WTF ? ! Les histoires de personnes vendant des articles électroniques sur eBay sans d’abord effacer leur espace de stockage ne sont pas inhabituelles. Cependant, on ne s’attendrait pas à acheter un appareil militaire sur le site d’enchères et à découvrir qu’il contient des données biométriques sensibles sur des milliers d’individus. C’est pourtant ce qu’un chercheur allemand en sécurité a découvert après avoir payé seulement 68 dollars pour l’une des machines.
Le New York Times rapporte que Matthias Marx, chef d’un groupe de chercheurs européens appelé Chaos Computer Club, a acheté six appareils de capture biométrique sur eBay, la plupart pour moins de 200 dollars. Le groupe avait l’intention d’analyser les machines pour rechercher des vulnérabilités suite à un rapport de 2021 de The Intercepter sur les talibans saisissant du matériel similaire. L’un des articles, une machine portative conçue pour capturer les empreintes digitales et effectuer des scans d’iris, Marx a réussi à obtenir pour seulement 68 $, bien moins que le prix indiqué de 149,95 $.
Les chercheurs ont été choqués de découvrir que l’appareil, appelé kit d’inscription électronique sécurisé, ou SEEK II, contenait une carte mémoire qui stockait les noms, nationalités, photographies, empreintes digitales et scans de l’iris de 2 632 personnes, dont la plupart étaient des personnes d’Afghanistan et Irak. Beaucoup étaient des terroristes connus et des personnes recherchées, et il y avait aussi des détails sur des personnes qui avaient travaillé avec le gouvernement américain et des citoyens ordinaires qui avaient simplement été arrêtés aux points de contrôle.
Matthias Marx et ses @ccc partenaires ont acheté six appareils de capture biométrique sur eBay. L’un d’eux, un SEEK II, avait les empreintes digitales et les scans de l’iris de 2 632 personnes d’Afghanistan et d’Irak. Lorsque Marx l’a utilisé pour capturer ses propres informations biométriques, il a demandé de les télécharger sur un @USSOCOM serveur. pic.twitter.com/9RSKOfdKaz
– Colline du Cachemire (@kashhill) 27 décembre 2022
Un autre appareil contenait les empreintes digitales et les scans de l’iris du personnel militaire américain. Il avait été utilisé pour la dernière fois en Jordanie en 2013.
Les données comprenaient également des descriptions détaillées d’individus accompagnées de leurs photographies et de leurs informations biométriques, ce qui aurait pu exposer les membres de l’armée et ceux qui les ont aidés au risque d’être identifiés et traqués par les talibans.
On ne sait pas exactement comment l’appareil s’est retrouvé sur eBay, tout comme le nombre de fois où il s’est passé entre les propriétaires depuis sa dernière utilisation en 2012 près de Kandahar, en Afghanistan. Pourquoi l’armée n’a jamais retiré/détruit la carte mémoire est également un mystère. L’un des vendeurs a déclaré qu’il ne savait pas qu’il contenait des informations sensibles, ajoutant qu’il avait acquis le SEEK II lors d’une vente aux enchères d’équipements gouvernementaux. Un autre a refusé de dire où ils avaient obtenu l’appareil.
« La gestion irresponsable de cette technologie à haut risque est incroyable », a déclaré le chercheur au Times. « Il est incompréhensible pour nous que le fabricant et les anciens utilisateurs militaires ne se soucient pas du fait que des appareils usagés contenant des données sensibles soient colportés en ligne », a-t-il ajouté.
Attaché de presse du ministère de la Défense Brig. Le général Patrick S. Ryder a déclaré au Times : « Parce que nous n’avons pas examiné les informations contenues sur les appareils, le département n’est pas en mesure de confirmer l’authenticité des données présumées ou de les commenter. Le département demande que tout appareil pensé pour contiennent des informations personnellement identifiables être renvoyés pour une analyse plus approfondie. »
Titre : Marine Corps photo par le Cpl. Briauna Birl
