Imaginez rouler tranquillement sur une route ouzbèke, ignorant que chaque passage sous un poteau discret est scrupuleusement enregistré : votre plaque d’immatriculation, l’heure exacte, le lieu précis, et même une photo haute résolution de l’intérieur de votre véhicule. Multipliez cela par des millions de trajets quotidiens, et vous obtenez l’un des systèmes de surveillance routière les plus intrusifs au monde. Fin 2025, ce réseau, déployé à l’échelle nationale en Ouzbékistan, s’est retrouvé brutalement exposé sur internet, sans la moindre protection. Une découverte qui soulève des questions brûlantes pour tous les entrepreneurs tech, les startups de la cybersécurité et les acteurs du numérique : jusqu’où la course à la surveillance intelligente peut-elle aller sans compromettre la sécurité des données ?
Cette affaire, révélée par le média américain TechCrunch en décembre 2025, met en lumière les failles béantes qui peuvent accompagner l’adoption massive de technologies de reconnaissance automatique des plaques (ALPR pour Automatic License Plate Recognition). Pour les professionnels du marketing digital, de l’IA et du business tech, c’est un cas d’école sur les risques liés à la gestion des données massives et sur l’importance cruciale d’une cybersécurité robuste.
Un réseau de caméras ultra-sophistiqué déployé à l’échelle nationale
L’Ouzbékistan a mis en place un système dit d’« intelligence traffic management » capable de scanner en continu les plaques des véhicules circulant sur son territoire. Développé par l’entreprise chinoise Maxvision, basée à Shenzhen, ce dispositif repose sur environ une centaine de stations équipées de caméras haute résolution installées aux points stratégiques : grandes artères de Tachkent, axes routiers majeurs, junctions fréquentées et même zones rurales proches des frontières.
Ces caméras ne se contentent pas de lire les plaques. Elles capturent des vidéos 4K, identifient les infractions en temps réel (feu rouge brûlé, ceinture non bouclée, circulation nocturne sans autorisation) et stockent des métadonnées précises : coordonnées GPS, timestamp, direction du véhicule. Certaines marques comme Holowits (filiale de Huawei) apparaissent même en filigrane sur les images.
Le résultat ? Une cartographie ultra-précise des déplacements de millions d’automobilistes. Un exemple concret cité dans l’enquête : un conducteur suivi pendant six mois entre Chirchiq, Tachkent et Eshonguzar, avec des trajets répétés plusieurs fois par semaine. Ces données permettent de reconstituer des habitudes de vie avec une précision effrayante.
Une exposition totale sur internet : la découverte choc
C’est le chercheur en sécurité Anurag Sen qui a mis au jour cette faille majeure. En parcourant le web à la recherche de bases de données mal protégées, il est tombé sur l’interface complète du système ouzbek… accessible sans mot de passe. N’importe qui pouvait consulter les images, les vidéos, les historiques de trajets et même les emplacements exacts des caméras.
La base de données avait été initialisée en septembre 2024, et les premières captures datent de mi-2025. Des millions d’enregistrements étaient ainsi exposés, incluant photos des conducteurs et passagers. Malgré les alertes envoyées au ministère de l’Intérieur ouzbek, à l’ambassade et à l’équipe nationale de réponse aux incidents informatiques (UZCERT), aucune mesure corrective n’avait été prise au moment de la publication de l’article.
« Cette exposition offre un aperçu rare du fonctionnement interne de ces systèmes nationaux de surveillance des plaques et des risques qu’ils représentent pour la vie privée. »
– Zack Whittaker, journaliste TechCrunch
Maxvision : un acteur chinois au cœur de la surveillance exportée
Derrière ce projet se cache Maxvision, une entreprise spécialisée dans les technologies de contrôle frontalier et de surveillance intelligente. Sur ses supports promotionnels, elle vante la capacité de ses systèmes à enregistrer « l’intégralité du processus illégal » en temps réel. L’entreprise exporte ses solutions dans de nombreux pays : Burkina Faso, Koweït, Oman, Mexique, Arabie saoudite… et donc Ouzbékistan.
Cette présence chinoise dans les infrastructures critiques de surveillance rappelle les débats actuels autour de la dépendance technologique vis-à-vis de fournisseurs étrangers. Pour les startups et scale-ups européennes ou américaines, c’est aussi un signal : le marché de la smart city et de la sécurité routière est dominé par des acteurs asiatiques aux pratiques parfois opaques en matière de cybersécurité.
Les implications business et stratégiques pour les entrepreneurs tech
Pour les fondateurs et dirigeants de startups dans l’IA, la vision par ordinateur ou la mobilité, cette affaire est riche d’enseignements. D’abord, la demande pour des solutions ALPR explose : sécurité routière, gestion du trafic, lutte contre la criminalité… Les opportunités sont énormes. Mais cette fuite massive montre que la collecte de données sensibles à grande échelle comporte des risques colossaux.
Une mauvaise configuration, un oubli de mot de passe, et c’est la réputation entière d’un projet national qui s’effondre. Les investisseurs, de plus en plus sensibles aux critères ESG et à la conformité RGPD (ou équivalents locaux), scrutent désormais la maturité cybersécurité des jeunes pousses avant de signer le moindre term sheet.
- Renforcement obligatoire des contrôles d’accès (authentification multifacteur, VPN, segmentation réseau)
- Audits réguliers par des chercheurs indépendants (bug bounty programs)
- Chiffrement des données au repos et en transit
- Politique de minimisation des données collectées
- Transparence auprès des utilisateurs et autorités
Ces bonnes pratiques ne sont plus optionnelles : elles deviennent un avantage compétitif décisif.
Un phénomène mondial : les fuites de systèmes ALPR se multiplient
L’Ouzbékistan n’est malheureusement pas un cas isolé. Aux États-Unis, le leader du marché, Flock Safety, a récemment vu plusieurs dizaines de ses caméras exposées publiquement, permettant à un journaliste de se suivre en temps réel. En 2025 toujours, plus de 150 lecteurs de plaques américains étaient accessibles sans protection, selon Wired.
Déjà en 2019, TechCrunch révélait que des centaines de systèmes similaires étaient indexés sur Shodan, le moteur de recherche des objets connectés. Le problème persiste parce que les déploiements sont souvent rapides, priorisant la couverture géographique au détriment de la sécurité.
Pour les entreprises tech, cela signifie que le marché de la remediation et de la sécurisation des IoT (Internet of Things) dans la surveillance représente une mine d’or. Des startups spécialisées dans la sécurisation des flottes de caméras connectées ou dans l’anonymisation des données pourraient rapidement capter des contrats publics majeurs.
Vie privée et éthique : le dilemme des technologies duales
Les systèmes ALPR sont des technologies à double usage. D’un côté, ils améliorent la sécurité routière, réduisent les infractions et facilitent les enquêtes policières. De l’autre, ils permettent un pistage massif des citoyens sans contrôle judiciaire préalable. En Ouzbékistan, pays au régime autoritaire, ces outils renforcent indéniablement le contrôle social.
Pour les entrepreneurs éthiques, la question devient : jusqu’où accepter de vendre des solutions sachant qu’elles pourront être détournées ? Certains fonds d’investissement commencent à intégrer des clauses « no surveillance state » dans leurs critères. D’autres, au contraire, voient dans ces marchés émergents des relais de croissance majeurs.
Le débat dépasse largement l’Ouzbékistan et interpelle toute la communauté tech mondiale.
Vers une régulation plus stricte des systèmes de surveillance ?
Cette fuite pourrait accélérer les discussions sur la régulation des dispositifs ALPR. En Europe, le RGPD impose déjà des contraintes fortes sur le traitement des données biométriques et de localisation. Aux États-Unis, plusieurs États ont adopté des lois limitant la conservation des données collectées par ces systèmes.
Les startups qui anticipent ces évolutions réglementaires – en intégrant dès la conception des mécanismes de privacy by design – se positionnent comme les leaders de demain. Celles qui continuent d’ignorer ces enjeux risquent, à terme, de se voir exclure des marchés les plus lucratifs.
Conclusion : une leçon à méditer pour tout l’écosystème tech
L’exposition du système ouzbek de surveillance des plaques d’immatriculation nous rappelle brutalement que la puissance technologique doit toujours s’accompagner d’une responsabilité proportionnelle. Pour les fondateurs, les CTO, les investisseurs et les marketeurs du numérique, c’est un signal d’alarme : la cybersécurité n’est pas un coût additionnel, mais un fondamental du business model.
Dans un monde où les données deviennent l’or noir du XXIe siècle, ceux qui sauront les protéger tout en innovant seront les vrais gagnants. L’affaire ouzbèke, loin d’être anecdotique, pourrait bien marquer un tournant dans la manière dont les États et les entreprises abordent la surveillance intelligente.
Et vous, comment intégrez-vous la cybersécurité dans vos projets tech ? Les commentaires sont ouverts pour échanger sur ce sujet brûlant.
