mercredi 28 décembre 2022

 (Provenant de l'armée américaine, méfiez-vous, ils sont tellement sournois qu'ils y ont sûrement caché un loup. note de rené)


Proposée à la vente sur eBay pour 68 $ : une base de données conçue par l’armée américaine


Comportant empreintes digitales, scanner d’iris, noms et photos de personnes et conservée sans chiffrement.

L’appareil en forme de boîte à chaussures, conçu pour capturer les empreintes digitales et effectuer des scans d’iris, a été mis en vente sur eBay pour 149,95 $. Un chercheur allemand en sécurité, Matthias Marx, a proposé avec succès 68 $, et lorsqu’il est arrivé chez lui à Hambourg en août, la machine portable robuste contenait plus que ce qui était promis dans la liste.

La carte mémoire de l’appareil contenait les noms, nationalités, photographies, empreintes digitales et scans de l’iris de 2 632 personnes.

La plupart des personnes figurant dans la base de données venaient d’Afghanistan et d’Irak. Beaucoup étaient des terroristes connus et des personnes recherchées, mais d’autres semblaient être des personnes qui avaient travaillé avec le gouvernement américain ou qui avaient simplement été arrêtées à des points de contrôle. Les métadonnées sur l’appareil, appelées Secure Electronic Enrollment Kit, ou SEEK II, ont révélé qu’il avait été utilisé pour la dernière fois à l’été 2012 près de Kandahar, en Afghanistan.

L’appareil, une relique du vaste système de collecte biométrique que le Pentagone a construit dans les années qui ont suivi les attentats du 11 septembre 2001, est un rappel physique que bien que les États-Unis aient abandonné les guerres en Afghanistan et en Irak, les outils construits pour les combattre et les informations qu’ils détenaient vivent d’une manière non intentionnelle par leurs créateurs.

On ne sait pas exactement comment l’appareil a fini par passer des champs de bataille en Asie à un site d’enchères en ligne. Mais les données, qui offrent des descriptions détaillées des individus en plus de leur photographie et de leurs données biométriques, pourraient suffire à cibler des personnes qui étaient auparavant inconnues pour avoir travaillé avec les forces militaires américaines si les informations tombaient entre de mauvaises mains.

Pour ces raisons, Marx n’a pas voulu mettre les informations en ligne ni les partager sous un format électronique, mais il a permis à un journaliste du Times en Allemagne de voir les données en personne à ses côtés.

La réaction du ministère de la Défense

« Parce que nous n’avons pas examiné les informations contenues sur les appareils, le département n’est pas en mesure de confirmer l’authenticité des données présumées ou de les commenter autrement », a déclaré le brigadier général Patrick S. Ryder, attaché de presse du ministère de la Défense, dans un communiqué. « Le département demande que tout appareil susceptible de contenir des informations personnellement identifiables soit renvoyé pour une analyse plus approfondie. »

Il a fourni une adresse au responsable du programme biométrique de l’armée à Fort Belvoir en Virginie, où les appareils pourraient être envoyés.

Les données biométriques du SEEK II ont été recueillies dans des centres de détention, lors de patrouilles, lors de dépistages d’embauches locales et après l’explosion d’une bombe improvisée. À peu près au moment où l’appareil a été utilisé pour la dernière fois en Afghanistan, l’effort de guerre américain s’amenuise. Oussama ben Laden avait été tué au Pakistan un an plus tôt (son identité aurait été confirmée grâce à la technologie de reconnaissance faciale).

L’une des principales préoccupations des chefs militaires à l’époque était une série de fusillades au cours desquelles des soldats et des policiers afghans ont braqué leurs armes sur les troupes américaines. Ils espéraient que le programme d’inscription biométrique aiderait à identifier d’éventuels agents talibans à l’intérieur de leurs propres bases.

Le groupe de chercheurs voulait comprendre si les talibans auraient pu obtenir des données biométriques sur les personnes qui avaient aidé les États-Unis à partir des appareils

Un « guide du commandant sur la biométrie en Afghanistan » de 2011 décrit les scans du visage, des empreintes digitales et de l’iris comme une « capacité de champ de bataille relativement nouvelle » mais « décisive » qui « identifie efficacement les insurgés, vérifie les ressortissants locaux et de pays tiers accédant à nos bases et installations, et relie les gens aux événements ».

Le SEEK II a un petit écran, un clavier physique miniature et un tapis de souris presque comique. Un lecteur d’empreintes digitales est protégé par un couvercle en plastique à charnière au bas de l’appareil. Comme un ancien appareil photo Polaroid, la machine se déplie pour permettre des balayages d’iris et pour prendre des photos. Marx a utilisé le SEEK II sur lui-même ; lorsqu’il l’a éteint, un message est apparu, demandant de se connecter à un serveur du Commandement des opérations spéciales des États-Unis pour télécharger (upload) les nouvelles « données biométriques collectées ».

Au cours de l’année écoulée, Marx et un petit groupe de chercheurs du Chaos Computer Club, une association européenne de hackers, ont acheté six dispositifs de capture biométrique sur eBay, la plupart pour moins de 200 euros, prévoyant de les analyser pour trouver d’éventuelles vulnérabilités ou défauts de conceptions. Ils étaient motivés par les inquiétudes exprimées l’année dernière selon lesquelles les talibans auraient saisi de tels appareils après l’évacuation américaine d’Afghanistan. Le groupe de chercheurs voulait comprendre si les talibans auraient pu obtenir des données biométriques sur les personnes qui avaient aidé les États-Unis à partir des appareils, les mettant en danger.

Trouver autant d’informations non chiffrées et facilement accessibles les a choqués

« C’était troublant qu’ils n’aient même pas essayé de protéger les données », a déclaré Marx, faisant référence à l’armée américaine. « Ils ne se souciaient pas du risque, ou ils l’ignoraient. »

Stewart Baker, un avocat de Washington et ancien responsable de la sécurité nationale, a déclaré que la numérisation biométrique était un outil précieux dans les zones de guerre, mais que les données collectées devaient être contrôlées. Il a prédit que la violation de données « mettrait beaucoup de gens qui ont aidé les États-Unis et qui sont toujours en Afghanistan vraiment mal à l’aise ».

« Cela n’aurait pas dû arriver », a déclaré Baker. « C’est un désastre pour les personnes dont les données sont exposées. Dans le pire des cas, les conséquences pourraient être fatales. »

Sur les six appareils que les chercheurs ont achetés sur eBay (quatre SEEK et deux HIIDE, pour Handheld Interagency Identity Detection Equipment) deux des appareils SEEK II contenaient des données sensibles. Le deuxième SEEK II, avec des métadonnées de localisation montrant qu’il a été utilisé pour la dernière fois en Jordanie en 2013, semblait contenir les empreintes digitales et les scans de l’iris d’un petit groupe de membres des services américains.

Lorsqu’il a été contacté par le Times, un Américain dont le scan biométrique a été trouvé sur l’appareil a confirmé que les données étaient probablement les siennes. Il était auparavant spécialiste du renseignement des Marines et a déclaré que ses données, et celles de tout autre Américain trouvé sur ces appareils, avaient très probablement été collectées lors d’un cours de formation militaire. L’homme, qui s’exprimait sous le couvert de l’anonymat car il travaille toujours dans le domaine du renseignement et n’était pas autorisé à s’exprimer publiquement, a demandé que son dossier biométrique soit supprimé.

Les responsables militaires ont déclaré que la seule raison pour laquelle ces appareils auraient des données sur les Américains serait leur utilisation pendant les sessions de formation, une pratique courante pour se préparer à les employer sur le terrain.

Selon la Defense Logistics Agency, qui gère chaque année l’élimination de millions de dollars de matériel excédentaire du Pentagone, des appareils comme le SEEK II et le HIIDE n’auraient jamais dû arriver sur le marché libre (encore moins sur un site d’enchères en ligne comme eBay). Au lieu de cela, tout le matériel de collecte biométrique est censé être détruit sur place lorsqu’il n’est plus nécessaire au personnel militaire, tout comme d’autres appareils électroniques qui contenaient autrefois des informations opérationnelles sensibles.

La manière dont les vendeurs eBay ont obtenu ces appareils n’est pas claire. L’appareil avec les 2 632 profils a été vendu par Rhino Trade, une société d’équipement excédentaire au Texas. Le trésorier de la société, David Mendez, a déclaré qu’il avait acheté le SEEK II lors d’une vente aux enchères d’équipements gouvernementaux et qu’il n’avait pas réalisé qu’un appareil militaire déclassé contiendrait des données sensibles.

« J’espère que nous n’avons rien fait de mal », a-t-il déclaré.

Le SEEK II avec les informations des troupes américaines provenait de Tech-Mart, un vendeur eBay dans l’Ohio. Le propriétaire de Tech-Mart, Ayman Arafa, a refusé de dire comment il l’avait acquis, ou deux autres appareils qu’il a vendus aux chercheurs.

Un porte-parole d’eBay a déclaré que la politique de l’entreprise interdisait l’inscription d’appareils électroniques contenant des informations personnellement identifiables. « Les annonces qui enfreignent cette politique seront supprimées et les utilisateurs peuvent faire face à des actions pouvant aller jusqu’à la suspension permanente de leur compte », a déclaré le porte-parole.

Les données sensibles des appareils étaient stockées sur des cartes mémoire. Si les cartes avaient été retirées et détruites, ces données n’auraient pas été exposées.

« La gestion irresponsable de cette technologie à haut risque est incroyable », a déclaré Marx. « Il est incompréhensible pour nous que le fabricant et les anciens utilisateurs militaires ne se soucient pas du fait que des appareils usagés contenant des données sensibles soient colportés en ligne. »

Le Times a examiné les manuels et la documentation en ligne des appareils HIIDE et SEEK II et a découvert qu’ils étaient conçus pour rechercher des fichiers biométriques conservés sur des serveurs gouvernementaux. Cependant, ils sont capables de stocker des milliers d’enregistrements biométriques à utiliser dans un environnement avec une connectivité Internet limitée, ce qui peut aider à expliquer pourquoi ces enregistrements biométriques étaient toujours sur ces appareils.

Lire aussi : Faut-il ou pas avoir des appareils connectés à Internet dans son domicile ? Des pirates prennent le contrôle de caméras de sécurité Ring de particuliers

Sources : Developpez – Times, guide de la biométrie en Afghanistan

Aucun commentaire: