in

Les Etats-Unis admettent que les photos de reconnaissance faciale des voyageurs ont été piratées et publiées sur le Dark Web

Les Etats-Unis admettent que les photos de reconnaissance faciale des voyageurs ont été piratées et publiées sur le Dark Web

Les visages des voyageurs, les plaques d’immatriculation et les informations sur les soins ont été piratés par un sous-traitant appelé Perceptics et diffusés sur le Dark Web.

Le ministère de la sécurité intérieure américaine (DHS) a finalement reconnu mercredi que des photos faisant partie d’un programme pilote de reconnaissance faciale avaient été piratées par un sous-traitant des douanes et du contrôle des frontières et avaient fait l’objet d’une fuite sur le Dark Web l’année dernière.

Parmi les données, qui ont été collectées par une société appelée Perceptics, figuraient de nombreux visages de voyageurs, des plaques d’immatriculation et des informations sanitaires. Ces informations ont fait leur chemin jusqu’au Dark Web, bien que le DHS affirme que ce n’est pas le cas. Dans un rapport récemment publié sur l’incident, le bureau de l’inspecteur général du DHS a admis que 184 000 images avaient été volées et qu’au moins 19 d’entre elles avaient été publiées sur le Dark Web.

« Le service de Douanes et protection des frontières (CBP) n’a pas correctement protégé les données sensibles sur un appareil non crypté utilisé pendant son projet pilote de technologie de reconnaissance faciale », selon le rapport.

« Cet incident peut nuire à la confiance du public dans la capacité du gouvernement à sauvegarder les données biométriques et peut entraîner une réticence des voyageurs à autoriser le DHS à saisir et à utiliser leurs données biométriques aux douanes américaines ».

Le CBP utilise beaucoup de technologies pour identifier et suivre les personnes qui traversent les frontières américaines. Des caméras capturent chaque voiture et chaque visage qui franchit la frontière et des ordinateurs collectent ces données et les traitent, à la recherche de criminels et de terroristes présumés. Selon le nouveau rapport, la base de données biométriques du DHS « contient le dépôt de données biométriques de plus de 250 millions de personnes et peut traiter plus de 300 000 transactions biométriques par jour. Il s’agit du plus grand dépôt de données biométriques du gouvernement fédéral, et le DHS partage ce dépôt avec le ministère de la justice et le ministère de la défense ».

Un projet de numérisation biométrique de cette taille coûte beaucoup d’argent et nécessite un réseau complexe d’entrepreneurs et de sous-traitants. L’un de ces contractants était Perceptics, une société qui traite les images de visages et de voitures capturées aux postes de péage, aux caméras d’autoroute et aux postes frontières. Selon le rapport du DHS, Perceptics est responsable du fait que les visages et les plaques d’immatriculation des personnes se retrouvent sur le Dark Web.

« Un sous-traitant travaillant sur ce projet, Perceptics, LLC, a transféré des copies des données biométriques du CBP, telles que les images des voyageurs, à son propre réseau d’entreprise », selon le rapport.

Le rapport du DHS affirme que Perceptics a accédé à ces données et que « plus tard en 2019, le DHS a connu un incident majeur en matière de vie privée, le réseau du sous-traitant ayant été soumis à une cyber-attaque malveillante » par un pirate informatique connu sous le nom de Boris Bullet-Dodger. À l’époque, le DHS a nié que les visages et les plaques d’immatriculation des personnes avaient fini sur le Dark Web.

Mais ce fut le cas. Selon le rapport, un employé de Perceptics a eu accès à un site du CBP à Anzalduas, TX, en soumettant des tickets informatiques demandant au CBP de les laisser entrer pour effectuer la maintenance des caméras. La brèche s’est produite entre août 2018 et janvier 2019. Une fois à l’intérieur, l’employé de Perceptics a branché un disque dur externe aux ordinateurs du CBP et a téléchargé les images, puis les a chargées sur un serveur de Perceptics.

En mai 2019, Perceptics a reçu une demande de rançon de Boris Bullet Dodger. Perceptics a reçu une demande de rançon par e-mail d’un hacker du nom de « Boris Bullet Dodger » exigeant 20 bitcoin dans les 72 heures », selon le rapport.

« La demande de rançon indiquait que, sans les bitcoins, les données volées seraient téléchargées sur le web noir. Les percepteurs n’ont pas payé la rançon et le hacker a téléchargé plus de 9000 fichiers uniques sur le dark web ».

Après avoir appris l’existence du piratage, le CBP a retiré les accréditations de Perceptics et lui a interdit de travailler avec le DHS.

« Toutefois, la suspension a été levée le 26 septembre 2019, laissant Perceptics éligible aux prochains marchés fédéraux », selon le rapport.

« Dans le cadre de la levée de la suspension, le CBP et Perceptics ont conclu un accord afin de corriger les risques identifiés dans l’enquête du CBP sur la violation des données ».

L’OIG du DHS a fait plusieurs recommandations dans son rapport qui se résument toutes à « renforcer la sécurité et s’assurer que cela ne se reproduise plus ». Mais le problème sous-jacent restera entier, quelle que soit la qualité de la sécurité informatique : tant que la police des frontières prendra des photos de toutes les personnes qui traversent la frontière et les stockera sur des machines, ces machines seront vulnérables. La seule façon de s’assurer que cela ne se reproduira plus jamais est de ne pas collecter et stocker les données du tout.

  • Traduction de l’article de Vice.com en anglais

LIRE AUSSI : Etats-Unis : une start-up pour faciliter l’expulsion des locataires

LIRE AUSSI : Facebook accusé d’espionner les utilisateurs d’Instagram avec la caméra de leur téléphone

La Cour suprême espagnole requalifie les livreurs à vélo en salariés

Etude américaine : 4 fois plus de risques d’être infecté du Covid-19 en fréquentant des bars