Dans un incident bizarre en avril dernier, un attaquant inconnu a ciblé environ 20 intersections routières à travers la Silicon Valley, lançant une cyberattaque qui s'est ensuite propagée à plusieurs États. Le coupable a exploité des mots de passe par défaut faibles et publiquement disponibles pour télécharger sans fil des enregistrements personnalisés qui jouaient lorsque les piétons appuyaient sur les boutons de passage piéton. Au lieu de messages de sécurité standard, les piétons ont été accueillis par des voix usurpées de PDG de la tech milliardaires. Un faux **Mark Zuckerberg** a déclaré à une intersection de Menlo Park que l'IA serait « insérée de force » dans « chaque facette de votre expérience consciente ». Dans un autre cas, il a célébré « la sape de la démocratie ». Un **Elon Musk** altéré, à une intersection différente, a décrit le président **Donald Trump** comme « vraiment doux et tendre et aimant », tandis qu'ailleurs, sa fausse voix déplorait d'être « si seul ». ## Les conséquences et les accusations mutuelles Des courriels et des messages texte du gouvernement obtenus par **WIRED** ont révélé la précipitation des villes comme Menlo Park, Redwood City, Palo Alto, Seattle et Denver pour répondre à la falsification des boutons de passage piéton. Ces communications, ainsi que des entretiens avec des experts en sécurité et d'anciens employés du fabricant des boutons, ont souligné les vulnérabilités négligées dans les technologies répandues. À Redwood City, **Melissa Diaz**, alors directrice municipale, s'est interrogée sur la responsabilité des violations de sécurité. **Nick Mathiowdis**, l'actuel responsable des communications de Redwood City, a déclaré que le problème était traité sur la base des « leçons apprises et des meilleures pratiques évolutives », mais a refusé de fournir des détails spécifiques pour éviter d'encourager de nouvelles attaques. **Edward Fok**, un ancien responsable de la cybersécurité de la **Federal Highway Administration**, a souligné la nécessité pour les villes d'intégrer des clauses de cybersécurité dans les contrats avec les fournisseurs et les installateurs, en particulier avec l'intégration croissante d'outils d'IA et de capteurs dans l'infrastructure de transport. Le contrat de Redwood City avec son fournisseur d'installation et de maintenance de boutons n'exigeait que « la diligence raisonnable et le meilleur jugement », sans stipulations spécifiques sur les mots de passe ou la sécurité numérique. La highway administration, dans une déclaration non signée, a affirmé avoir précédemment publié un avis technique décrivant « des mesures de sécurité pour s'assurer que des idiots idéologiques ne mettent pas en danger la sécurité des Américains lors de l'utilisation de nos passages piétons ». L'enquête policière sur les piratages de la Silicon Valley a stagné, car les boutons ne suivent pas les téléchargements audio et les images de surveillance se sont avérées inutiles, selon le lieutenant de police de Redwood City, **Jeff Clements**. ## La vulnérabilité : les mots de passe par défaut  **Polara Enterprises**, un fournisseur leader de boutons de passage piéton, utilise des modèles compatibles Bluetooth qui permettent aux villes de télécharger des clips audio personnalisés. Les manuels et vidéos officiels en ligne montrent que ces modèles **Polara** sont livrés avec un mot de passe par défaut « 1234 » et sont configurables via une application publiquement disponible. Des mois avant les piratages, le vlogueur de sécurité physique **Deviant Ollam** a souligné la facilité de falsification de ces boutons dans une vidéo **YouTube**. <html> <iframe width="560" height="315" src="https://www.youtube.com/embed/mvvVSTlbqEI" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen></iframe> </html> **Ollam** a noté que, bien qu'il n'encourage pas les activités illégales, la vulnérabilité était évidente. Il a considéré le piratage comme une « farce idéale » qui a sensibilisé à un problème sociétal important. ## La réponse du fabricant **Josh LittleSun**, CTO de **Synapse ITS** (qui possède maintenant **Polara**), a attribué les piratages non pas aux mots de passe par défaut, mais aux installateurs utilisant des mots de passe simples et largement partagés qui étaient rarement changés. Des anciens employés de **Synapse** ont affirmé que l'entreprise privilégiait la fiabilité à la sécurité en raison d'une concurrence et de ressources limitées. Cependant, **LittleSun** a contesté cela, affirmant que **Synapse** avait augmenté les investissements en ingénierie dans les produits **Polara** et se concentrait sur la sécurité. Depuis le piratage, des mots de passe plus robustes et des étapes de vérification supplémentaires ont été mis en œuvre. « La sécurité de ces actifs communautaires critiques est essentielle », a souligné **LittleSun**. ## Seattle ciblée Peu de temps après les incidents de la Silicon Valley, Seattle est devenue une cible, avec un enregistrement usurpant l'identité du fondateur d'**Amazon**, **Jeff Bezos**, exhortant à ne pas taxer les riches. **Abel Pacheco**, directeur de la division des opérations de transport de Seattle, a déclaré que la ville avait réagi en attribuant des mots de passe uniques à chaque bouton et en établissant une liste avec