec un simple script. C’est exactement ce qui vient d’arriver à des milliers d’Américains. Une faille béante dans les systèmes de gestion de jurés utilisés par plusieurs États a permis à quiconque de récupérer ces informations ultra-sensibles en quelques minutes seulement.
Cette affaire, révélée en exclusivité par TechCrunch le 26 novembre 2025, met une nouvelle fois en lumière la fragilité dramatique des infrastructures numériques utilisées par les administrations publiques – et, par extension, les risques que courent toutes les entreprises qui négligent les bases élémentaires de la sécurité.
Une faille d’une simplicité effrayante
Le problème ? Les portails de gestion des jurés développés par Tyler Technologies (un géant des logiciels pour collectivités locales) utilisaient un identifiant numérique séquentiel pour chaque juré. Exemple : 10001, 10002, 10003… Aucun mécanisme de rate-limiting n’empêchait de tester des milliers d’identifiants par minute. Résultat : un simple script Python pouvait aspirer l’ensemble des données en quelques heures.
Ce que contenait chaque profil découvert :
- Nom complet et date de naissance
- Adresse postale complète (maison + boîte postale)
- Numéro de téléphone portable et email personnel
- Profession, employeur, niveau d’éducation
- Situation maritale, nombre d’enfants
- Antécédents judiciaires (condamnations, mises en accusation)
- Et parfois… des informations médicales confidentielles (demande d’exemption pour raison de santé)
Autant dire un trésor pour un harceleur, un escroc ou pire.
Des États entiers concernés
La vulnérabilité touchait au minimum la Californie, l’Illinois, le Michigan, le Nevada, l’Ohio, la Pennsylvanie, le Texas et la Virginie. Mais comme tous ces portails tournent sur la même plateforme Tyler Technologies, le chercheur qui a découvert la faille estime qu’une bonne partie des 50 États pourrait être concernée à des degrés divers.
En clair : des millions de citoyens américains ont potentiellement vu leurs données exposées sans le savoir.
« Nous avons développé une solution pour empêcher tout accès non autorisé et nous communiquons les prochaines étapes à nos clients. »
– Karen Shields, porte-parole de Tyler Technologies
Traduction : on a colmaté la brèche… trois semaines après avoir été prévenus par TechCrunch. Entre-temps, rien n’indique que l’entreprise ait les moyens techniques de savoir si des acteurs malveillants ont déjà exploité la faille.
Tyler Technologies, récidiviste de la sécurité
Ce n’est malheureusement pas la première fois que Tyler Technologies se fait épingler. En 2023 déjà, une autre faille dans leur système de gestion judiciaire avait exposé des documents scellés : témoignages de victimes, évaluations psychiatriques, secrets industriels… Là encore, il avait fallu l’intervention de chercheurs indépendants pour que l’entreprise réagisse.
Ce schéma répétitif pose une question brutale : comment une entreprise qui équipe des milliers d’administrations locales peut-elle encore aujourd’hui négliger des mesures de sécurité aussi élémentaires que le rate-limiting ou des identifiants non séquentiels ?
Les leçons business que toute startup doit en tirer
Vous pensez que ça n’arrive qu’aux « vieux » logiciels gouvernementaux ? Détrompez-vous. Voici 7 principes que cette affaire nous rappelle cruellement :
- Security by design dès le jour 1, pas en option payante à la version 3.0
- Un identifiant séquentiel = une invitation ouverte aux attaques par brute force
- Le rate-limiting n’est pas négociable sur toute page d’authentification
- Les logs d’accès doivent permettre de détecter une attaque même après coup
- Les données sensibles (santé, justice) nécessitent un chiffrement côté serveur + tokenisation
- La transparence post-incident est obligatoire (qui a été exposé ? pendant combien de temps ?)
- Un bug bounty ou au moins un canal Responsible Disclosure clair sauve des réputations
L’impact réputationnel : un cauchemar qui dure des années
Pour Tyler Technologies, cette nouvelle affaire arrive au pire moment. L’entreprise est déjà sous le feu des critiques après le ransomware qui l’avait frappée en 2020 et les multiples failles depuis. Résultat : des collectivités locales commencent à regarder sérieusement la concurrence (Courtside, Journal Technologies, etc.).
Dans le monde des startups SaaS B2G (business to government), la confiance est longue à construire et peut s’effondrer en une seule publication TechCrunch.
Vers une obligation légale de sécurité minimale ?
Cette affaire relance le débat sur la nécessité d’un standard fédéral minimum de cybersécurité pour tous les logiciels utilisés par les administrations. Plusieurs élus américains appellent désormais à une réglementation façon HIPAA ou GDPR européen, avec audits obligatoires et sanctions dissuasives.
Pour les startups du secteur public, cela pourrait signifier la fin du « move fast and break things » et l’arrivée d’une ère où la conformité sécurité devient un avantage compétitif majeur.
Conclusion : votre prochaine levée de fonds dépend aussi de votre RSSI
Au final, l’histoire des jurés américains nous rappelle une vérité brutale : dans un monde où une simple faille peut exposer des millions de vies, la cybersécurité n’est plus un poste de coût. C’est le cœur même de la proposition de valeur.
Les investisseurs le savent : une startup qui se fait hacker perd non seulement ses utilisateurs, mais aussi sa crédibilité auprès des fonds. À l’inverse, celles qui font de la sécurité un argument commercial (Zero Trust natif, audits publics, bug bounty généreux) se démarquent durablement.
La question n’est plus « est-ce que je vais être attaqué ? » mais « quand les journalistes vont-ils découvrir que mes utilisateurs sont déjà à nu ? ».
Alors la prochaine fois que vous couperez sur le budget sécurité pour allonger runway de trois mois… pensez aux jurés texans qui n’ont rien demandé à personne.
