Des appareils de capture biométriques militaires américains chargés de données ont été vendus sur eBay

Selon un rapport du New York Times, les anciens équipements militaires américains vendus sur eBay contenaient ce qui semble être des données biométriques de troupes, de terroristes connus et de personnes qui auraient pu travailler avec les forces américaines en Afghanistan et dans d’autres pays du Moyen-Orient. Les appareils ont été achetés par un groupe de pirates, qui ont trouvé des empreintes digitales, des scans d’iris, des photos de personnes et des descriptions, le tout non crypté et protégé par un mot de passe par défaut “bien documenté”. Dans un article de blog, les pirates ont qualifié l’accès aux données sensibles de “carrément ennuyeux”, compte tenu de la facilité de lecture, de copie et d’analyse.

Matthias Marx, qui a dirigé les efforts du groupe dans la recherche des appareils, ne pense pas que les données elles-mêmes soient ennuyeuses, qualifiant d'”incroyable” le fait qu’ils aient pu mettre la main dessus. Bien qu’il prévoie de supprimer les données une fois que le club a terminé ses recherches, ce qu’ils ont déjà trouvé soulève des inquiétudes quant à la manière dont l’armée a gardé ces informations.

C’est particulièrement vrai compte tenu des rapports de l’année dernière selon lesquels les talibans ont obtenu des dispositifs biométriques alors que les États-Unis se retiraient d’Afghanistan. Comme l’ont souligné plusieurs commentateurs, les données qui peuvent ou non rester sur les appareils pourraient aider à identifier les personnes qui ont aidé les forces américaines. Les États-Unis ont également construit des bases de données biométriques des citoyens irakiens. S’adressant à Wired en 2007, un responsable américain a déclaré à propos de la base de données : “essentiellement, ce qu’elle devient est une liste de résultats si elle tombe entre de mauvaises mains”. (Il convient de noter que les appareils ne permettraient pas nécessairement à quelqu’un d’utiliser la base de données principale de la population afghane, à moins qu’il n’ait accès à un équipement supplémentaire, selon The Intercept – petit confort pour ceux dont les données étaient stockées localement sur l’appareil.)

Au total, les membres du Chaos Computer Club ont acheté six appareils, que le Times indique que l’armée a utilisés il y a une dizaine d’années pour recueillir des informations biométriques aux points de contrôle et lors de patrouilles, de dépistages et d’autres opérations. Deux des appareils – les deux kits d’inscription électronique sécurisés ou SEEK II – avaient des informations laissées sur leurs cartes mémoire. Selon les pirates, l’un des appareils contenait les noms de 2 632 personnes et des “données biométriques hautement sensibles” qui semblaient avoir été collectées vers 2012.

L’appareil ne leur a coûté que 68 dollars, selon le Times. Le point de vente affirme également que la société qui l’a vendu sur eBay après l’avoir acquis lors d’une vente aux enchères n’était pas au courant qu’il contenait des données sensibles, selon l’un des employés à qui il a parlé. Une autre entreprise n’a pas commenté la manière dont elle avait obtenu les appareils qu’elle avait vendus au club. En théorie, les appareils auraient dû être détruits après avoir cessé d’être utilisés.

Il n’est pas surprenant qu’ils soient disponibles à la vente en ligne – les équipements militaires déclassés finissent souvent entre des mains privées. La partie déconcertante est que les données ont été laissées sur au moins certains d’entre eux et que personne ne les a saisies avant que les appareils ne soient vendus sur eBay (ce qui constitue techniquement une violation des politiques de la plate-forme contre la vente d’ordinateurs contenant des informations personnellement identifiables). La réponse des États-Unis et des fournisseurs d’appareils n’est pas non plus rassurante ; contacté par le Times, le ministère de la Défense vient de demander que l’appareil soit renvoyé par la poste. Le Chaos Computer Club dit qu’il a également contacté le DoD et qu’il lui a été dit de contacter le fabricant de SEEK, HID Global. Les pirates disent qu’ils n’ont pas reçu de réponse.

commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Le plus populaire