Des données biométriques de l’armée américaine vendues sur Ebay

Le site de vente en ligne eBay peut parfois laisser en vente des produits un peu surprenants, et surtout confidentiels. Matthias Marx, un chercheur allemand a notamment pu mettre la main sur une mallette contenant des appareils pour enregistrer les empreintes digitales et réaliser des scanners d’iris, le tout pour la modique somme de 68 dollars, après négociation.

En recevant la mallette, Matthias Marx a toutefois réalisé que les appareils reçus contenaient bien plus qu’il n’y paraissait. Dans les cartes mémoires des différents outils, le chercheur a ainsi pu récupérer des noms, photos, empreintes digitales et scanners d’iris de 2632 personnes.

Des données de terroristes et de personnes recherchées

D’après des informations récupérées par le New York Times, la plupart des individus identifiés dans la base de données se sont avérés être des terroristes connus ou des personnes recherchées. D’autres noms de la liste ont été identifiés comme des personnes ayant travaillé pour le gouvernement américain.

L’appareil, nommé Secure Electronic Enrollment Kit (ou SEEK II), aurait été utilisé pour la dernière fois en 2012 en Afghanistan. Difficile toutefois de comprendre par quels moyens l’outil s’est retrouvé sur eBay. Il aurait été vendu par Rhido Trade, une entreprise texane spécialisée dans la vente de surplus de matériel. Le trésorier de l’entreprise a toutefois indiqué au New York Times que ce SEEK II avait été acheté à une vente aux enchères de matériel du gouvernement.

Une chose est sure désormais: la détention de cet appareil par un particulier inquiète le département de la défense américaine.

"Puisque nous n’avons pas examiné les informations contenues dans ces appareils, le département n’est pas en mesure de confirmer l’authenticité des données et de les commenter", a indiqué Patrick S. Ryder, le porte-parole du département de la défense.

Analyser les défauts des appareils

Le porte-parole a aussi invité les détenteurs d’appareil du genre à les restituer au département afin de pouvoir réaliser des analyses plus poussées. Car dans les faits, ce n’est pas un mais six appareils de captures biométriques qui ont été récupérés par Matthias Marx et le Chaos Computer Club, l’une des organisations de hackers les plus influentes d’Europe. Tous les appareils ont d’ailleurs été achetés sur eBay, à moins de 200 dollars chacun.

L’objectif de l’organisation était d’analyser ces appareils pour voir s’ils comportaient des défauts, notamment après la reprise de l’Afghanistan par les Talibans et le départ des troupes américaines et de l’OTAN.

Les différents chercheurs souhaitaient savoir si les talibans avaient pu mettre la main sur ces outils de l’armée américaine et surtout quel niveau de protection ils offraient sur les données, afin d’éviter qu’ils n’aient accès à des informations concernant des locaux ayant travaillé avec les troupes américaines. Les talibans avaient en effet pu récupérer les donnés biométriques de milliers d'afghans avec l'outil HIIDE.

Matthias Marx et ses collègues n'ont pas l'intention de rendre le matériel au département de la défense pour le moment. Ils vont d'abord présenter leurs recherches à un évènement pour hackers à Berlin avant de supprimer toutes les données permettant d'identifier formellement des individus.