Les faits
- Exposition des informations d’identification : AU10TIX a laissé des informations d’identification administratives accessibles pendant plus d’un an. Cela signifie que des pirates auraient pu accéder aux documents d’identité des utilisateurs, tels que les permis de conduire.
- Clients concernés : Parmi les clients d’AU10TIX figurent des géants de la technologie tels que TikTok, X et Uber.
- Données exposées : Les informations accessibles comprenaient les noms, dates de naissance, nationalités, numéros d’identification et images des visages des utilisateurs.
- Risque d’usurpation d’identité : Ces données sont suffisantes pour mener des attaques d’usurpation d’identité ou de phishing.
- Marché noir : De telles données sont également très prisées sur le marché noir, où elles peuvent être utilisées à des fins illégales.
- Réaction d’AU10TIX : L’entreprise a informé les clients concernés et prévoit de remplacer son système d’exploitation actuel par un nouveau, axé sur la sécurité.
Quand une société proposant des « solutions complètes de vérification d'identité » se fait pirater...
Une société qui vérifie l'identité des utilisateurs de TikTok, Uber et X, parfois en traitant des photos de leurs visages et de leurs permis de conduire, a exposé un ensemble d'identifiants administratifs en ligne pendant plus d'un an, permettant potentiellement à des pirates d'accéder à ces données sensibles, selon des captures d'écran et des données obtenues par les médias.
La société basée en Israël, appelée AU10TIX, propose ce qu'elle décrit sur son site web comme des « solutions complètes de vérification d'identité ». Il s'agit notamment de vérifier les documents d'identité des personnes, de procéder à une « détection de la vivacité » dans un flux vidéo en temps réel avec l'utilisateur et de procéder à une vérification de l'âge, où un service prédit l'âge d'une personne sur la base de la photo qu'elle a téléchargée. AU10TIX inclut également les logos d'autres entreprises sur son site, telles que Fiverr, PayPal, Coinbase, LinkedIn et Upwork, dont certaines ont confirmé à 404 Media qu'elles étaient des clients actifs ou anciens d'AU10TIX.
Cette nouvelle intervient alors que de plus en plus de réseaux sociaux et de sites pornographiques s'orientent vers un modèle de vérification de l'identité ou de l'âge, dans lequel les utilisateurs doivent télécharger leurs véritables documents d'identité pour accéder à certains services. Cette brèche montre que les services d'identité pourraient eux-mêmes devenir une cible pour les pirates informatiques. Le chercheur en cybersécurité n'a pas diffusé les données, se contentant de fournir des captures d'écran et quelques données aux médias à des fins de vérification.
« Mon interprétation personnelle de cette situation est qu'un fournisseur de services de vérification d'identité s'est vu confier les identités de personnes et qu'il n'a pas mis en œuvre des mesures simples pour protéger les identités des personnes et les documents d'identité sensibles », a déclaré Mossab Hussein, responsable de la sécurité au sein de la société de cybersécurité spiderSilk, qui a alerté les médias au sujet des informations d'identification exposées.
L'ensemble des identifiants permettait d'accéder à une plateforme d'enregistrement, qui contenait à son tour des liens vers des données relatives à des personnes spécifiques qui avaient téléchargé leurs documents d'identité, a montré Mossab Hussein. Les informations accessibles comprennent le nom de la personne, sa date de naissance, sa nationalité, son numéro d'identification et le type de document téléchargé, par exemple un permis de conduire. Un lien ultérieur inclut ensuite une image du document d'identité lui-même ; certains de ces documents sont des permis de conduire américains.
Les données semblent également inclure les résultats du processus de vérification d'AU10TIX, avec un champ "authenticité" indiquant "vrai" ; la "probabilité" de cette conclusion sur une échelle de 0 à 1, avec un résultat potentiel de 0,9486029 ; et d'autres champs appelés "DocumentAuthenticity" et "OverallQuality". D'autres résultats semblent liés à la comparaison par AU10TIX d'une photo du visage de la personne avec son document téléchargé, une autre section faisant référence à une photo appelée "PhotoForFaceComparison.jpg".
Une autre capture d'écran de l'outil montre un graphique linéaire dont l'un des axes est intitulé "nom de l'organisation cliente". Cet axe comprend "TikTok_Shop_Creator", "Impersonation_XCorp" et "uber-carshare-passport", des références apparentes aux trois géants de la technologie.
Plusieurs structures sont concernées
En septembre, X a déclaré qu'elle s'associait à AU10TIX pour la vérification des comptes basée sur l'identité gouvernementale du réseau social. En 2020, AU10TIX a publié un communiqué de presse indiquant qu'elle travaillait avec Uber.
Les informations d'identification semblent avoir été recueillies par un logiciel malveillant en décembre 2022 et publiées pour la première fois sur un canal Telegram en mars 2023, selon les horodatages et les messages du canal Telegram qui a publié les informations d'identification en ligne. En téléchargeant ces informations d'identification, il a été constaté que le nom correspondait à celui d'une personne dont le rôle sur LinkedIn est celui d'un gestionnaire de centre d'opérations réseau chez AU10TIX. Le fichier contenait une multitude de mots de passe et de jetons d'authentification pour divers services utilisés par l'employé, y compris des outils de Salesforce et Okta, ainsi que le service de journalisation lui-même.
Ces flux d'informations d'identification volées à partir de logiciels malveillants de type "infostealer"
La société de cybersécurité Mandiant a publié au début du mois un rapport indiquant que des pirates ont utilisé des informations d'identification pour Snowflake, un outil d'entreposage de données, pour cibler ensuite plusieurs organisations. Mandiant a déclaré avoir trouvé des centaines d'identifiants de clients Snowflake exposés par des voleurs d'informations depuis 2020.
Le fait que ces informations d'identification soient librement accessibles sur Telegram abaisse considérablement la barrière à l'entrée pour les pirates qui souhaitent pénétrer dans les organisations. Plutôt que de passer par le processus laborieux d'installation de logiciels malveillants sur une cible, comme l'ordinateur portable d'un employé, ils peuvent simplement se greffer sur quelqu'un d'autre qui a déjà fait ce travail. Ces pirates secondaires prennent les identifiants, se connectent et, s'ils réussissent, volent des données ou tentent d'extorquer la victime.
« Je pense que les acteurs de la menace sont devenus plus agressifs en ciblant les organisations de tous types simplement parce que les informations d'identification volées (provenant d'infections par des logiciels malveillants) sont probablement devenues le chemin le plus facile vers les joyaux de la couronne et les ensembles de données les plus sensibles d'une organisation. En tant qu'acteur de la menace, il vous suffit d'entrer par la porte principale », a déclaré M. Hussein.
Conséquences et réflexions
- Sécurité vs vie privée : Cette faille soulève des questions sur l’équilibre entre la nécessité de vérifier l’identité des utilisateurs et la protection de leurs données personnelles. Les entreprises doivent trouver un juste milieu.
- Transparence : Les entreprises devraient-elles être plus transparentes sur leurs pratiques de vérification d’identité ? Comment pourraient-elles améliorer la communication avec leurs utilisateurs à ce sujet ?
- Alternatives : Existe-t-il des alternatives plus sûres à la vérification d’identité actuelle ? Quelles innovations pourraient améliorer ce processus tout en protégeant les données des utilisateurs ?
Conclusion
Les services de vérification d’identité sont essentiels, mais leur sécurité doit être une priorité absolue. Les entreprises doivent mettre en place des mesures robustes pour protéger les données sensibles de leurs utilisateurs. En même temps, elles doivent être transparentes et responsables dans leur approche.
Sources : Au10Tix, annonce du partenariat avec Uber, Mandiant
Et vous ?
Quelle est votre opinion sur l’utilisation de services de vérification d’identité par des entreprises comme TikTok, Uber et X ? Pensez-vous que cela renforce la sécurité ou que cela pose des risques pour la vie privée ?
Comment les entreprises devraient-elles équilibrer la nécessité de vérifier l’identité des utilisateurs avec la protection de leurs données personnelles ? Quelles mesures devraient-elles prendre pour garantir la sécurité tout en respectant la vie privée ?
Quelles sont les conséquences potentielles d’une faille de sécurité dans un service de vérification d’identité ? Comment cela pourrait-il affecter les utilisateurs et les entreprises ?
Pensez-vous que les entreprises devraient être plus transparentes sur leurs pratiques de vérification d’identité ? Comment pourraient-elles améliorer la communication avec leurs utilisateurs à ce sujet ?
Existe-t-il des alternatives plus sûres à la vérification d’identité actuelle ? Quelles innovations pourraient améliorer ce processus tout en protégeant les données des utilisateurs ?