En Ouzbékistan, une base liée à la lecture automatique des plaques a été trouvée accessible sans protection. Derrière l’incident, un risque massif de traçage des déplacements et d’abus de données.

Le chercheur en sécurité Anurag Sen a identifié une exposition majeure : la base de données d’un système ouzbek de reconnaissance de plaques d’immatriculation était consultable en ligne sans contrôle d’accès. Selon TechCrunch, des centaines d’ensembles de caméras routières scannent en continu véhicules et occupants, enregistrant quotidiennement des milliers d’infractions. La base exposée donnerait accès à une interface web, aux coordonnées des caméras, ainsi qu’à des millions de photos et vidéos en 4K. Le dispositif est rattaché au ministère de l’Intérieur, via son Département de la sécurité publique, sans réponse officielle. Le système serait présenté comme une solution “intelligente” de trafic, fournie par Maxvision.

Une base ouverte, un pays cartographié

L’alerte part d’un constat simple, et glaçant : une base de données nationale, pensée pour surveiller la route, se retrouvait ouverte comme un dossier public. Le spécialiste en sécurité informatique Anurag Sen dit avoir découvert que le système ouzbek de reconnaissance des plaques d’immatriculation exposait librement ses informations en ligne. N’importe quel internaute pouvait, selon lui, consulter l’ensemble des données, sans authentification. Personne ne sait depuis quand l’accès était ainsi possible. En revanche, le calendrier du dispositif est connu : la base aurait été mise en service en septembre 2024, tandis que la surveillance du trafic aurait commencé au milieu de l’année 2024.

Selon TechCrunch, l’Ouzbékistan s’appuie sur une centaine de groupes de caméras de circulation, capables de scanner en continu plaques et occupants. L’infrastructure ne se contente pas de constater un excès de vitesse. Elle consignerait chaque jour des milliers d’infractions très diverses : feux rouges franchis, ceinture non bouclée, circulation de véhicules non immatriculés. L’industrialisation est visible dans le déploiement : une analyse évoque au moins une centaine d’ensembles installés dans les grandes villes, aux carrefours les plus fréquentés et près des nœuds de transport.

La géographie citée dessine un maillage précis. Des dispositifs seraient présents à Tachkent, mais aussi à Jizzakh et Karshi au sud, à Namangan à l’est. Certains se trouveraient hors des centres urbains, le long de routes proches de l’ancienne frontière contestée entre l’Ouzbékistan et le Tadjikistan. Ce détail compte : placer des lecteurs de plaques dans des zones rurales ou frontalières transforme un outil de “gestion du trafic” en instrument de suivi des flux, donc de repérage des itinéraires.

L’autre élément aggravant tient à la qualité des preuves collectées. Ces équipements enregistreraient de la vidéo et prendraient des photos en 4K. Le système exposé donnerait accès à une interface web, avec tableau de bord, permettant à des opérateurs de consulter les dossiers d’infractions. Dans ce contexte, l’ouverture de la base ne signifie pas seulement fuite de texte. Elle implique l’accès à des images exploitables, à des séquences, à des plaques lisibles, et potentiellement à des scènes de vie saisies sur la voie publique.

Sen explique que cette exposition offrirait une occasion unique d’observer comment fonctionnent les systèmes nationaux de lecture de plaques, quels champs sont collectés, et comment ces données peuvent servir à suivre les déplacements de millions de personnes. Sur le plan cyber, l’argument est double : comprendre l’outil, mais aussi mesurer l’impact lorsqu’il tombe entre de mauvaises mains. Une base de plaques et de vidéos n’est pas une simple archive. C’est une mémoire des mouvements, des routines, des rencontres, et parfois des vulnérabilités.

Silence institutionnel et effet miroir international

L’administration responsable est identifiée : le système dépendrait du Département de la sécurité publique du ministère de l’Intérieur ouzbek. Pourtant, selon TechCrunch, aucune réponse n’aurait été apportée aux demandes de commentaire. Même scénario côté réponse aux incidents : l’UZCERT aurait seulement renvoyé un accusé de réception automatique. Dans les affaires d’exposition de données, ce silence a un coût opérationnel. Il prolonge l’incertitude sur la période d’ouverture, donc sur le nombre de consultations possibles, et il retarde la communication de mesures de réduction du risque pour les personnes potentiellement traquées.

Le dossier comporte aussi une dimension industrielle. La plateforme déployée en Ouzbékistan est présentée comme un “système intelligent de gestion du trafic” attribué à l’entreprise chinoise Maxvision. D’après des documents publics cités, Maxvision exporterait des solutions de sécurité et de surveillance vers plusieurs pays, dont le Burkina Faso, le Koweït, Oman, le Mexique, l’Arabie saoudite et l’Ouzbékistan. Cette circulation des technologies compte autant que la faille elle-même : quand une solution est déployée à grande échelle, une faiblesse de conception, une mauvaise configuration ou un défaut de durcissement peut se reproduire, d’un site à l’autre, avec des conséquences transfrontalières.

L’incident ouzbek n’est pas présenté comme isolé. Wired aurait révélé plus tôt dans l’année que plus de 150 caméras de lecture de plaques aux États-Unis étaient accessibles en ligne sans protection. 404 Media aurait, de son côté, décrit des caméras Flock exposées publiquement, permettant d’observer en temps réel des usages de traçage. Ces rappels ne servent pas à relativiser, mais à caractériser un phénomène : l’infrastructure de surveillance, quand elle est connectée, devient une surface d’attaque. Et lorsqu’elle est mal protégée, la surveillance bascule en fuite de renseignement sur la population.

Dans une logique de cyber-renseignement, l’enjeu n’est pas la caméra, mais l’index central qui transforme des images en trajectoires exploitables.

Sources :

Inside Uzbekistan’s nationwide license plate surveillance system

https://www.wired.com/story/license-plate-reader-live-video-data-exposed/
https://www.404media.co/flock-exposed-its-ai-powered-cameras-to-the-internet-we-tracked-ourselves/