Skip to content
Cyber Breaches
Recherche
Fuite de donnéesContenu

La fuite chez un prestataire de Texas Parks and Wildlife expose 3 millions de détenteurs de permis

Une compromission du prestataire tiers qui traite la vente des permis de chasse et de pêche du Texas a exposé les numéros de permis de conduire, de passeport et les coordonnées de plus de trois millions de Texans, l'État précisant toutefois que les numéros de sécurité sociale et les données financières n'ont pas été dérobés.

Victime
Texas Parks and Wildlife Department
données
3.1M
utilisateurs
3.1M
SecteurGouvernement
PaysÉtats-Unis

Le 18 juin 2026, le Texas Parks and Wildlife Department (TPWD) — l'agence d'État qui délivre les permis de chasse et de pêche aux Texans — a révélé publiquement une fuite de données survenue chez le prestataire tiers qui traite la vente de ses permis, exposant les informations personnelles de plus de trois millions de personnes. Il s'agit de l'une des plus importantes fuites de données d'une administration d'État américaine divulguées jusqu'ici en 2026, et d'un rappel du risque démesuré que les prestataires externalisés font peser sur les données du secteur public.

Ce qui s'est passé

Selon TPWD, la fuite ne s'est pas produite sur ses propres systèmes mais sur ceux d'un prestataire externe qui traite les transactions de permis de chasse et de pêche pour le compte de l'agence. Texas Cyber Command a détecté un accès non autorisé dans l'environnement du prestataire et en a informé TPWD le 13 mai 2026. Le département a publié une notification officielle d'incident de sécurité des données le 12 juin 2026, puis a procédé à une divulgation publique plus large le 18 juin 2026.

L'agence a indiqué que son enquête n'avait pas déterminé la date de l'intrusion initiale, la manière dont l'attaquant avait pénétré le système, ni la durée de son accès. Le prestataire à l'origine de la fuite n'a pas été nommé publiquement et, au moment de la divulgation, aucun autre État n'avait signalé d'incident lié.

Impact

TPWD a précisé que les données exposées concernaient 3 087 721 personnes et comprenaient des numéros de permis de conduire, des numéros de passeport (lorsque les clients en avaient fourni), des adresses e-mail, des numéros de téléphone et des adresses postales. Le département a affirmé que les numéros de sécurité sociale, les dates de naissance et les informations financières — y compris les données de carte bancaire — n'avaient pas été obtenus lors de l'incident.

En réponse, TPWD a mis en place un centre d'appels dédié et proposé aux personnes concernées une surveillance de crédit gratuite, avec une date limite d'inscription fixée au 14 septembre 2026. Aucun acteur malveillant n'a revendiqué l'attaque et le département n'a fait état d'aucune demande de rançon.

Pourquoi c'est important

Cette fuite illustre à quel point les données d'une administration ne sont jamais plus sûres que les prestataires auxquels elle confie les dossiers de ses citoyens. Les numéros de permis de conduire et de passeport sont des identifiants durables qui alimentent l'usurpation d'identité et la fraude pendant des années, et leur exposition à grande échelle est bien plus difficile à corriger qu'une simple réinitialisation de mot de passe. L'incident rappelle pourquoi les organismes publics devraient soumettre leurs prestataires tiers aux mêmes exigences de sécurité et de notification que leurs propres systèmes, et recenser précisément quels champs sensibles ces prestataires détiennent.

Chronologie

  1. Texas Cyber Command informe le Texas Parks and Wildlife Department qu'un accès non autorisé a été détecté dans les systèmes du prestataire tiers traitant la vente de ses permis de chasse et de pêche.

  2. TPWD publie une notification officielle d'incident de sécurité des données décrivant les données exposées.

  3. TPWD divulgue publiquement la fuite, confirmant que les informations personnelles de plus de trois millions de détenteurs de permis ont été exposées.

Sources

  1. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/texas-govt-data-breach-exposes-over-3-million-drivers-licenses/
  2. theregister.comhttps://www.theregister.com/security/2026/06/19/texas-gov-vendor-breach-exposes-data-of-3m-hunters-anglers/
  3. cbsnews.comhttps://www.cbsnews.com/texas/news/3-million-texas-hunting-fishing-license-data-breach/
  4. tpwd.texas.govhttps://tpwd.texas.gov/about/notification-of-data-security-incident
  5. nbcdfw.comhttps://www.nbcdfw.com/news/local/massive-data-breach-could-impact-millions-of-texas-hunting-and-fishing-license-holders/4039264/

Incidents liés

Fuite de donnéesEn cours

Vol de données d'enquêtes internes de Nintendo via la plateforme tierce TinyPulse

Nintendo of America a confirmé que des attaquants avaient dérobé des données d'enquêtes internes auprès des employés sur TinyPulse, une plateforme RH tierce qu'elle utilisait, après que le groupe SHADOWBYT3$ a prétendu avoir exfiltré environ 859 Mo de données et réclamé une rançon de 2 millions de dollars — tout en soulignant que les systèmes et les données clients de Nintendo n'avaient pas été touchés.

Victim
Nintendo of America
Fuite de donnéesEn cours

Eastman Kodak confirme une fuite de données revendiquée par ShinyHunters

L'entreprise d'imagerie et de matériaux Eastman Kodak a confirmé qu'un tiers non autorisé avait temporairement accédé à une quantité limitée de données de l'entreprise, après que le groupe d'extorsion ShinyHunters a inscrit Kodak sur son site de fuite du dark web en prétendant détenir plus de 2,2 millions d'enregistrements de données clients et internes.

Victim
Eastman Kodak
Records
2.2M
Fuite de donnéesEn cours

ShinyHunters revendique le vol de 297 Go de données de paie et RH du Conseil de l'Europe via une faille zero-day Oracle PeopleSoft

Le groupe d'extorsion ShinyHunters a affirmé avoir dérobé quelque 297 Go de fiches de paie, de données RH et financières appartenant à plus de 10 000 employés, anciens et actuels, du Conseil de l'Europe en exploitant la faille zero-day Oracle PeopleSoft CVE-2026-35273, poussant l'organisation intergouvernementale à enquêter.

Victim
Council of Europe