Posté le juin 18, 2019 à 16:48
UNE FUITE DE DONNÉES DE LA CBP INONDE LE DARK WEB AVEC DES NUMÉROS DE PLAQUE D’IMMATRICULATION
Une entreprise recrutée par la CBP (service des douanes et de la protection des frontières des États-Unis) a été piratée et certaines des données détenues par la société ont été retrouvées sur le dark web. La situation a provoqué un vacarme au sein du personnel du CBP car l’entreprise n’était même pas autorisée à conserver les informations selon la CBP.
Un porte-parole du CBP a déclaré que la «CBP n’autorise pas les contractant à détenir des données de plaques d’immatriculation sur des systèmes qui n’appartient pas à la CBP», ce qui montre que cette agence, au moins de son côté, adopte une approche très prudente de la sécurité informatique. C’est quelque chose qui mérite d’être applaudi de nos jours, mais l’entreprise, appelée Perceptics, n’a pas tenu compte de la directive et a choisi de stocker les informations sans autorisation.
Les libertés civiles au cœur du problème
Bien qu’il faille se réjouir que la CBP n’autorise pas officiellement les sous-traitants à conserver des informations sur des systèmes qui ne sont pas propres à la CBP, mais il reste à savoir qui est chargé de choisir les sous-traitants qui ont surveillé les citoyens américains et ce qui arrive à ces personnes lorsque les données sont mal manipulées.
Neemah Singh Guliani, conseiller législatif principal à l’ACLU (American Civil Liberties Union) avait beaucoup à ajouter à la colère entourant la fuite des plaques d’immatriculation sur le dark web. Elle a déclaré que «la CBP continue de chercher à recueillir davantage d’informations du point de vue de la vie privée et des libertés civiles», et aussi enchaîner «aussi du point de vue de la sécurité, car ils n’ont pas démontré qu’ils pouvaient protéger cette information.»
Cela est directement lié aux informations de plaque d’immatriculation que la CBP collecte lorsque des personnes franchissent la frontière au Canada ou au Mexique. L’analyse des données sur le dark web montre qu’au moins 50 000 numéros de plaque d’immatriculation américains uniques ont été trouvés dans la fuite.
Quels privilèges Perceptics avait-elle réellement?
Quand on parle de l’échec de la sécurité du gouvernement et des sous-traitants qu’il embauche, il est préférable de commencer par ce à quoi le sous-traitant est autorisé à accéder. Dans ce cas particulier, Perceptics n’était autorisé à accéder aux images de la plaque d’immatriculation que pour améliorer ses systèmes. C’est ainsi que lorsqu’un état émet une nouvelle conception de plaque d’immatriculation, le système a besoin d’un calibrage pour pouvoir la reconnaître.
L’agence a déclaré que cette période était brève et que les données devraient être supprimées après le calibrage du logiciel afin de reconnaître les nouvelles conceptions. L’agence n’a même pas pu préciser si la fuite provient uniquement de la CBP ou d’autres organisations gouvernementales avec lesquelles Perceptics collabore, car ils ont passé plusieurs contrats avec le gouvernement.
Ce qui est plus inquiétant, c’est qu’un porte-parole de la CBP a déclaré que certaines photos de voyageurs étaient également compromises, ce qui équivaut à un peu moins de 100 000 photos au total. Le groupe d’archivistes en ligne DDOS (Distributed Denial of Secrets) a transmis les données à CNN et prévoit de publier plus d’informations sur le piratage, notamment des courriels de Perceptics.
La déclaration complète incluait le moment où la CBP aurait eu connaissance de la fuite. L’agence a déclaré avoir appris la fuite le 31 mai et a ajouté qu’elle avait appris qu’un sous-traitant «avait transféré des copies des images de la plaque d’immatriculation et des images de voyageurs recueillies par la CBP au réseau de la société du sous-traitant. Le réseau du sous-traitant a ensuite été endommagé par une cyberattaque.» Perceptics n’a répondu à aucune demande de commentaire pour le moment, bien que la société ferait bien de se sortir de cette situation.
Une situation qui, si on la laisse s’envenimer, ne ferait que nuire davantage à la confiance que le peuple américain a en ceux qui sont chargés de protéger la nation des menaces extérieures. Différents groupes de défense des libertés civiles se sont plaints du fait que le gouvernement s’efforcerait de collecter des données – et beaucoup pensent que les données collectées ont très peu à voir avec la sécurité extérieure. Cette situation récente pourrait donner à ces personnes l’appui supplémentaire dont elles avaient besoin pour se faire encore plus entendre.