La vrification didentit est devenue un lment essentiel pour de nombreuses entreprises en ligne. Elle permet de garantir que les utilisateurs sont bien qui ils prtendent tre, tout en renforant la scurit et en luttant contre la fraude. Cependant, rcemment, une faille de scurit a t dcouverte chez AU10TIX, une entreprise de vrification didentit qui travaille avec des clients tels que TikTok, X et Uber. Cette faille a expos des informations sensibles, mettant en lumire les risques associs ces services. La situation est proccupante dans le contexte o des lus cherchent imposer une identification des personnes visitant les rseaux sociaux ou les sites pornos.
Les faits
- Exposition des informations didentification : AU10TIX a laiss des informations didentification administratives accessibles pendant plus dun an. Cela signifie que des pirates auraient pu accder aux documents didentit des utilisateurs, tels que les permis de conduire.
- Clients concerns : Parmi les clients dAU10TIX figurent des gants de la technologie tels que TikTok, X et Uber.
- Donnes exposes : Les informations accessibles comprenaient les noms, dates de naissance, nationalits, numros didentification et images des visages des utilisateurs.
- Risque dusurpation didentit : Ces donnes sont suffisantes pour mener des attaques dusurpation didentit ou de phishing.
- March noir : De telles donnes sont galement trs prises sur le march noir, o elles peuvent tre utilises des fins illgales.
- Raction dAU10TIX : Lentreprise a inform les clients concerns et prvoit de remplacer son systme dexploitation actuel par un nouveau, ax sur la scurit.
Quand une socit proposant des solutions compltes de vrification d’identit se fait pirater…
Une socit qui vrifie l’identit des utilisateurs de TikTok, Uber et X, parfois en traitant des photos de leurs visages et de leurs permis de conduire, a expos un ensemble d’identifiants administratifs en ligne pendant plus d’un an, permettant potentiellement des pirates d’accder ces donnes sensibles, selon des captures d’cran et des donnes obtenues par les mdias.
La socit base en Isral, appele AU10TIX, propose ce qu’elle dcrit sur son site web comme des solutions compltes de vrification d’identit . Il s’agit notamment de vrifier les documents d’identit des personnes, de procder une dtection de la vivacit dans un flux vido en temps rel avec l’utilisateur et de procder une vrification de l’ge, o un service prdit l’ge d’une personne sur la base de la photo qu’elle a tlcharge. AU10TIX inclut galement les logos d’autres entreprises sur son site, telles que Fiverr, PayPal, Coinbase, LinkedIn et Upwork, dont certaines ont confirm 404 Media qu’elles taient des clients actifs ou anciens d’AU10TIX.
Cette nouvelle intervient alors que de plus en plus de rseaux sociaux et de sites pornographiques s’orientent vers un modle de vrification de l’identit ou de l’ge, dans lequel les utilisateurs doivent tlcharger leurs vritables documents d’identit pour accder certains services. Cette brche montre que les services d’identit pourraient eux-mmes devenir une cible pour les pirates informatiques. Le chercheur en cyberscurit n’a pas diffus les donnes, se contentant de fournir des captures d’cran et quelques donnes aux mdias des fins de vrification.
Mon interprtation personnelle de cette situation est qu’un fournisseur de services de vrification d’identit s’est vu confier les identits de personnes et qu’il n’a pas mis en uvre des mesures simples pour protger les identits des personnes et les documents d’identit sensibles , a dclar Mossab Hussein, responsable de la scurit au sein de la socit de cyberscurit spiderSilk, qui a alert les mdias au sujet des informations d’identification exposes.
L’ensemble des identifiants permettait d’accder une plateforme d’enregistrement, qui contenait son tour des liens vers des donnes relatives des personnes spcifiques qui avaient tlcharg leurs documents d’identit, a montr Mossab Hussein. Les informations accessibles comprennent le nom de la personne, sa date de naissance, sa nationalit, son numro d’identification et le type de document tlcharg, par exemple un permis de conduire. Un lien ultrieur inclut ensuite une image du document d’identit lui-mme ; certains de ces documents sont des permis de conduire amricains.
Les donnes semblent galement inclure les rsultats du processus de vrification d’AU10TIX, avec un champ « authenticit » indiquant « vrai » ; la « probabilit » de cette conclusion sur une chelle de 0 1, avec un rsultat potentiel de 0,9486029 ; et d’autres champs appels « DocumentAuthenticity » et « OverallQuality ». D’autres rsultats semblent lis la comparaison par AU10TIX d’une photo du visage de la personne avec son document tlcharg, une autre section faisant rfrence une photo appele « PhotoForFaceComparison.jpg ».
Une autre capture d’cran de l’outil montre un graphique linaire dont l’un des axes est intitul « nom de l’organisation cliente ». Cet axe comprend « TikTok_Shop_Creator », « Impersonation_XCorp » et « uber-carshare-passport », des rfrences apparentes aux trois gants de la technologie.
Plusieurs structures sont concernes
En septembre, X a dclar qu’elle s’associait AU10TIX pour la vrification des comptes base sur l’identit gouvernementale du rseau social. En 2020, AU10TIX a publi un communiqu de presse indiquant qu’elle travaillait avec Uber.
Les informations d’identification semblent avoir t recueillies par un logiciel malveillant en dcembre 2022 et publies pour la premire fois sur un canal Telegram en mars 2023, selon les horodatages et les messages du canal Telegram qui a publi les informations d’identification en ligne. En tlchargeant ces informations d’identification, il a t constat que le nom correspondait celui d’une personne dont le rle sur LinkedIn est celui d’un gestionnaire de centre d’oprations rseau chez AU10TIX. Le fichier contenait une multitude de mots de passe et de jetons d’authentification pour divers services utiliss par l’employ, y compris des outils de Salesforce et Okta, ainsi que le service de journalisation lui-mme.
Ces flux d’informations d’identification voles partir de logiciels malveillants de type « infostealer »
La socit de cyberscurit Mandiant a publi au dbut du mois un rapport indiquant que des pirates ont utilis des informations d’identification pour Snowflake, un outil d’entreposage de donnes, pour cibler ensuite plusieurs organisations. Mandiant a dclar avoir trouv des centaines d’identifiants de clients Snowflake exposs par des voleurs d’informations depuis 2020.
Le fait que ces informations d’identification soient librement accessibles sur Telegram abaisse considrablement la barrire l’entre pour les pirates qui souhaitent pntrer dans les organisations. Plutt que de passer par le processus laborieux d’installation de logiciels malveillants sur une cible, comme l’ordinateur portable d’un employ, ils peuvent simplement se greffer sur quelqu’un d’autre qui a dj fait ce travail. Ces pirates secondaires prennent les identifiants, se connectent et, s’ils russissent, volent des donnes ou tentent d’extorquer la victime.
Je pense que les acteurs de la menace sont devenus plus agressifs en ciblant les organisations de tous types simplement parce que les informations d’identification voles (provenant d’infections par des logiciels malveillants) sont probablement devenues le chemin le plus facile vers les joyaux de la couronne et les ensembles de donnes les plus sensibles d’une organisation. En tant qu’acteur de la menace, il vous suffit d’entrer par la porte principale , a dclar M. Hussein.
Consquences et rflexions
- Scurit vs vie prive : Cette faille soulve des questions sur lquilibre entre la ncessit de vrifier lidentit des utilisateurs et la protection de leurs donnes personnelles. Les entreprises doivent trouver un juste milieu.
- Transparence : Les entreprises devraient-elles tre plus transparentes sur leurs pratiques de vrification didentit ? Comment pourraient-elles amliorer la communication avec leurs utilisateurs ce sujet ?
- Alternatives : Existe-t-il des alternatives plus sres la vrification didentit actuelle ? Quelles innovations pourraient amliorer ce processus tout en protgeant les donnes des utilisateurs ?
Conclusion
Les services de vrification didentit sont essentiels, mais leur scurit doit tre une priorit absolue. Les entreprises doivent mettre en place des mesures robustes pour protger les donnes sensibles de leurs utilisateurs. En mme temps, elles doivent tre transparentes et responsables dans leur approche.
Sources : Au10Tix, annonce du partenariat avec Uber, Mandiant
Et vous ?
Quelle est votre opinion sur lutilisation de services de vrification didentit par des entreprises comme TikTok, Uber et X ? Pensez-vous que cela renforce la scurit ou que cela pose des risques pour la vie prive ?
Comment les entreprises devraient-elles quilibrer la ncessit de vrifier lidentit des utilisateurs avec la protection de leurs donnes personnelles ? Quelles mesures devraient-elles prendre pour garantir la scurit tout en respectant la vie prive ?
Quelles sont les consquences potentielles dune faille de scurit dans un service de vrification didentit ? Comment cela pourrait-il affecter les utilisateurs et les entreprises ?
Pensez-vous que les entreprises devraient tre plus transparentes sur leurs pratiques de vrification didentit ? Comment pourraient-elles amliorer la communication avec leurs utilisateurs ce sujet ?
Existe-t-il des alternatives plus sres la vrification didentit actuelle ? Quelles innovations pourraient amliorer ce processus tout en protgeant les donnes des utilisateurs ?