Quand une faille dévoile les appels privés entre les détenus d’une prison et leurs avocats

La pandémie de Coronavirus n’a pas été sans conséquence pour les centres pénitentiaires : aux États-Unis, le confinement a obligé les prisons à interdire les visites des proches, mais aussi des avocats. Les détenus ne pouvaient plus communiquer que par appels téléphoniques et vidéo. Pour ce faire, il faut passer par des plateformes spéciales de visites vidéo qui sont payantes (et pas donnés).

Oui, mais voilà, il se trouve que tous les appels en question sont enregistrés puis stockés dans des bases de données qui ne sont pas toujours très bien protégées. C’est ainsi que des milliers d’appels entre des détenus et leurs familles se sont retrouvés exposés sur Internet suite à une faille de sécurité majeure rencontrée par HomeWAV, fournisseur de visites vidéo de la prison de Saint-Louis.

prison
Crédits Pixabay

Repérées par le chercheur en sécurité Bob Diachenko, les conversations vidéo et téléphoniques étaient librement accessibles sur le Net (pas de protection ni de mot de passe) jusqu’à ce que le site TechCrunch n’alerte HomeWAV et ses techniciens de la situation.

La faute à une défaillance de sécurité

Selon les informations rapportées par TechCrunch, les milliers d’appels seraient accessibles au grand public depuis avril 2020 au moins. Mais ce n’est qu’après avoir été alerté par le site qu’HomeWAV s’est rendu compte de la faille. Les experts de la société se sont aussitôt occupés du problème.

John Best, le directeur général de la société, a expliqué que la fuite a été causée par une défaillance de sécurité : « l’un de nos fournisseurs tiers a confirmé avoir accidentellement supprimé le mot de passe, ce qui permettait d’accéder au serveur ». Best a également indiqué que les détenus dont les conversations privées ont été accidentellement dévoilées seront informés de la situation.

Des conversations qui auraient dû rester privées

Si HomeWAV a présenté ses excuses et assuré travailler sur des solutions qui permettraient d’éviter ce genre de problème à l’avenir, la situation n’en reste pas moins inadmissible pour les avocats des détenus victimes de la faille. Les échanges entre les prisonniers et leurs avocats devraient en effet être strictement confidentiels, et ils ne devraient même pas être enregistrés et stockés quelque part.

Malheureusement, ce n’est pas toujours ce qui se passe, car les procureurs et enquêteurs américains sont aujourd’hui nombreux à écouter/visionner les appels censés être privés entre un détenu et son avocat dans le but de récolter des informations qui permettraient de faire avancer une enquête, voire même d’incriminer le prisonnier dont la vie privée a pourtant été violée.

Il s’agit d’un sujet délicat, et lorsqu’elle a été contactée par TechCrunch à ce sujet, HomeWAV n’a pas tenu à faire de commentaires sur toutes les conversations protégées que la société a enregistrées contre avis des avocats des détenus concernés et qui ont ensuite été dévoilées sur le Net.