L’assureur automobile americain AssuranceAmerica a revele une fuite de donnees ayant expose les informations personnelles et les numeros de permis de conduire de 6,9 millions de personnes. Il s’agit de la plus grande fuite de donnees impliquant des permis de conduire americains recensee en 2026.
L’entreprise, fondee en 1998, propose des assurances auto et habitation dans plus d’une douzaine d’Etats americains, dont l’Arizona, l’Ohio, la Caroline du Sud, le Texas et la Virginie. Elle traite des donnees personnelles de ses assures, notamment leurs noms, coordonnees et informations relatives a leur permis de conduire. Ces elements peuvent etre utilises a des fins de fraude et d’usurpation d’identite entre les mains de personnes malintentionnees.
Une intrusion detectee en mars
Selon un avis de fuite de donnees transmis aux clients et consulte par TechCrunch, AssuranceAmerica a declare avoir detecte la presence d’attaquants dans ses systemes informatiques le 17 mars. L’entreprise a immediatement ouvert une enquete et fait appel a des specialistes en criminalistique informatique exterieurs. L’enquete s’est conclue le 15 juin, etablissant que les pirates avaient vole les noms, coordonnees et numeros de permis de conduire des clients.
Les hackers ont egalement emporte des informations sur les polices d’assurance auto, les comptes clients, les conducteurs assures et les vehicules, ainsi que des details sur les sinistres declares. L’entreprise n’a pas precise la nature exacte des autres donnees personnelles derobees ni le nombre total de fichiers concernes.
Des identifiants d’employes compromis
AssuranceAmerica n’a pas indique la cause precise de l’intrusion, mais a precise que les pirates avaient cible un employe de l’entreprise, ce qui a conduit a la desactivation des identifiants compromis. Selon Cybernews, l’attaque aurait ete menee par hameconnage (phishing) visant un salarie. Les methodes exactes utilisees pour derober ces identifiants n’ont pas ete divulguees par l’entreprise.
L’assureur a indique avoir pris des mesures pour remedier a la fuite, notamment la desactivation des serveurs touches, la reinitialisation des mots de passe, le signalement aux forces de l’ordre et le renforcement de ses outils de surveillance et de detection des menaces. Une formation supplementaire a ete dispensee aux employes sur les risques de cybersecurite.
Selon la legislation americaine, l’entreprise a declare cette fuite aupres du bureau du procureur general de l’Etat de l’Indiana, qui fait etat de 6,99 millions de personnes concernees. Les lettres de notification aux clients devaient etre envoyees a partir du 10 juillet. Le bureau du procureur general du Maine a egalement recu une copie de la notification.
La Caroline du Sud et le Texas figurent parmi les Etats les plus touches, avec respectivement plus de 600 000 et 500 000 residents concernes.
Une annee noire pour les donnees d’identite
Cet incident survient apres une serie de fuites massives de permis de conduire et de documents d’identite en 2026. En juin, l’Etat du Texas a declare que des pirates avaient vole au moins 3 millions de numeros de permis de conduire et de passeports lors d’une fuite affectant sa division des parcs et de la faune.
Plusieurs autres incidents ont ete recenses cette annee : un systeme d’enregistrement hotelier a expose un million de passeports et permis, une application de transfert d’argent canadienne a divulgue des documents d’identite, et un service de telephone en prison a revele les permis de plus de 300 000 appelants. Au Royaume-Uni, un portail de visas a egalement laisse filtrer les passeports et selfies de milliers de demandeurs.
Ces fuites surviennent alors que les sites web et applications exigent de plus en plus de documents d’identite pour verifier l’age des utilisateurs, dans le cadre d’un mouvement mondial vers des lois de verification d’age.
Le cabinet d’avocats Edelson Lechtzin a d’ores et deja annonce l’ouverture d’une enquete en vue d’une action collective contre AssuranceAmerica au nom des clients concernes.
