Après avoir acheté des appareils de capture biométrique sur le site, des chercheurs en sécurité allemands ont découvert que les informations collectées sur ces dispositifs n’avaient pas été supprimées.
68 dollars. C’est le prix payé par Matthias Marx, un chercheur en sécurité allemand, pour acheter sur eBay un appareil conçu pour enregistrer les empreintes digitales et effectuer des scans d’iris. Baptisé Secure Electronic Enrollment Kit (SEEK II), ce dispositif a été utilisé par l’armée américaine jusqu’au début des années 2010. Une fois qu’il l’a reçu, il y a découvert une vraie mine d’or d’informations, révèle le New York Times.
La carte mémoire de l’appareil contient en effet les noms, nationalités, photos, empreintes digitales et scans d’iris de 2 632 personnes, dont la plupart sont originaires d’Afghanistan et d’Irak. Bien que beaucoup soient des terroristes connus ou des personnes recherchées, cette base de données comprend également des informations sur des individus ayant travaillé avec le gouvernement américain ou arrêtés à des points de contrôle. Un second SEEK II contenait, lui, les empreintes digitales et scans d’iris de soldats américains.
Un manque de protection
Au total, Matthias Marx et d’autres chercheurs en sécurité ont acheté six dispositifs de ce type sur eBay, dont la plupart pour moins de 200 dollars. Membres du Chaos Computer Club, une association européenne de hackers, ils souhaitaient les analyser afin de trouver d’éventuelles vulnérabilités ou défauts de conception, à cause des inquiétudes exprimées l’année dernière selon lesquelles les talibans auraient seraient en possession de tels appareils suite au départ de l’armée. Ils cherchaient ainsi à savoir si ces derniers auraient pu obtenir des données biométriques sur les personnes ayant aidé les forces militaires américaines à partir de ces dispositifs, mettant alors celles-ci en danger.
Autant dire qu’ils ont été choqués d’y trouver des informations aussi facilement accessibles. « C’était troublant qu’ils n’aient même pas essayé de protéger les données. Ils ne souciaient pas du risque, ou ils l’ignoraient », a déclaré Matthias Marx, en référence à l’armée américaine. « Parce que nous n’avons pas examiné les informations contenues dans les appareils, le département n’est pas en mesure de confirmer l’authenticité des données présumées ou de les commenter d’une quelconque manière », a de son côté expliqué un porte-parole du ministère de la Défense, qui invite à renvoyer tout appareil susceptible de contenir des informations personnellement identifiables à des fins d’analyse.
Ces dispositifs n’auraient jamais dû se retrouver sur eBay. Celui contenant les données de 2 632 personnes y a été vendu par une société d’équipement excédentaire, qui a affirmé ignorer qu’il comprenait des informations sensibles après l’avoir acheté lors d’une vente aux enchères militaire. Les équipements de collecte biométrique sont en effet censés être détruits lorsqu’ils ne sont plus nécessaires à l’armée. Compte tenu de la sensibilité des informations, les chercheurs prévoient de supprimer toute donnée personnellement identifiable trouvée dans les appareils une fois leur analyse terminée.