Des appareils biométriques vendus sur eBay contenaient des données sensibles permettant d'identifier des individus ayant aidé l'armée américaine.

Des chercheurs allemands qui avaient acheté des appareils de capture biométrique sur eBay ont découvert des données sensibles de l’armée américaine sur leurs cartes mémoire. Selon The New York Times, on trouvait notamment des empreintes digitales, des scanners d’iris, des photographies, noms et descriptions de nombreux individus, principalement en Irak et en Afghanistan. La plupart d’entre eux ont travaillé avec l’armée des États-Unis et pourraient être pris pour cible si ces données, et donc ces appareils, devaient tomber entre de mauvaises mains.

Le Chaos Computer Club, dirigé par Matthias Marx, avait acheté six de ces appareils sur eBay, la plupart pour moins de 200 $. Ceux-ci s’intéressaient à un rapport de 2021 de The Intercept qui expliquait que des Talibans avaient mis la main sur des appareils américains similaires. Les chercheurs voulaient voir si ceux-ci contenaient des données permettant d’identifier les personnes qui ont aidé l’armée américaine.

Les scientifiques ont été “choqués” de leur découverte. Sur la carte mémoire d’un des appareils, les noms, nationalités, photos, empreintes digitales et scans d’iris de 2 632 personnes. D’autres métadonnées montraient qu’ils avaient utilisés près de Kandahar, en Afghanistan, à l’été 2012. Un autre appareil a, quant à lui, été utilisé en 2013 et contenait des empreintes digitales et scans d’iris d’un petit nombre de soldats américains.

De tels appareils ont été utilisés pour identifier des insurgés, vérifier des identités dans les bases de données américaines et lier des personnes à des événements, selon un guide de 2011 sur les appareils. “C’est perturbant [que l’armée américaine] n’ait même pas essayé de protéger les données”, déclarait Matthias Marx à The New York Times. “Ils ne se préoccupaient pas du risque, ou ils ont ignoré le risque.”

Un appareil a été acheté à une vente aux enchères militaire et le vendeur déclarait de ne pas être au courant qu’il contenait des données sensibles. Ces dernières étaient stockées sur une carte mémoire, l’armée aurait donc pu facilement éliminer tout risque en enlevant et/ou détruisant les cartes avant de les vendre.

“Nous n’avons pas pu voir les informations contenus sur ces appareils, le Département n’est donc pas en mesure de confirmer l’authenticité des données ou de faire le moindre commentaire à ce sujet”, déclarait au Times le secrétaire du Département de la Défense, Brig. Gen. Patrick S. Ryder. “Le Département demande à ce que chaque appareil soupçonné de contenir des données identifiables soit retourné pour davantage d’analyses.”

Étant donné la nature très sensible des informations, le groupe prévoit de supprimer toutes les données identifiables trouvées sur les appareils. Un autre chercheur précisait que les individus présents sur ces appareils ne sauraient être en sécurité, même s’ils changeaient d’identité, et ils devraient recevoir asile du gouvernement américain.