Imaginez recevoir votre convocation pour être juré… et découvrir quelques jours plus tard que votre adresse exacte, votre numéro de portable, votre état de santé et même vos éventuels casiers judiciaires sont accessibles à n’importe qui sur Internet avec un simple script. C’est exactement ce qui est arrivé à des milliers d’Américains fin 2025.
Une faille d’une simplicité enfantine a transformé des portails censés être ultra-sécurisés en véritables passoires numériques. Et derrière cette catastrophe se cache une entreprise que peu de gens connaissent… mais qui équipe pourtant les tribunaux de dizaines d’États.
Tyler Technologies : la startup GovTech qui devait protéger la justice américaine
Créée en 1966 et basée à Plano, Texas, Tyler Technologies s’est imposée comme le leader incontesté des solutions logicielles pour les administrations publiques américaines. La société, cotée au NYSE sous le symbole TYL, pèse plus de 25 milliards de dollars de capitalisation en 2025.
Son métier ? Numériser tout ce qui touche à la justice, aux impôts locaux, aux écoles et aux services municipaux. Quand un tribunal américain a besoin d’un système pour gérer les jurés, les dossiers pénaux ou les amendes de stationnement, c’est souvent Tyler qui gagne le contrat.
Mais cette position dominante cache une réalité plus sombre : l’entreprise traîne depuis des années une réputation de négligence en matière de sécurité informatique.
Une vulnérabilité d’une simplicité effrayante
Le bug découvert en novembre 2025 était d’une banalité désarmante. Pour se connecter au portail juré, chaque citoyen reçoit un identifiant numérique… séquentiel. Exemple : 10001, 10002, 10003.
Et devinez quoi ? Aucun système anti-brute-force. Résultat : n’importe qui pouvait écrire un script de 20 lignes pour tester des milliers d’identifiants en quelques minutes et récupérer les données complètes des profils.
- Nom complet et date de naissance
- Adresse postale précise
- Numéro de téléphone portable
- Situation maritale et nombre d’enfants
- Niveau d’éducation et employeur
- Antécédents judiciaires déclarés
- Et parfois… des informations médicales confidentielles
Dans certains comtés, les jurés qui demandaient une exemption médicale devaient justifier leur état de santé. Ces justificatifs étaient stockés… en clair, accessibles au premier pirate venu.
Des États entiers concernés
La vulnérabilité touchait au minimum douze portails différents, répartis dans huit États :
| État | Exemples de comtés touchés |
| Californie | Plusieurs juridictions majeures |
| Texas | Comté de Travis (Austin) confirmé |
| Illinois | Portails actifs détectés |
| Michigan | Systèmes Tyler en production |
| Nevada | Portails vulnérables identifiés |
| Ohio | Configuration similaire |
| Pennsylvanie | Plusieurs districts |
| Virginie | Portails exposés |
Et ce n’est que la partie visible. Tous les systèmes reposant sur la même plateforme Tyler étaient potentiellement vulnérables.
« Une vulnérabilité existe où certaines informations de jurés pouvaient être accessibles via une attaque par brute-force »
Karen Shields, porte-parole de Tyler Technologies (26 novembre 2025)
Ce n’est pas la première fois
2023 : une autre faille chez Tyler expose des documents scellés dans tout l’État de Géorgie – listes de témoins, évaluations psychiatriques, secrets industriels.
2020 : l’entreprise subit un ransomware massif qui paralyse des centaines de clients gouvernementaux.
2025 : nouveau scandale avec les données des jurés.
Le schéma est toujours le même : des fonctionnalités développées à la va-vite, des tests de sécurité minimalistes, et une culture d’entreprise qui semble privilégier la conquête de nouveaux contrats à la protection réelle des citoyens.
Pourquoi les administrations continuent de faire confiance à Tyler
C’est là que ça devient intéressant. Malgré ces incidents répétés, Tyler continue de gagner des appels d’offres massifs. Pourquoi ?
- Effet de réseau : une fois que tout un État utilise Tyler, changer devient un cauchemar administratif
- Manque cruel de concurrence dans le secteur GovTech
- Prix souvent plus compétitifs que les rares alternatives
- Lobbying intense auprès des élus locaux
Résultat : les administrations se retrouvent coincées avec un fournisseur qu’elles savent défaillant… mais qu’elles ne peuvent pas quitter sans paralyser leur système judiciaire.
Les conséquences humaines derrière les chiffres
Derrière cette faille technique, il y a des vies réelles. Une femme qui avait demandé une exemption pour cause de cancer a vu son diagnostic médical circuler potentiellement sur Internet.
Un policier en activité a vu son adresse personnelle exposée – un risque direct pour sa sécurité et celle de sa famille.
Des victimes de violences conjugales sous protection ont vu leurs nouvelles adresses compromises.
Tyler Technologies n’a toujours pas indiqué si elle comptait prévenir les personnes concernées. Aux dernières nouvelles, aucune notification n’a été envoyée.
Vers un réveil du secteur GovTech ?
Cette affaire pourrait marquer un tournant. De plus en plus de voix s’élèvent pour demander :
- Des audits de sécurité obligatoires avant tout déploiement
- Des clauses de pénalité drastiques en cas de fuite
- Le développement de solutions open-source pour la justice
- Une vraie concurrence dans le secteur
Quelques startups commencent d’ailleurs à se positionner sur ce créneau délaissé, avec des promesses de sécurité « by design » et de transparence totale.
La question est : les administrations oseront-elles enfin changer de fournisseur, même si cela coûte cher à court terme ? Ou continueront-elles à mettre en danger leurs citoyens par inertie ?
L’histoire de Tyler Technologies nous rappelle une chose essentielle : dans la GovTech, la taille n’est pas synonyme de compétence. Et quand la sécurité des citoyens est en jeu, le « too big to fail » ne devrait plus être une excuse.
À suivre… très attentivement.
