L’appareil en forme de bote chaussures, conu pour capturer les empreintes digitales et effectuer des scans d’iris, a t mis en vente sur eBay pour 149,95 $. Un chercheur allemand en scurit, Matthias Marx, a propos avec succs 68 $, et lorsqu’il est arriv chez lui Hambourg en aot, la machine portable robuste contenait plus que ce qui tait promis dans la liste.
La carte mmoire de l’appareil contenait les noms, nationalits, photographies, empreintes digitales et scans de l’iris de 2 632 personnes.
La plupart des personnes figurant dans la base de donnes venaient d’Afghanistan et d’Irak. Beaucoup taient des terroristes connus et des personnes recherches, mais d’autres semblaient tre des personnes qui avaient travaill avec le gouvernement amricain ou qui avaient simplement t arrtes des points de contrle. Les mtadonnes sur l’appareil, appeles Secure Electronic Enrollment Kit, ou SEEK II, ont rvl qu’il avait t utilis pour la dernire fois l’t 2012 prs de Kandahar, en Afghanistan.
L’appareil, une relique du vaste systme de collecte biomtrique que le Pentagone a construit dans les annes qui ont suivi les attentats du 11 septembre 2001, est un rappel physique que bien que les tats-Unis aient abandonn les guerres en Afghanistan et en Irak, les outils construits pour les combattre et les informations qu’ils dtenaient vivent d’une manire non intentionnelle par leurs crateurs.
On ne sait pas exactement comment l’appareil a fini par passer des champs de bataille en Asie un site d’enchres en ligne. Mais les donnes, qui offrent des descriptions dtailles des individus en plus de leur photographie et de leurs donnes biomtriques, pourraient suffire cibler des personnes qui taient auparavant inconnues pour avoir travaill avec les forces militaires amricaines si les informations tombaient entre de mauvaises mains.
Pour ces raisons, Marx n’a pas voulu mettre les informations en ligne ni les partager sous un format lectronique, mais il a permis un journaliste du Times en Allemagne de voir les donnes en personne ses cts.
La raction du ministre de la Dfense
Parce que nous n’avons pas examin les informations contenues sur les appareils, le dpartement n’est pas en mesure de confirmer l’authenticit des donnes prsumes ou de les commenter autrement , a dclar le brigadier gnral Patrick S. Ryder, attach de presse du ministre de la Dfense, dans un communiqu. Le dpartement demande que tout appareil susceptible de contenir des informations personnellement identifiables soit renvoy pour une analyse plus approfondie .
Il a fourni une adresse au responsable du programme biomtrique de l’arme Fort Belvoir en Virginie, o les appareils pourraient tre envoys.
Les donnes biomtriques du SEEK II ont t recueillies dans des centres de dtention, lors de patrouilles, lors de dpistages d’embauches locales et aprs l’explosion d’une bombe improvise. peu prs au moment o l’appareil a t utilis pour la dernire fois en Afghanistan, l’effort de guerre amricain s’amenuise. Oussama ben Laden avait t tu au Pakistan un an plus tt (son identit aurait t confirme grce la technologie de reconnaissance faciale).
L’une des principales proccupations des chefs militaires l’poque tait une srie de fusillades au cours desquelles des soldats et des policiers afghans ont braqu leurs armes sur les troupes amricaines. Ils espraient que le programme d’inscription biomtrique aiderait identifier d’ventuels agents talibans l’intrieur de leurs propres bases.
Le groupe de chercheurs voulait comprendre si les talibans auraient pu obtenir des donnes biomtriques sur les personnes qui avaient aid les tats-Unis partir des appareils
Un guide du commandant sur la biomtrie en Afghanistan de 2011 dcrit les scans du visage, des empreintes digitales et de l’iris comme une capacit de champ de bataille relativement nouvelle mais dcisive qui identifie efficacement les insurgs, vrifie les ressortissants locaux et de pays tiers accdant nos bases et installations, et relie les gens aux vnements .
Le SEEK II a un petit cran, un clavier physique miniature et un tapis de souris presque comique. Un lecteur d’empreintes digitales est protg par un couvercle en plastique charnire au bas de l’appareil. Comme un ancien appareil photo Polaroid, la machine se dplie pour permettre des balayages d’iris et pour prendre des photos. Marx a utilis le SEEK II sur lui-mme ; lorsqu’il l’a teint, un message est apparu, demandant de se connecter un serveur du Commandement des oprations spciales des tats-Unis pour tlcharger (upload) les nouvelles donnes biomtriques collectes .
Au cours de l’anne coule, Marx et un petit groupe de chercheurs du Chaos Computer Club, une association europenne de hackers, ont achet six dispositifs de capture biomtrique sur eBay, la plupart pour moins de 200 euros, prvoyant de les analyser pour trouver d’ventuelles vulnrabilits ou dfauts de conceptions. Ils taient motivs par les inquitudes exprimes l’anne dernire selon lesquelles les talibans auraient saisi de tels appareils aprs l’vacuation amricaine d’Afghanistan. Le groupe de chercheurs voulait comprendre si les talibans auraient pu obtenir des donnes biomtriques sur les personnes qui avaient aid les tats-Unis partir des appareils, les mettant en danger.
Trouver autant d’informations non chiffres et facilement accessibles les a choqus
C’tait troublant qu’ils n’aient mme pas essay de protger les donnes , a dclar Marx, faisant rfrence l’arme amricaine. Ils ne se souciaient pas du risque, ou ils l’ignoraient .
Stewart Baker, un avocat de Washington et ancien responsable de la scurit nationale, a dclar que la numrisation biomtrique tait un outil prcieux dans les zones de guerre, mais que les donnes collectes devaient tre contrles. Il a prdit que la violation de donnes mettrait beaucoup de gens qui ont aid les tats-Unis et qui sont toujours en Afghanistan vraiment mal l’aise .
Cela n’aurait pas d arriver , a dclar Baker. C’est un dsastre pour les personnes dont les donnes sont exposes. Dans le pire des cas, les consquences pourraient tre fatales .
Sur les six appareils que les chercheurs ont achets sur eBay (quatre SEEK et deux HIIDE, pour Handheld Interagency Identity Detection Equipment) deux des appareils SEEK II contenaient des donnes sensibles. Le deuxime SEEK II, avec des mtadonnes de localisation montrant qu’il a t utilis pour la dernire fois en Jordanie en 2013, semblait contenir les empreintes digitales et les scans de l’iris d’un petit groupe de membres des services amricains.
Lorsqu’il a t contact par le Times, un Amricain dont le scan biomtrique a t trouv sur l’appareil a confirm que les donnes taient probablement les siennes. Il tait auparavant spcialiste du renseignement des Marines et a dclar que ses donnes, et celles de tout autre Amricain trouv sur ces appareils, avaient trs probablement t collectes lors d’un cours de formation militaire. L’homme, qui s’exprimait sous le couvert de l’anonymat car il travaille toujours dans le domaine du renseignement et n’tait pas autoris s’exprimer publiquement, a demand que son dossier biomtrique soit supprim.
Les responsables militaires ont dclar que la seule raison pour laquelle ces appareils auraient des donnes sur les Amricains serait leur utilisation pendant les sessions de formation, une pratique courante pour se prparer les employer sur le terrain.
Selon la Defense Logistics Agency, qui gre chaque anne l’limination de millions de dollars de matriel excdentaire du Pentagone, des appareils comme le SEEK II et le HIIDE n’auraient jamais d arriver sur le march libre (encore moins sur un site d’enchres en ligne comme eBay). Au lieu de cela, tout le matriel de collecte biomtrique est cens tre dtruit sur place lorsqu’il n’est plus ncessaire au personnel militaire, tout comme d’autres appareils lectroniques qui contenaient autrefois des informations oprationnelles sensibles.
La manire dont les vendeurs eBay ont obtenu ces appareils n’est pas claire. L’appareil avec les 2 632 profils a t vendu par Rhino Trade, une socit d’quipement excdentaire au Texas. Le trsorier de la socit, David Mendez, a dclar qu’il avait achet le SEEK II lors d’une vente aux enchres d’quipements gouvernementaux et qu’il n’avait pas ralis qu’un appareil militaire dclass contiendrait des donnes sensibles.
J’espre que nous n’avons rien fait de mal , a-t-il dclar.
Le SEEK II avec les informations des troupes amricaines provenait de Tech-Mart, un vendeur eBay dans l’Ohio. Le propritaire de Tech-Mart, Ayman Arafa, a refus de dire comment il l’avait acquis, ou deux autres appareils qu’il a vendus aux chercheurs.
Un porte-parole d’eBay a dclar que la politique de l’entreprise interdisait l’inscription d’appareils lectroniques contenant des informations personnellement identifiables. Les annonces qui enfreignent cette politique seront supprimes et les utilisateurs peuvent faire face des actions pouvant aller jusqu’ la suspension permanente de leur compte , a dclar le porte-parole.
Les donnes sensibles des appareils taient stockes sur des cartes mmoire. Si les cartes avaient t retires et dtruites, ces donnes n’auraient pas t exposes.
La gestion irresponsable de cette technologie haut risque est incroyable , a dclar Marx. Il est incomprhensible pour nous que le fabricant et les anciens utilisateurs militaires ne se soucient pas du fait que des appareils usags contenant des donnes sensibles soient colports en ligne .
Le Times a examin les manuels et la documentation en ligne des appareils HIIDE et SEEK II et a dcouvert qu’ils taient conus pour rechercher des fichiers biomtriques conservs sur des serveurs gouvernementaux. Cependant, ils sont capables de stocker des milliers d’enregistrements biomtriques utiliser dans un environnement avec une connectivit Internet limite, ce qui peut aider expliquer pourquoi ces enregistrements biomtriques taient toujours sur ces appareils.
Sources : Times, guide de la biomtrie en Afghanistan
Et vous ?
Quelle lecture faites-vous de la situation ?
tes-vous surpris de voir ce genre de bases de donnes tre vendues au public ?
Que penser alors du fait que les donnes sont disponibles et surtout en clair ?
Des rpercussions potentielles ?