En septembre dernier, la loi des agents de police de cinq comtés du sud de la Californie ont coordonné une opération pour enquêter, faire une descente et arrêter plus de 600 délinquants sexuels présumés. La mission, Operation Protect the Innocent, a été l’un des plus grands raids de ce type depuis des années, impliquant plus de 64 agences. Selon le département de police de Los Angeles, il a été coordonné à l’aide d’un essai gratuit d’une application appelée SweepWizard.
Le raid a été salué comme un succès par le chef Michael Moore du LAPD lors d’une conférence de presse la semaine suivante. Mais il y avait un problème : à l’insu de la police, SweepWizard avait divulgué une mine de détails confidentiels sur l’opération sur Internet.
Les données, que le LAPD et les partenaires du groupe de travail régional sur les crimes Internet contre les enfants (ICAC) ont téléchargées sur SweepWizard, comprenaient des informations privées sur les suspects ainsi que des détails sensibles qui, entre de mauvaises mains, pourraient avertir les suspects du moment où ils allaient faire l’objet d’une descente et jeter les soupçons sur des personnes qui n’avaient encore été condamnées pour aucun crime.
L’application SweepWizard, créée par une société appelée ODIN Intelligence, est destinée à aider la police à gérer les raids multi-agences. Mais WIRED a découvert qu’il n’exposait pas seulement les données de l’opération Protect the Innocent ; il avait déjà divulgué des détails confidentiels sur des centaines de balayages de dizaines de départements sur plusieurs années. Les données comprenaient des informations d’identification personnelle sur des centaines d’officiers et des milliers de suspects, telles que les coordonnées géographiques des domiciles des suspects et l’heure et le lieu des raids, des informations démographiques et de contact, et parfois même des numéros de sécurité sociale des suspects. Toutes ces données ont probablement été exposées en raison d’une simple mauvaise configuration de l’application, selon des experts en sécurité.
Le département de police de Los Angelese a déclaré qu’il n’était pas au courant du problème jusqu’à ce que WIRED demande des commentaires. Lors d’un appel téléphonique, le capitaine Jeffery Bratcher, commandant de la division juvénile du LAPD et directeur de projet pour le groupe de travail de l’ICAC, a déclaré que le département était préoccupé et prenait la question au sérieux. « La sécurité opérationnelle est toujours primordiale pour nous. Nous ne voulons pas que les gens sachent quand et si nous venons », dit-il.
Dans une déclaration séparée, le capitaine Kelly Muniz de la division des relations avec les médias du LAPD, a déclaré que le département avait suspendu l’utilisation de SweepWizard jusqu’à ce qu’une enquête approfondie soit terminée. Selon leur déclaration, «le ministère travaille avec les forces de l’ordre fédérales pour déterminer la source de la divulgation non autorisée d’informations, qui n’est actuellement pas claire. À ce stade de l’enquête, il n’a pas été déterminé si l’application tierce ou un autre moyen est à l’origine de la diffusion non autorisée.
Les données exposées contenaient l’emplacement et les noms de 5 770 suspects, principalement situés en Californie. Dans certains cas, les données comprenaient leur taille, leur poids et la couleur de leurs yeux et indiquaient s’ils étaient sans abri. Pour plus de 1 000 de ces suspects, SweepWizard a également exposé leurs numéros de sécurité sociale. Selon les données, plusieurs de ces suspects étaient des mineurs au moment des ratissages. Les dossiers d’arrestation et les communiqués de presse confirment que plusieurs personnes dont les noms figuraient dans les données divulguées ont été arrêtées après le raid.