Biometrie-online.net | Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Voix - Réseau veineux - Signature dynamique - Frappe au clavier ...
Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Réseau veineux - Analyse comportementale - Voix - Signature dynamique - Frappe au clavier - Démarche ...
Détails

Fuite de données biometriques

Des chercheurs en cybersécurité ont découvert la présence en ligne d’une base de données biométriques non protégée contenant des informations personnelles critiques comme les empreintes digitales de plus d’un million de personnes et des informations relatives à la reconnaissance faciale d’individus. Une base de données biométriques alimentée par plus de 5 700 entreprises.

allbiometrics 6

Le système biométrique Biostar 2, appartenant à la compagnie Suprema, utilise des données biométriques comme les empreintes digitales et la reconnaissance faciale pour contrôler l’accès aux bâtiments de ses clients, dont font partie des gouvernements, des banques et même la police de Londres.

Malgré la sensibilité des informations contenues dans cette base de données, deux chercheurs israéliens en cybersécurité, Noam Rotem et Ran Locar, ont découvert qu’elle n’était pas protégée et très faiblement cryptée, rapporte jeudi le quotidien britannique The Guardian.

Cette base de données étant ainsi accessible à tout le monde, des mots de passe non cryptés, des données de reconnaissance faciale et plus d’un million d’empreintes digitales ont pu être consultés et modifiés.

Au total, les deux chercheurs ont eu accès à 23 giga-octets d’informations critiques, dont les panneaux administrateurs, des données d’empreintes digitales et de reconnaissance faciale, des mots de passe et noms d’utilisateurs non cryptés, des informations personnelles sur les employés ou encore des informations relatives au niveau de sécurité des clients.

L’un des chercheurs a expliqué au journal « The Guardian » qu’il pouvait, grâce à cette faille, modifier des données et ajouter de nouveaux utilisateurs. Il lui était donc possible d’ajouter ses propres empreintes digitales pour accéder aux bâtiments de son choix. Le système est effectivement utilisé dans 1,5 million de bâtiments à travers le monde. La vulnérabilité a depuis été corrigée.

Le chercheur s’inquiète de cette brèche de sécurité en raison de l’étendue des clients de la base de données, qui est utilisée dans plus de 1,5 million d’établissements à travers le monde. Il ajoute que contrairement à des mots de passe, il est impossible de modifier une empreinte digitale.

«Plutôt que d’enregistrer un “hash” de l’empreinte (impossible à retracer), ils enregistrent les véritables empreintes des gens qui peuvent être copiées à des fins malicieuses», note le chercheur.

Après avoir tenté de faire part de leur découverte à la compagnie Suprema – sans succès –, les chercheurs ont remis leurs découvertes au quotidien The Guardian dans l’espoir de faire changer les choses. Mercredi, la brèche de sécurité avait été colmatée, sans qu’aucun contact n’ait été fait avec les experts.

La compagnie a indiqué au Guardian qu’après avoir étudié en profondeur les résultats des recherches, elle allait agir dans les plus brefs délais et informer les clients si leurs renseignements ont été compromis.

27,8 millions de données, incluant des empreintes digitales, des données de reconnaissance faciale, des photos d'identité, des noms d'utilisateur et mots de passe non-chiffrés (y compris pour des comptes administrateurs), des registres détaillant les accès à certains établissements, et enfin d'autres informations personnelles sur les employés des entreprises clientes.

La base de données en question appartient à la société sud-coréenne Suprema. Cette dernière se présente comme étant le leader de l'identification biométrique en parts de marché pour la région Europe, Moyen-Orient et Afrique (EMEA). Suprema édite Biostar 2, un système de contrôle d'accès pour les bâtiments basé sur des applications web et reposant sur des données biométriques (empreintes digitales et reconnaissance faciale) pour l'identification des visiteurs. Suprema a annoncé le mois dernier que Biostar 2 serait désormais intégré à la solution de contrôle d'accès AEOS de Nedap, un spécialiste de la sécurité basé aux Pays-Bas.

D'après Nedap, AEOS est utilisé par plus de 5700 entreprises opérant dans 83 pays. Cela inclut des bureaux gouvernementaux, des hôpitaux, aéroports, écoles, sites industriels ou des lieux publics. Selon The Guardian, cette faille concerne notamment plusieurs banques du Royaume-Uni, des forces de police du Grand Londres et de certains sous-traitants travaillant pour le ministère de la Défense britannique. Les cherchent mentionnent de leur côté des établissements touchés aux Etats-Unis, en Allemagne, en Finlande, au Japon et en Belgique, mais pas en France

L'histoire se répète

En 2015, des pirates ont réussi à s'introduire dans les fichiers de l'OPM (Office of personal management), l'organisme en charge des fonctionnaires aux Etats-Unis, dérobant des informations (dont les numéros de sécurité sociale) d'un total de 21,5 millions d'Américains. Pis, ils ont aussi volé les dossiers contenant les empreintes digitales de 5,6 millions de personnes, dont des employés du Pentagone, du FBI ou de la NSA.

Sources : https://www.tvanouvelles.cahttps://www.presse-citron.nethttps://www.theguardian.com - https://www.usine-digitale.fr