27,8 millions de données touchées par une faille de sécurité chez un spécialiste du contrôle d'accès biométrique
Des chercheurs révèlent qu'une base de données mal sécurisée de l'entreprise Suprema a laissé un accès libre à 27,8 millions de données issues de système de contrôle d'accès physique au sein d'une multitude de clients. Elles comportaient notamment des empreintes digitales et des données de reconnaissance faciale.
Julien Bergounhoux
Les chercheurs isréaliens Noam Rotem et Ran Locar, assistés par le site web vpnmentor, ont révélé le 14 août 2019 la découverte d'une faille de sécurité impactant une base de données biométriques dédiée au contrôle d'accès dans les entreprises. Les données de plusieurs millions d'utilisateurs à travers le monde seraient concernées. Ils ont trouvé cette faille en scannant tout simplement des ports ouverts dans les réseaux d'entreprises. Ils sont tombés ce faisant sur une base de données de Biostar 2 dont l'accès n'était pas sécurisé et ont pu en obtenir des données.
Le butin : 27,8 millions de données, incluant des empreintes digitales, des données de reconnaissance faciale, des photos d'identité, des noms d'utilisateur et mots de passe non-chiffrés (y compris pour des comptes administrateurs), des registres détaillant les accès à certains établissements, et enfin d'autres informations personnelles sur les employés des entreprises clientes. Les chercheurs sont aussi parvenus à modifier les données et à ajouter de nouveaux utilisateurs dans le système, compromettant gravement sa sécurité.
Une faille chez un grand acteur du contrôle d'accès physique
La base de données en question appartient à la société sud-coréenne Suprema. Cette dernière se présente comme étant le leader de l'identification biométrique en parts de marché pour la région Europe, Moyen-Orient et Afrique (EMEA). Suprema édite Biostar 2, un système de contrôle d'accès pour les bâtiments basé sur des applications web et reposant sur des données biométriques (empreintes digitales et reconnaissance faciale) pour l'identification des visiteurs. Suprema a annoncé le mois dernier que Biostar 2 serait désormais intégré à la solution de contrôle d'accès AEOS de Nedap, un spécialiste de la sécurité basé aux Pays-Bas.
D'après Nedap, AEOS est utilisé par plus de 5700 entreprises opérant dans 83 pays. Cela inclut des bureaux gouvernementaux, des hôpitaux, aéroports, écoles, sites industriels ou des lieux publics. Selon The Guardian, cette faille concerne notamment plusieurs banques du Royaume-Uni, des forces de police du Grand Londres et de certains sous-traitants travaillant pour le ministère de la Défense britannique. Les cherchent mentionnent de leur côté des établissements touchés aux Etats-Unis, en Allemagne, en Finlande, au Japon et en Belgique, mais pas en France.
La gestion des données biométriques est un sujet très sensible
Les chercheurs indiquent avoir eu des difficultés à obtenir une réponse de la part de Suprema lorsqu'ils ont contacté l'entreprise, mais que la faille a été résolue le 13 août. Cette faille est un rappel de l'importance d'auditer ses sous-traitants, car une vulnérabilité en un point de la supply chain peut se traduire par une compromission majeure du client finale.
Elle remet aussi les risques liés à l'utilisation irraisonnée de données biométriques. "Au lieu de n'enregistrer qu'un identifiant unique généré à partir des empreintes digitales, ils enregistrent les empreintes elles-mêmes," se lamentent les chercheurs à propos de Suprema. Or l'un des points noirs de l'authentification biométrique est le fait que ni les empreintes digitales, ni la forme du visage ne peuvent être modifiées, et qu'une fois que ces données sont dans la nature, il n'est pas possible de se les réapproprier.
SUR LE MÊME SUJET
27,8 millions de données touchées par une faille de sécurité chez un spécialiste du contrôle d'accès biométrique
Tous les champs sont obligatoires
0Commentaire
Réagir