Une faille de sécurité a exposé le code source de l'outil de reconnaissance faciale Clearview AI
Une société de cybersécurité affirme qu’un serveur de Clearview AI a été publiquement exposé et aurait temporairement rendu public le code source associé à sa technologie de reconnaissance faciale. Une situation qui inquiète puisque la base de données de la start-up, qui contiendrait plusieurs milliards de photos d’utilisateurs des réseaux sociaux, pourrait être mise à profit par des individus malintentionnés.
Les ennuis se poursuivent pour Clearview AI. Après avoir été accusée de se livrer à une collecte de photos d’utilisateurs des réseaux sociaux pour nourrir son système de reconnaissance faciale, la start-up new-yorkaise a vu son code source et certaines de ses clés privées être étalés sur la place publique suite à une faille de sécurité. TechCrunch explique ce vendredi 17 avril 2020 que le cabinet SpiderSilk a remarqué qu’un des serveurs de la firme était exposé – sa configuration permettait à tout un chacun de s’enregistrer.
UNE BASE DE DONNÉES DANGEREUSE
Le fait que ces informations aient été rendues accessibles à tous pose un risque majeur. Forte de milliards d’images, la base de données de Clearview AI permet de reconnaître un très grand nombre de personnes à partir d’une seule photographie. La jeune pousse n’a eu de cesse de répéter que son logiciel n’est accessible que par les autorités. Pour autant, de nombreuses organisations et entreprises y auraient déjà eu recours comme le rapportait L’Usine Digitale en février. Le fait que le code source de cette technologie est fuité inquiète, car cette dernière pourrait tomber entre de mauvaises mains.
Selon nos confrères de TechCrunch, le serveur exposé contenait, au-delà du code source qui est associé à la base de données de la société, de multiples copies de son application pour les appareils qui tournent sous les systèmes d'exploitation Windows, MacOS, Android et iOS. SpiderSilk a ainsi fait des captures d’écran de cette dernière, récemment retirées de l’AppStore après avoir violé les conditions d’utilisation imposées par Apple. Le cabinet spécialiste de la cybersécurité a, par ailleurs, repéré les jetons d’authentification associés à Clearview AI sur la plate-forme de collaboration Slack – ce qui lui aurait techniquement permis de consulter les échanges internes s’il avait souhaité le faire.
CLEARVIEW AI MÈNE UN AUDIT EN INTERNE
Quelque 70 000 vidéos filmées dans un bâtiment résidentiel – qui se situerait à Manhattan (New York), mais qui n’a pas pu être formellement identifié à cette heure – étaient également stockées sur le cloud de la start-up. Interrogé par TechCrunch à leur sujet, le fondateur de Clearview AI a assuré que celles-ci "ont été tournées avec l’autorisation explicite du gestionnaire des lieux dans le cadre du prototypage d’une caméra de surveillance". Par ailleurs, Hoan Ton-That a aussi jugé que la brèche de sécurité dont sa société vient de faire les frais n’a "exposé aucune donnée biométrique ou personnelle que ce soit" et indiqué qu’un "audit complet est en cours" pour en déterminer l’origine en interne.
Pour rappel, une enquête a été ouverte par le procureur général de l'Etat américain du Vermont pour déterminer si Clearview AI a violé certaines règles en matière de protection des données. Les réseaux sociaux sur lesquels la jeune pousse collectait vraisemblablement des photos d’utilisateurs – Facebook, Twitter et YouTube, notamment – l’ont enjointe à mettre un terme à ces pratiques.
SUR LE MÊME SUJET
Une faille de sécurité a exposé le code source de l'outil de reconnaissance faciale Clearview AI
Tous les champs sont obligatoires
0Commentaire
Réagir