Outils / Actualités / Pay Tel, fournisseur de telephonie carcerale, a laisse 3,4 millions de fichiers ouverts sur Azure, exposant 300 000 permis de conduire
Presse

Pay Tel, fournisseur de telephonie carcerale, a laisse 3,4 millions de fichiers ouverts sur Azure, exposant 300 000 permis de conduire

· VaultTools

Le 28 mai 2026, TechCrunch a rapporte qu'UpGuard avait trouve un bucket Microsoft Azure accessible publiquement appartenant a Pay Tel, fournisseur de telephonie carcerale. Il contenait 3,4 millions de fichiers (1,1 To) sans mot de passe, dont plus de 300 000 scans de permis de conduire non caviardes, des documents juridiques et des photos de famille porteuses de donnees de localisation GPS. Le bucket etait ouvert depuis 2018.

VaultTools · 4 juin 2026

Une rangee de cabines telephoniques grises, pour illustrer un fournisseur de communication carcerale dont les documents televerses ont ete laisses exposes sur un serveur cloud. Photo sur Unsplash

Table des matières

Ce qui s’est passé

Le 28 mai 2026, TechCrunch a rapporté que des chercheurs en sécurité d’UpGuard avaient trouvé un serveur de stockage Microsoft Azure appartenant à Pay Tel, une entreprise qui fournit des tablettes et des appareils de communication aux prisons dans une grande partie des États-Unis. Le serveur était, selon TechCrunch, “non protégé, sans mot de passe, ce qui rendait les données qu’il contenait accessibles depuis le web”.

Pay Tel gère les communications entre les personnes incarcérées et les proches qui les appellent ou leur écrivent. Pour vérifier ces contacts externes, le service collecte des documents d’identité numérisés. Ces scans, ainsi que des messages et des photos, se trouvaient dans un bucket ouvert.

D’après le rapport d’UpGuard, le bucket contenait environ 3,4 millions de fichiers totalisant 1,1 To et était actif depuis 2018, recevant encore de nouveaux téléversements au moment de la découverte. UpGuard a analysé un échantillon d’environ 314 Go, soit près de 500 000 fichiers.

Ce qui a été exposé

L’analyse d’UpGuard a révélé plus de 300 000 pièces d’identité non caviardées, principalement des permis de conduire. La plupart appartenaient à des personnes non incarcérées, c’est-à-dire les proches qui communiquaient avec les détenus, et non aux prisonniers eux-mêmes.

L’ensemble de données allait bien au-delà des scans de pièces d’identité. UpGuard a recensé des milliers de documents juridiques (dossiers judiciaires, mandats et requêtes), des relevés financiers (reçus de dépôt et commandes à la cantine) et environ 10 pour cent de communications personnelles, comme des captures d’écran de messages, des lettres et du contenu de l’application de messagerie carcérale. Des photos de famille étaient également présentes.

Beaucoup des photos téléversées par les utilisateurs portaient des métadonnées GPS. TechCrunch a rapporté que ces données de localisation étaient parfois “assez précises pour identifier le domicile d’une personne”.

Comment les données sont restées ouvertes

UpGuard indique que le bucket Azure était “configuré pour être accessible publiquement, sans aucune authentification ni identification”. Le nom du bucket contenait “cdn”, ce qui pointait vers une infrastructure de production et non vers un environnement de test oublié.

Il n’y a eu ni percée d’un pare-feu ni vol d’identifiants. Quiconque atteignait l’adresse pouvait lire les fichiers. UpGuard a attribué le bucket à Pay Tel grâce à des buckets apparentés portant la marque Pay Tel, à des métadonnées GPS correspondant aux sites de Pay Tel en Géorgie et en Caroline du Nord, et à des métadonnées d’appareils cohérentes avec les tablettes des détenus.

Il s’agissait du deuxième incident de sécurité connu de Pay Tel en deux ans, après une attaque par rançongiciel en juin 2025.

La chronologie de la divulgation

UpGuard a documenté la séquence. L’entreprise a découvert et commencé à analyser le bucket le 4 mai 2026, a téléchargé un échantillon le 5 mai et a prévenu Pay Tel à l’adresse privacy@paytel.com le 7 mai. Faute de réponse, UpGuard a fait remonter l’alerte à la direction de l’entreprise le matin du 11 mai. Le bucket a été sécurisé le même jour vers 13 heures, heure du Pacifique.

Au moment de la publication de TechCrunch, le 28 mai, Pay Tel n’avait pas reconnu l’incident. Le président Vincent Townsend n’a pas répondu au courriel de TechCrunch, et on ignorait si l’entreprise comptait avertir les personnes dont les données avaient été exposées.

Pourquoi cela compte pour les outils de fichiers dans le navigateur

La divulgation de Pay Tel suit un schéma que cette rubrique documente sans cesse. Un passeport numérisé, un permis de conduire ou un dossier judiciaire ne fuite que parce que le fichier a été téléversé quelque part et stocké sur un serveur que quelqu’un a ensuite mal configuré. Le bucket collectait des documents depuis 2018. Le dommage n’était pas une attaque sophistiquée. C’était un réglage resté sur sa valeur par défaut.

La leçon structurelle est simple. Un fichier qui ne quitte jamais l’appareil ne peut pas se retrouver dans un bucket ouvert. Lorsqu’un document est traité localement, dans le navigateur, il n’y a pas de téléversement, pas de copie côté serveur et pas de configuration de stockage qui puisse être erronée des années plus tard.

C’est tout le principe des outils de navigateur axés sur la confidentialité. Compresser un PDF, retirer les données EXIF d’une photo ou convertir une image se fait sur la propre machine de l’utilisateur. Les octets ne sont jamais transmis, donc il n’y a rien qu’un fournisseur puisse exposer. Pour le type de documents d’identité sensibles au cœur de la fuite Pay Tel, le traitement local supprime le point de défaillance au lieu de promettre de le gérer.

Sources

← Retour aux actualités