beau temps29°
DE | FR
burger
Suisse
Scandale

Une fuite de données expose des milliers de conducteurs suisses

Frau benutzt Smartphone auf einer Strasse am Abend (Symbolbild)
Deux entreprises chargées de traquer les automobilistes mal garés doivent répondre à des questions sur la sécurité informatique et la protection des données.source: imago-images.de

Une fuite de données géante expose des milliers de conducteurs suisses

Deux sociétés suisses de surveillance de parking ont gravement failli en matière de sécurité informatique. Comme le révèle une enquête de watson, d’importantes bases de données contenant des informations sensibles étaient accessibles sans protection sur internet.
28.05.2026, 05:3628.05.2026, 10:51
Daniel Schurter
Daniel Schurter

Deux sociétés de sécurité suisses sont touchées par une fuite de données de grande ampleur. Les informations personnelles de dizaines de milliers d’automobilistes étaient accessibles sur internet pendant au moins un mois, potentiellement bien plus longtemps. S'y trouvaient notamment des données relatives à des procédures pénales.

Lorsque watson a contacté les responsables, il n’y a d’abord eu aucune réaction. Les entreprises ont ensuite reconnu l’existence de «failles», tout en cherchant à minimiser la portée de la fuite. Le Préposé fédéral à la protection des données et à la transparence (PFPDT), à Berne, examine désormais le dossier.

On vous explique tout.
Que s'est-il passé?Qui est concerné?Pourquoi la fuite concerne-t-elle les deux sociétés?Quelle est l’ampleur de la fuite?Une erreur classique et grossièreCombien de temps les informations ont-elles été accessibles?Le patron réagitCombien de personnes sont concernées?Qu’en est-il des données bloquées?Quelles sont les conséquences de cette affaire?

Que s'est-il passé?

L’enquête de watson concerne les acteurs suivants:

  • Funkwache SA, dont le siège est à Zurich.
  • Unisecur Sàrl, basée à Kollbrunn, dans la commune zurichoise de Zell.

Ces deux entreprises zurichoises sont régulièrement pointées du doigt par les médias et les organisations de défense des consommateurs à cause de leurs méthodes commerciales agressives. Elles sont accusées d'exploiter des zones grises sur le plan juridique pour faire payer des «amendes privées» et certaines affaires ont fini devant les tribunaux.

A cela s’ajoute désormais une importante fuite de données. Son ampleur exacte reste inconnue et il est impossible, à ce stade, d’évaluer les éventuelles conséquences à long terme, par exemple, des cas d’usurpation d’identité.

La fuite n’existe plus, car watson a averti les responsables le mois dernier et leur a demandé de fermer cette «porte dérobée».

Notre enquête montre qu'un outil de gestion de bases de données réservé aux administrateurs était accessible sans protection via une simple adresse web (URL). Techniquement, il s’agit de deux fuites distinctes, mais directement liées l’une à l’autre.

Les informations disponibles laissent penser que Funkwache et Unisecur sont responsables de cette fuite. Les prises de position écrites des directions des deux entreprises le confirment. Rien n’indique à ce stade qu’il y ait eu une attaque de hackers ou l’intervention de cybercriminels.

Jusqu’à présent, les responsables ont refusé de répondre aux questions critiques l’incident et ses éventuelles conséquences.

Qui est concerné?

Fondée en 1973, Funkwache fait partie des pionniers de la surveillance privée de parkings en Suisse. L’entreprise s’est spécialisée dans l’encaissement d’«indemnités pour frais administratifs» au nom de propriétaires fonciers lorsque des automobilistes se garent sans autorisation sur des terrains privés.

Meinhard Byell, entrepreneur allemand établi en Suisse, est le fondateur de Funkwache et en a longtemps assuré la direction. Initialement active surtout dans la région zurichoise, l’entreprise propose désormais ses services dans toute la Suisse. D’après une inscription dans le registre suisse des entreprises, Meinhard Byell a également lancé Unisecur, avec deux personnes portant le même nom de famille.

Lausanne a un projet «pragmatique» pour ses parkings

Créée en 2017, cette société peut être considérée comme une sorte d’entreprise sœur. Elle opère en Suisse alémanique et en Romandie. Elle propose elle aussi des contrôles de parkings, en mettant en avant l’utilisation de technologies modernes – notamment la vidéosurveillance – ainsi que du personnel en uniforme.

L’entreprise affirme être devenue l’un des principaux acteurs du secteur. A l’attention des propriétaires fonciers, régies immobilières et autres clients potentiels, Unisecur indique:

«Nos prestations sont gratuites pour vous, car nous nous finançons grâce aux indemnités pour frais administratifs que nous réclamons aux automobilistes stationnés sans autorisation»
source: unisecur.ch

Pourquoi la fuite concerne-t-elle les deux sociétés?

Funkwache et Unisecur entretiennent des liens au niveau de leur direction, mais semblent aussi avoir collaboré sur le plan informatique. Interrogés par watson sur les liens familiaux et commerciaux entre les deux entreprises, les responsables n’ont pas souhaité répondre.

Une chose est sûre: Funkwache et Unisecur utilisaient le même logiciel pour gérer les bases de données liées aux infractions de stationnement et traiter les nouveaux cas. Or ce programme, destiné uniquement aux administrateurs des bases de données, avait été configuré sans mot de passe ni autre système d’authentification, ce qui permettait à des tiers d’y accéder.

watson-Recherche zu Funkwache und Unisecur (Mai 2026). Verpixelter Screenshot.
Funkwache utilisait, comme Unisecur, le logiciel «Wakanda».Screenshot: watson

Les captures d'écran réalisées par watson à des fins de documentation montrent également que les deux fuites sont directement liées: l’outil utilisé reposait sur Wakanda, une plateforme open source de développement d’applications professionnelles basées sur Javascript.

Cette plateforme, aujourd’hui considérée comme obsolète, n’est plus mise à jour depuis des années. Ses responsables ont cessé tout support technique et tout développement.

Quelle est l’ampleur de la fuite?

Les données concernaient les 26 cantons suisses, tant pour les numéros de plaques que pour les détenteurs de véhicules correspondants. Les deux bases de données présentaient aussi des similitudes frappantes. Des tableaux intitulés «Amendes» contenaient ainsi de nombreuses entrées identiques remontant jusqu’en 2001. Les données les plus récentes dataient d'avril 2026.

Un policier suisse aurait volé plus de 500 000 francs dans des parcmètres

Les tableaux accessibles sur Internet contenaient des données «sensibles» au sens de la loi sur la protection des données, et parfois même des données «particulièrement sensibles»:

  • Noms, adresses et numéros de téléphone des personnes concernées
  • Lieux précis et horaires de présence
  • Adresses e-mail
  • Informations détaillées sur les véhicules et le comportement des conducteurs
  • Indications sur l’état des procédures pénales (plaintes pénales et ordonnances pénales)
watson-Recherche zu Datenleck bei Unisecur und Funkwache (Mai 2026). Screenshot: verpixelt.
Le tableau d’Unisecur contenait également des entrées relatives à des ordonnances pénales (en allemand: «Strafbefehl»).Screenshot: watson

Le contenu d’un tableau intitulé «Adresses liées aux numéros d'immatriculation» laisse penser que Funkwache et Unisecur ont conservé pendant plus de dix ans des données de détenteurs de véhicules obtenues auprès des services cantonaux des automobiles. Des vérifications montrent que cela concernait aussi des données bloquées à la demande des automobilistes eux-mêmes.

Une erreur classique et grossière

Après avoir été alertée en avril par une source anonyme au sujet de la fuite de données, la rédaction de watson s’est d’abord heurtée au silence des entreprises concernées. Impossible de joindre les responsables par téléphone. Ce n’est qu’à la fin du mois qu’une première réponse est arrivée par e-mail.

La directrice d’Unisecur a contesté l’idée selon laquelle cette «porte dérobée» non sécurisée constituait une faille grave.

«Pour identifier ce type de faille, il faut des connaissances approfondies en informatique et en programmation. Pour nous, il est clair qu’il y a eu une recherche ciblée. Un utilisateur ordinaire n’aurait pas pu découvrir ces failles»

Selon l’expert en cybersécurité consulté par watson, cet argument ne tient pas. Penser qu’un site est sûr simplement parce qu’il faut connaître son URL pour y accéder est une erreur classique – et grossière – en matière de sécurité informatique. Ce principe porte même un nom: la «sécurité par l'obscurité».

Par ailleurs, lorsqu’un outil standard est mal configuré, il n’est même pas nécessaire de «pirater» le système au sens strict. Il suffit de savoir que ce type d’interface existe. Des internautes curieux tombent régulièrement sur ce genre de «portes dérobées», parfois même via des recherches automatisées.

Les «portes dérobées» du web

Lorsqu’un internaute consulte un site public, les échanges de données entre le serveur et son appareil passent par des accès standard appelés «ports». Les plus connus sont le port 80 pour les connexions non chiffrées (HTTP) et le port 443 pour les connexions sécurisées (HTTPS).

Les outils de gestion de bases de données accessibles via internet, mais réservés aux administrateurs, utilisent en revanche d’autres ports. Pour accéder à ces interfaces dites «backend», il faut ajouter explicitement le numéro du port à l’URL. Cela évite notamment qu’un simple visiteur du site principal tombe par hasard sur une fuite de données.

Lorsque ces outils backend sont accessibles sur internet sans mot de passe ni autre mesure de protection, ils peuvent être repérés par des «bots», c’est-à-dire des programmes automatisés qui scannent en permanence le web à la recherche de ports ouverts. Dans bien des cas, une simple recherche sur des moteurs spécialisés dans l’infrastructure informatique, comme Shodan, suffit ensuite à révéler ces accès non sécurisés – partout dans le monde.

Dans le cas présent, les interfaces de gestion de bases de données de Funkwache et Unisecur étaient accessibles via des URL relativement courtes, que watson ne dévoile pas. L’expert que nous avons mandaté a pu les vérifier. Il déclare:

«Le port inhabituel réduit un peu le risque; mais il n’est pas suffisamment rare pour échapper aux scanners classiques»

Le Préposé fédéral à la protection des données et à la transparence (PFPDT), à Berne, a confirmé à watson que les données personnelles liées à des poursuites pénales sont considérées comme des données particulièrement sensibles.

Du point de vue du droit de la protection des données, le fait qu’une faille ait réellement été exploitée ou qu’elle soit difficile à trouver n’est pas déterminant pour évaluer le risque. Ce qui compte, c’est de savoir si «un accès non autorisé aux données peut être exclu». Et le PFPDT le souligne: ce n'est pas le cas ici.

Combien de temps les informations ont-elles été accessibles?

La question reste sans réponse claire.

Selon Claudia Byell, directrice d’Unisecur, les problèmes seraient apparus seulement en mars 2026. L’entreprise aurait «mis en ligne un nouvel outil». Et «cet outil présentait des failles», selon ses propres termes.

Dans une prise de position écrite datée du 30 avril, elle affirmait à watson que «les failles avaient depuis été corrigées». Cela signifie que les données sont restées non protégées pendant au moins un mois.

Mais la «porte dérobée» était-elle ouverte depuis plus longtemps? C’est ce que pense en tout cas l'informateur spécialisé en informatique qui a alerté watson.

Une requête adressée au serveur a effectivement montré que l’outil problématique était accessible via cette adresse web depuis décembre 2020. Cela ne permet toutefois pas de prouver qu’il a été librement accessible sans interruption pendant toute cette période.

Recherche zu Datenleck bei Funkwache und Unisecur, Mai 2026. Screenshot zu einer Server-Rückmeldung, die bestätigt, dass das Datenbank-Administrations-Tool zuletzt am 24. Dezember 2022 geändert wurde.
Dernière modification de l'outil d'administration: le 24 décembre 2020 (état au 22 avril 2026).Screenshot: watson

Le patron réagit

Il y a une semaine, watson a repris contact avec les responsables pour les informer de la parution imminente de cette enquête. Cette fois, la direction de Funkwache a réagi.

L'initiative UDC peut créer des embouteillages monstres en Suisse

Dans un e-mail daté du 21 mai, Meinhard Byell écrit:

«Nous tenons à préciser que:
1. La faille de sécurité est fermée depuis longtemps et n’existe plus.
2. Aucun abus ni aucun dommage n’ont été constatés.»

Se pose alors une question essentielle: les accès non autorisés à l’outil backend non protégé – et les éventuelles fuites de données qui en auraient découlé – auraient-ils été enregistrés par le système informatique?

Les deux entreprises refusent de dire si elles disposent de journaux d’accès détaillés («logs») permettant de retracer les connexions aux adresses URL concernées pendant toute la durée de la fuite. Notre relance n'a pas suscité de réaction.

Combien de personnes sont concernées?

Les responsables des sociétés de surveillance ont refusé de communiquer des chiffres précis à watson.

La base de données d’Unisecur, encore accessible publiquement le mois dernier, contenait notamment:

  • 104 084 entrées dans le tableau intitulé «Adresses liées aux numéros d'immatriculation»
  • 150 013 entrées dans le tableau intitulé «Amendes», qui répertoriait des informations détaillées sur les infractions aux interdictions de stationner
Attention à ces changements de lois en juin en Suisse

La base de données de Funkwache comprenait quant à elle:

  • 91 010 entrées dans le tableau «Adresses liées aux numéros d'immatriculation»
  • 414 739 entrées dans le tableau «Amendes»

Comme déjà mentionné, l’enquête a montré que les deux bases de données comportaient de nombreuses entrées identiques.

Qu’en est-il des données bloquées?

Selon les informations obtenues par watson, la fuite concernait également des données de détenteurs de véhicules faisant l’objet d’un blocage. Les automobilistes soucieux de protéger leur vie privée peuvent en effet demander au service cantonal des automobiles de bloquer l’accès à leurs données. Cette mesure est censée empêcher des tiers de consulter leur adresse en ligne.

Les sociétés de surveillance doivent alors effectuer des démarches administratives supplémentaires pour obtenir les coordonnées des automobilistes fautifs et leur envoyer une facture. Elles doivent toutefois faire valoir un intérêt juridique légitime. Comme elles agissent au nom du propriétaire du terrain – généralement sur la base d’une interdiction de stationner prononcée par un juge – elles ont le droit de demander les données des détenteurs auprès du service des automobiles, moyennant paiement, même lorsque celles-ci sont bloquées.

Peter Hotz, codirecteur Communication et Développement au Service des automobiles du canton de Zurich, explique ce que les entreprises de surveillance doivent verser à l’Etat:

«Un renseignement simple sur un détenteur coûte 10 francs par plaque d’immatriculation. Des recherches complémentaires sont facturées 60 francs par demi-heure»

Le porte-parole précise à watson que les adresses e-mail ne font pas partie des données auxquelles les entreprises de surveillance peuvent accéder via les services des automobiles.

Ces distractions au volant peuvent vous coûter 10 000 francs en Suisse

L’évaluation et la sanction d’éventuelles violations de la protection des données ne relèvent toutefois pas de la compétence du Service des automobiles.

Quelles sont les conséquences de cette affaire?

Il est encore trop tôt pour le dire.

Le législateur considère néanmoins que la divulgation de données personnelles particulièrement sensibles présente un risque élevé, car les personnes concernées peuvent subir des préjudices importants. Dans ce type de situation, les entreprises fautives sont tenues d’informer le Préposé fédéral à la protection des données et à la transparence (PFPDT).

Plus de trois semaines après que watson a signalé la fuite aux deux entreprises, l’autorité fédérale de protection des données a déclaré:

«Le PFPDT n’a reçu aucun signalement de la part de Funkwache ou d’Unisecur [concernant cette fuite de données]. Nous allons prendre contact avec les responsables et nous réservons le droit d’engager d’autres démarches»

La Préposée à la protection des données du canton de Zurich, Dominika Blonski, a elle aussi indiqué à watson n’avoir reçu aucun signalement concernant les deux entreprises zurichoises. (adapt. tam)

L'actu en Suisse c'est par ici
«Des voix s'élèvent en Valais» pour tirer sur un animal protégé
6
«Des voix s'élèvent en Valais» pour tirer sur un animal protégé
de Sven Papaux
Cet écolo romand va voter «oui» à l'initiative de l'UDC: il s'explique
Cet écolo romand va voter «oui» à l'initiative de l'UDC: il s'explique
de Alexandre Cudré
Crise à la Comédie de Genève: le conseil municipal a lâché les coups
Crise à la Comédie de Genève: le conseil municipal a lâché les coups
de Antoine Menusier
Une centaine de Hells Angels débarquent devant le tribunal de Sion
2
Une centaine de Hells Angels débarquent devant le tribunal de Sion
de Marie Parvex
Thèmes
France: la vidéo d'un chien enfermée dans une voiture crée un tollé
Video: watson
Ceci pourrait également vous intéresser:
Avez-vous quelque chose à nous dire ?
Avez-vous une remarque ou avez-vous découvert une erreur ? Vous pouvez nous transmettre votre message via le formulaire.
3 Commentaires
Connexion
user avatar
Votre commentaire
YouTube Link
0 / 600
Vers les règles des commentaires..
3
Le profil du suspect de Winterthour soulève des questions
Connu pour sa radicalisation islamiste, le suspect avait vécu en Turquie avant son retour en Suisse. Il avait été interné en psychiatrie avant d’être relâché la veille des faits.
Le principal suspect de l’attaque au couteau survenue jeudi à Winterthour est un sympathisant de l’Etat islamique connu de longue date des autorités. Après avoir vécu environ deux ans en Turquie, il était récemment revenu en Suisse, où il avait également été interné en psychiatrie. Il avait été relâché la veille de l’attaque. Selon deux de nos sources, il s’agit de Nesip D., un Suisse de 31 ans né en Suisse, mais d’origine turque. Une information confirmée par la police, jeudi dans l'après-midi.
L’article