Proposée à la vente sur eBay pour 68 $ : une base de données conçue par l'armée américaine

Comportant empreintes digitales, scanner d'iris, noms et photos de personnes et conservée sans chiffrement

Proposée à la vente sur eBay pour 68 $ : une base de données conçue par l'armée américaine,
comportant empreintes digitales, scanner d'iris, noms et photos de personnes, conservées sans chiffrement

L'appareil en forme de boîte à chaussures, conçu pour capturer les empreintes digitales et effectuer des scans d'iris, a été mis en vente sur eBay pour 149,95 $. Un chercheur allemand en sécurité, Matthias Marx, a proposé avec succès 68 $, et lorsqu'il est arrivé chez lui à Hambourg en août, la machine portable robuste contenait plus que ce qui était promis dans la liste.

La carte mémoire de l'appareil contenait les noms, nationalités, photographies, empreintes digitales et scans de l'iris de 2 632 personnes.

La plupart des personnes figurant dans la base de données venaient d'Afghanistan et d'Irak. Beaucoup étaient des terroristes connus et des personnes recherchées, mais d'autres semblaient être des personnes qui avaient travaillé avec le gouvernement américain ou qui avaient simplement été arrêtées à des points de contrôle. Les métadonnées sur l'appareil, appelées Secure Electronic Enrollment Kit, ou SEEK II, ont révélé qu'il avait été utilisé pour la dernière fois à l'été 2012 près de Kandahar, en Afghanistan.

L'appareil, une relique du vaste système de collecte biométrique que le Pentagone a construit dans les années qui ont suivi les attentats du 11 septembre 2001, est un rappel physique que bien que les États-Unis aient abandonné les guerres en Afghanistan et en Irak, les outils construits pour les combattre et les informations qu'ils détenaient vivent d'une manière non intentionnelle par leurs créateurs.

On ne sait pas exactement comment l'appareil a fini par passer des champs de bataille en Asie à un site d'enchères en ligne. Mais les données, qui offrent des descriptions détaillées des individus en plus de leur photographie et de leurs données biométriques, pourraient suffire à cibler des personnes qui étaient auparavant inconnues pour avoir travaillé avec les forces militaires américaines si les informations tombaient entre de mauvaises mains.

Pour ces raisons, Marx n'a pas voulu mettre les informations en ligne ni les partager sous un format électronique, mais il a permis à un journaliste du Times en Allemagne de voir les données en personne à ses côtés.

La réaction du ministère de la Défense

« Parce que nous n'avons pas examiné les informations contenues sur les appareils, le département n'est pas en mesure de confirmer l'authenticité des données présumées ou de les commenter autrement », a déclaré le brigadier général Patrick S. Ryder, attaché de presse du ministère de la Défense, dans un communiqué. « Le département demande que tout appareil susceptible de contenir des informations personnellement identifiables soit renvoyé pour une analyse plus approfondie ».

Il a fourni une adresse au responsable du programme biométrique de l'armée à Fort Belvoir en Virginie, où les appareils pourraient être envoyés.

Les données biométriques du SEEK II ont été recueillies dans des centres de détention, lors de patrouilles, lors de dépistages d'embauches locales et après l'explosion d'une bombe improvisée. À peu près au moment où l'appareil a été utilisé pour la dernière fois en Afghanistan, l'effort de guerre américain s'amenuise. Oussama ben Laden avait été tué au Pakistan un an plus tôt (son identité aurait été confirmée grâce à la technologie de reconnaissance faciale).

L'une des principales préoccupations des chefs militaires à l'époque était une série de fusillades au cours desquelles des soldats et des policiers afghans ont braqué leurs armes sur les troupes américaines. Ils espéraient que le programme d'inscription biométrique aiderait à identifier d'éventuels agents talibans à l'intérieur de leurs propres bases.


Le groupe de chercheurs voulait comprendre si les talibans auraient pu obtenir des données biométriques sur les personnes qui avaient aidé les États-Unis à partir des appareils

Un « guide du commandant sur la biométrie en Afghanistan » de 2011 décrit les scans du visage, des empreintes digitales et de l'iris comme une « capacité de champ de bataille relativement nouvelle » mais « décisive » qui « identifie efficacement les insurgés, vérifie les ressortissants locaux et de pays tiers accédant à nos bases et installations, et relie les gens aux événements ».

Le SEEK II a un petit écran, un clavier physique miniature et un tapis de souris presque comique. Un lecteur d'empreintes digitales est protégé par un couvercle en plastique à charnière au bas de l'appareil. Comme un ancien appareil photo Polaroid, la machine se déplie pour permettre des balayages d'iris et pour prendre des photos. Marx a utilisé le SEEK II sur lui-même ; lorsqu'il l'a éteint, un message est apparu, demandant de se connecter à un serveur du Commandement des opérations spéciales des États-Unis pour télécharger (upload) les nouvelles « données biométriques collectées ».

Au cours de l'année écoulée, Marx et un petit groupe de chercheurs du Chaos Computer Club, une association européenne de hackers, ont acheté six dispositifs de capture biométrique sur eBay, la plupart pour moins de 200 euros, prévoyant de les analyser pour trouver d'éventuelles vulnérabilités ou défauts de conceptions. Ils étaient motivés par les inquiétudes exprimées l'année dernière selon lesquelles les talibans auraient saisi de tels appareils après l'évacuation américaine d'Afghanistan. Le groupe de chercheurs voulait comprendre si les talibans auraient pu obtenir des données biométriques sur les personnes qui avaient aidé les États-Unis à partir des appareils, les mettant en danger.

Trouver autant d'informations non chiffrées et facilement accessibles les a choqués

« C'était troublant qu'ils n'aient même pas essayé de protéger les données », a déclaré Marx, faisant référence à l'armée américaine. « Ils ne se souciaient pas du risque, ou ils l'ignoraient ».

Stewart Baker, un avocat de Washington et ancien responsable de la sécurité nationale, a déclaré que la numérisation biométrique était un outil précieux dans les zones de guerre, mais que les données collectées devaient être contrôlées. Il a prédit que la violation de données « mettrait beaucoup de gens qui ont aidé les États-Unis et qui sont toujours en Afghanistan vraiment mal à l'aise ».

« Cela n'aurait pas dû arriver », a déclaré Baker. « C'est un désastre pour les personnes dont les données sont exposées. Dans le pire des cas, les conséquences pourraient être fatales ».

Sur les six appareils que les chercheurs ont achetés sur eBay (quatre SEEK et deux HIIDE, pour Handheld Interagency Identity Detection Equipment) deux des appareils SEEK II contenaient des données sensibles. Le deuxième SEEK II, avec des métadonnées de localisation montrant qu'il a été utilisé pour la dernière fois en Jordanie en 2013, semblait contenir les empreintes digitales et les scans de l'iris d'un petit groupe de membres des services américains.

Lorsqu'il a été contacté par le Times, un Américain dont le scan biométrique a été trouvé sur l'appareil a confirmé que les données étaient probablement les siennes. Il était auparavant spécialiste du renseignement des Marines et a déclaré que ses données, et celles de tout autre Américain trouvé sur ces appareils, avaient très probablement été collectées lors d'un cours de formation militaire. L'homme, qui s'exprimait sous le couvert de l'anonymat, car il travaille toujours dans le domaine du renseignement et n'était pas autorisé à s'exprimer publiquement, a demandé que son dossier biométrique soit...