IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

États-Unis : des images permettant de reconnaître des voyageurs ont été piratées puis publiées sur le Dark Web,
Le pays en est conscient et l'admet

Le , par Axel Lecomte

126PARTAGES

4  0 
Le mercredi 23 septembre 2020, le Département américain de la sécurité intérieure (DHS) a enfin admis que les images initialement utilisées pour identifier des voyageurs avaient été piratées. Il s’agit de photos montrant leur visage, leur plaque d'immatriculation et des informations sur leur état de santé. Le responsable de cette fuite de données est un sous-traitant des douanes et du contrôle des frontières appelé Perceptics.


Les renseignements sur les données piratées ont même été publiés sur le Dark Web alors qu'au début, le DHS avait affirmé le contraire. Selon une déclaration du bureau de l'inspecteur général du DHS, dans un rapport publié récemment sur l'incident, environ 184 000 images ont été piratées. De plus, le bureau a admis que 19 de ces images ont été publiées sur le Dark Web. La raison de cette faille est due au fait que le service des douanes et de la protection des frontières a insuffisamment assuré la sécurité des données sensibles sur un appareil non crypté.

« Le service de Douanes et de la protection des frontières (CBP) n’a pas correctement protégé les données sensibles sur un appareil non crypté utilisé pendant son projet pilote de technologie de reconnaissance faciale », peut-on lire dans le rapport.

Par conséquent, cela aurait un impact majeur sur la confiance du public vis-à-vis du gouvernement américain. Il pourrait en outre amener les voyageurs à hésiter à permettre au DHS de consulter leurs données biométriques lors des contrôles douaniers.

« Cet incident peut nuire à la confiance du public dans la capacité du gouvernement à sauvegarder les données biométriques et peut entraîner une réticence des voyageurs à autoriser le DHS à saisir et à utiliser leurs données biométriques aux douanes américaines », a encore indiqué le rapport.

Afin de disposer de ces différentes données sur les voyageurs, le CBP fait appel à de nombreuses technologies. En plus de ces dispositifs de reconnaissance faciale, il met également en place des caméras pour obtenir des captures de chaque véhicule et de chaque visage qui traverse la frontière. Les données recueillies sont ensuite traitées des ordinateurs. Ces mesures permettent au gouvernement de suivre les personnes qui franchissent les frontières américaines, notamment dans le cadre de la recherche de criminels et de terroristes présumés.

Conformément au rapport nouvellement publié, la base de données biométrique du DHS « contient le dépôt de données biométriques de plus de 250 millions de personnes et peut traiter plus de 300 000 transactions biométriques par jour. Il s’agit du plus grand dépôt de données biométriques du gouvernement fédéral, et le DHS partage ce dépôt avec le ministère de la Justice et le ministère de la Défense. »

La réalisation d'un projet de numérisation biométrique de cette envergure requiert une somme d'argent colossale, un réseau complexe d'entrepreneurs, mais aussi des sous-traitants. Parmi ces derniers figure donc la société Perceptics, qui est chargée du traitement des images des visages ainsi que des voitures capturées aux postes de péage. La société s'occupe également des caméras d'autoroute et de celles des postes frontières. Ainsi, le rapport du ministère américain de la sécurité intérieure indique que la société Perceptics est à l'origine de la présence de visages et de plaques d'immatriculation sur le Dark Web.

« Un sous-traitant travaillant sur ce projet, Perceptics, a transféré des copies des données biométriques du CBP, telles que les images des voyageurs, à son propre réseau d’entreprise », peut-on lire dans les colonnes du rapport.

En guise d'appui, le Département américain de la sécurité intérieure précise également dans son rapport que la société sous-traitante a consulté les données et que « plus tard en 2019, le DHS a connu un incident majeur en matière de vie privée, le réseau du sous-traitant ayant été soumis à une cyber-attaque malveillante ». La personne responsable de cette attaque est un hacker qui se fait appeler Boris Bullet-Dodger. Alors que le DHS avait initialement nié que les visages et les plaques d'immatriculation des personnes avaient été publiés sur le Dark Web, le département l'admet à présent.

Comme indiqué dans le rapport, un employé de Perceptics a été autorisé à accéder à un site du CBP à Anzalduas, au Texas. En présentant des tickets informatiques, il a demandé au CBP l'autorisation d'entrer afin de procéder à la maintenance des caméras. Lors de la maintenance, une faille de sécurité est survenue durant la période d'août 2018 à janvier 2019. Lorsqu'il est à l'intérieur, l'employé de Perceptics a relié un disque dur externe aux ordinateurs du CBP pour y télécharger les images avant de les transférer sur un serveur de Perceptics. Deux mois plus tard, soit en mai 2019, l’hacker Boris Bullet Dodger a envoyé une demande de rançon à Perceptics.

« Perceptics a reçu une demande de rançon par e-mail d’un hacker du nom de « Boris Bullet Dodger » exigeant 20 bitcoins dans les 72 heures. La demande de rançon indiquait que, sans les bitcoins, les données volées seraient téléchargées sur le Dark Web. Les percepteurs n’ont pas payé la rançon et l’hacker a téléchargé plus de 9 000 fichiers uniques sur le Dark Web », souligne le rapport.

Le CBP est intervenu en apprenant le piratage et de ce fait, il a révoqué les accréditations de Perceptics en lui interdisant notamment de collaborer avec le DHS.

« Toutefois, la suspension a été levée le 26 septembre 2019, laissant Perceptics éligible aux prochains marchés fédéraux. Dans le cadre de la levée de la suspension, le CBP et Perceptics ont conclu un accord afin de corriger les risques identifiés dans l’enquête du CBP sur la violation des données », ajoute le DHS.

À la suite de cet événement, le DHS a présenté une série de recommandations qui visent à « renforcer la sécurité et s’assurer que cela ne se reproduise plus ». Cependant, peu importe la qualité de la sécurité informatique proposée, le problème sous-jacent reste toujours présent dans la mesure où la police des frontières capture des photos de toutes les personnes qui franchissent la frontière et les enregistre sur des machines. Ces dernières risquent toujours de rester vulnérables. L'unique solution pour éviter cela est de renoncer totalement à la collecte et au stockage des données.

Source : DHS

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

USA : le DHS teste un système de reconnaissance faciale aux frontières, pour identifier les voyageurs qui entrent ou sortent des États-Unis
USA : Portland adopte l'interdiction de la reconnaissance faciale la plus stricte à ce jour dans le pays, bannissant l'utilisation publique et privée de la technologie
San Francisco devient la première ville US à interdire l'usage de la reconnaissance faciale, pour des raisons en lien avec les droits de l'Homme
États-Unis : le sénateur Bernie Sanders veut interdire l'utilisation de la reconnaissance faciale par la police
En France, l'IA est utilisée pour identifier les personnes qui ne portent pas de masque dans des lieux publics, déjà expérimentée à Cannes, la technologie entre en phase de test à Paris

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 27/09/2020 à 11:16
Ce qui m’interpelle le plus n'est pas que le support était chiffré ou non, mais que quelqu'un a eu accès à ces fichiers ...il est question de la douane ici, pas d'un simple bureau de développement.
De plus, en parlant d'un "support non crypté" ils pourraient très bien tenter de détourner l'attention sur d'autres détails :
- est-ce un employé de la douane qui a fait fuiter ces fichiers ?
- si la réponse est "non", alors comment cette personne a pu y accéder ? --> par un Wi-Fi avec SSID diffusé et un mot de passe du type "1234" ?
...tout reste possible, et au vu du manque volontaire de détails, je penche pour les scénarios les plus bêtes. ^^'
3  0 
Avatar de tanaka59
Inactif https://www.developpez.com
Le 03/10/2020 à 21:43
Bonsoir,

Qu'en pensez-vous ?
1) Confier 100 % de la gestion d'un département publique d'état (ici les douanes , la police aux frontières et autoroutière ...) est un véritable scandale . C'est l'automatisation à outrance. On a l'impression de revoir les mercenaires priés d'iraq.

2) L'entreprise devrait de facto être fermé

3) Maintenant les personnes victimes qui ont vu leur photos et / ou plaque d'immat siphonnées, je leur souhaite bien du courage en cas d'usurpation documentaire

On prend souvent trop à la légère les histoires de fraudes documentaires . Le jour ou un usurpateur fraude, détourne de l'argent, fait du trafic ou tue quelques la responsabilité de la victime peut être ... charge à la victime de prouver qu'elle n'était pas à tel endroit à tel moment . La fameux don d'ubiquité .

Ce n'est plutot "choquant" , c'est même révoltant et scandaleux ... D'ailleurs je me demande pourquoi les personnes lésées n'intentent pas d'action en justice.
1  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 28/09/2020 à 13:48
ça donne un peu l'impression que personne ne s'est intéressé à la sécurité par conception dans leur affaire.

1) les données sont confiées à des sous-traitants (qui historiquement sont en général ceux qui font fuiter les données vu qu'en général la boîte mère ne gère pas trop la sécurité interne du sous-traitant)

2) les données ne sont probablement pas chiffrées chez la douane (ou peut être chiffrées en dur, mais en clair sur le volume monté, sinon c'est que le sous-traitant a les clés de la douane).

3) on peut connecter des dispositifs physiques non contrôlées à la douane pour siphonner tranquillement les données confidentielles.

4) le sous traitant ne chiffre probablement pas non plus ou mal (car si les données étaient stockées chiffrées et décodées en mémoire par le programme qui en a besoin avec la clé sur un token, ça aurait été plus dur à voler)

ça fait beaucoup de problèmes...
0  0