Les législateurs d’État sont des personnalités publiques très visibles aux États-Unis, responsables de l’élaboration de budgets d’État de plusieurs milliards de dollars, du traitement d’informations privilégiées et de la communication avec leurs électeurs.

Selon une nouvelle enquête de Proton, leurs adresses e-mail et mots de passe sont également très visibles.

Nous avons enquêté sur les pratiques de cybersécurité des politiciens du monde entier pendant plus d’un an. Notre dernière série de recherches a révélé que 67 % des législateurs d’État américains ont été affectés par des fuites de données liées à leurs adresses e-mail publiques au moins une fois.

Vérifiez si vos représentants gouvernementaux ont des données sur le dark web

Nous avons identifié plus de 16 000 enregistrements de fuites de données associés à des adresses e-mail publiques dans 49 États. Plus de 12 000 cas impliquaient des informations personnellement identifiables (PII), qui peuvent être utilisées pour identifier, surveiller et lancer des attaques d’hameçonnage contre des individus. Pour aggraver ces risques, 560 mots de passe ont été découverts en texte brut : avec un mot de passe en texte brut, les pirates peuvent accéder à des comptes personnels appartenant à des législateurs et potentiellement s’infiltrer dans des comptes gouvernementaux officiels.

Aucune information d’identification n’est partagée dans notre rapport et nous avons informé chaque politicien concerné.

Les expositions découlent d’une erreur humaine et non d’attaques externes

Plutôt que d’attaques ciblées de la part de nations en conflit avec les États-Unis, ces expositions sont causées par des législateurs utilisant leurs adresses e-mail gouvernementales officielles pour s’inscrire à des services tiers tels que LinkedIn, Adobe et Dropbox. Ces services tiers ont été affectés par des fuites de données, ce qui a entraîné des expositions pour les représentants du gouvernement.

Malheureusement, cet effacement des frontières entre les comptes personnels et professionnels est monnaie courante dans les environnements de travail modernes. Cela peut avoir de graves répercussions pour les entreprises de toute taille dans n’importe quel secteur, mais les politiciens ayant la capacité d’accéder à des services et des données gouvernementaux sensibles ont un modèle de menace beaucoup plus élevé qu’un citoyen moyen.

« Les données montrent qu’il s’agit moins d’incidents isolés que de la façon dont le risque numérique s’accumule au fil du temps », a déclaré Eamonn Maguire, responsable de la sécurité des comptes chez Proton. « Même une utilisation normale et quotidienne de services en ligne peut créer une exposition à long terme. Lorsque des adresses e-mail officielles sont impliquées, ce risque s’étend au-delà de l’individu aux institutions qu’il représente. »

La Cyber Strategy for America(nouvelle fenêtre) du président Trump, publiée en mars 2026, note que le gouvernement américain « agira rapidement, délibérément et de manière proactive pour désactiver les cybermenaces pesant sur l’Amérique ». Il semble que cet effort puisse être compromis par ses propres législateurs, qui se rendent vulnérables aux cyberattaques.

Le comportement en ligne est incohérent d’un État à l’autre

Il semble que les pratiques de sécurité en ligne ne soient pas cohérentes d’un gouvernement à l’autre dans les différents États. Notre enquête a révélé un large éventail de comportements dans 49 États :

  • 100 % des législateurs de l’Arizona et de l’Oklahoma sont apparus dans des ensembles de fuites de données au moins une fois
  • Le Massachusetts a enregistré le plus grand nombre total de fuites de données (816), touchant 84 % des représentants
  • Le New Hampshire a enregistré le plus grand nombre de mots de passe ayant fuité (81)
  • Le Maryland est le seul État à n’avoir enregistré aucune fuite de données
  • Seuls quatre États ont eu une exposition inférieure à 50 % : la Floride, le Kentucky, le Maryland et le New Hampshire

Le fait que 100 % des législateurs de deux États soient apparus dans des ensembles de données de fuites de données au moins une fois est très préoccupant. Si un législateur d’un État entier a été rendu vulnérable lors d’une fuite de données, cela pourrait avoir de graves conséquences pour les citoyens et leurs infrastructures publiques. Le gouvernement américain est régulièrement la cible d’attaques lancées par le Service des renseignements extérieurs de la Russie(nouvelle fenêtre) (SVR) et le gouvernement chinois(nouvelle fenêtre). Le département d’État a lancé une nouvelle entité(nouvelle fenêtre) pour identifier et répondre aux menaces lancées par l’Iran, la Chine, la Russie, la Corée du Nord et des organisations terroristes étrangères.

Si les normes de cybersécurité ne sont pas appliquées de manière adéquate au sein du gouvernement américain, les citoyens américains se retrouvent injustement affectés par le comportement de leurs législateurs. Personne ne devrait être plus vulnérable aux conséquences d’une cyberattaque qui pourrait leur refuser des services gouvernementaux essentiels simplement en raison de leur lieu de résidence. Les législateurs du Maryland, le seul État sans fuites de données enregistrées, pourraient être les mieux placés pour plaider en faveur de normes plus strictes au sein du gouvernement.

Faire face aux menaces modernes avec une sécurité en ligne moderne

Être plus prudent en ligne n’est pas réservé aux personnes politiquement exposées. Tout le monde peut être touché par une fuite de données, et une fuite de données peut avoir des conséquences désastreuses, peu importe qui vous êtes. La clé est d’anticiper les fuites de données et de prendre un abonnement en conséquence, en commençant par votre adresse e-mail.

Une adresse e-mail est essentiellement un passeport en ligne. Elle est liée à tout ce que vous faites en ligne, comme vos comptes en ligne, votre historique d’achats, votre adresse, votre pièce d’identité gouvernementale, et plus encore. En utilisant votre adresse e-mail, il est facile de vous identifier et de vous cibler avec des escroqueries par hameçonnage qui pourraient vous faire subir des pertes financières et une usurpation d’identité. Vos données peuvent également être vendues à des courtiers en données pour réaliser un profit, permettant à encore plus de cybercriminels d’y accéder.

Au lieu de vous déconnecter complètement, ce qui n’est pas une solution viable dans le monde d’aujourd’hui, vous pouvez plutôt choisir de protéger vos informations personnelles et de limiter les endroits où vous les communiquez.

  • Les alias d’adresse e-mail masquent votre adresse e-mail personnelle, vous permettant de créer des comptes et même d’envoyer ou de recevoir des messages sans révéler aucune information personnelle. Si un alias d’adresse e-mail apparaît dans une fuite de données, il n’est pas connecté à vous, il ne peut donc pas être utilisé pour obtenir plus de données à votre sujet. Il peut simplement être désactivé, sans vous causer de tort. Les alias d’adresse e-mail sont une excellente solution pour ceux qui cherchent à protéger leurs adresses e-mail, les législateurs des États américains pourraient donc avoir intérêt à les envisager.
  • Les gestionnaires de mots de passe sont une solution idéale pour créer, stocker et effectuer le remplissage automatique des mots de passe. Un gestionnaire de mots de passe chiffré de bout en bout garantit que personne d’autre que vous ne peut accéder à vos données personnelles, pas même votre fournisseur de gestionnaire de mots de passe. Il est également possible de partager des identifiants en toute sécurité si vous en avez besoin, éliminant ainsi les pratiques de partage dangereuses qui augmentent les risques.
  • La surveillance du dark web vous alerte automatiquement si vos informations personnelles apparaissent sur le dark web, et peut également identifier les faiblesses du compte, telles qu’une authentification à deux facteurs (A2F) inactive et des mots de passe faibles ou réutilisés.

Tous ces services et bien plus sont disponibles avec Proton Pass. Conçu par l’équipe à l’origine d’un écosystème axé sur le respect de la vie privée comprenant Proton Mail et Proton VPN, Proton Pass est un gestionnaire de mots de passe sécurisé qui convient à tous les niveaux d’expérience technique et à toutes les exigences de sécurité.

Que vous soyez un citoyen ou un législateur, envisagez de vous s’inscrire à un compte Proton Pass Plus.