Les terminaux biométriques de l'armée américaine récemment saisis par les talibans mettraient une partie de la population afghane en danger. Datant de 2006 et 2008, ils avaient pourtant été déclarés « en fin de vie » en 2011, étaient déconnectés des bases de données centralisées et leurs mémoires chiffrées.
Mi-août, The Intercept révélait que les talibans venaient de saisir des dispositifs biométriques de l'armée américaine « qui pourraient aider à identifier les Afghans qui ont aidé les forces de la coalition ». Une information depuis relayée par des centaines d'articles, sans plus de vérification.
Ces appareils, connus sous le nom de HIIDE (pour Handheld Interagency Identity Detection Equipment), « contiennent des données biométriques d'identification telles que des scans d'iris et des empreintes digitales, ainsi que des informations biographiques, et sont utilisés pour accéder à de grandes bases de données centralisées ».
The Intercept précisait cependant qu'« on ne sait pas dans quelle mesure la base de données biométrique de l'armée américaine sur la population afghane a été compromise ». De plus, quand bien même elle l'aurait été, les talibans ne pourraient probablement pas les exploiter :
« Un vétéran des opérations spéciales de l'armée a déclaré qu'il était possible que les talibans aient besoin d'outils supplémentaires pour traiter les données HIIDE, mais a exprimé ses inquiétudes quant à l'aide du Pakistan dans ce domaine. "Les talibans n'ont pas l'équipement nécessaire pour utiliser les données, mais l'ISI pourrait les y aider", a déclaré l'ancien responsable des opérations spéciales, faisant référence à l'agence d'espionnage pakistanaise Inter-Services Intelligence. L'ISI est connu pour travailler en étroite collaboration avec les talibans. »
Les documents consacrés à HIIDE par son fabricant et l'armée américaine indiquent qu'il serait a priori très difficile – voire impossible – aux talibans d'exploiter les données personnelles et biométriques collectées, a fortiori de les « aider à identifier les Afghans qui ont aidé les forces de la coalition ».
Jusqu'à 10 000 puis 500 000 portefeuilles biométriques
Cependant, saisir des terminaux permettant d'interroger une base de données est une chose, mettre la main sur ladite base en est une autre. Nous nous sommes donc d'abord demandé si HIIDE était un terminal interrogeant une base de données, ou s'il stockait tout ou partie de ces données.
HIIDE avait, en l'espèce, été conçu en 2005 à la demande de l'armée américaine, qui voulait pouvoir disposer d'un système d'enrôlement multibiométrique. Il devait permettre en outre l'identification et la vérification d'individus à partir de leurs empreintes digitales, de leur iris ou de la reconnaissance biométrique faciale de leurs visages.
L'entreprise Securimetrics – qui avait déjà fourni plusieurs milliers de terminaux de reconnaissance de l'iris, utilisés par l'armée américaine en Irak et en Afghanistan – avait à ce titre bénéficié d'un contrat de 4,7 millions de dollars.
En 2006, la première version de HIIDE permettait d'« enregistrer et stocker jusqu'à 10 000 portefeuilles biométriques complets (2 modèles d'iris, 10 empreintes digitales et une image faciale) et identifier un sujet non connecté à un PC hôte », et donc non connecté à Internet ni à une quelconque base de données distante.
Cette même année, SecuriMetrics était racheté par l'entreprise Viisage, et recevait 10 millions de dollars supplémentaires pour fournir à l'armée américaine encore plus de terminaux HIIDE, de sorte de faciliter « l'identification mobile d'individus sur le champ de bataille, aux postes de contrôle frontaliers, dans les aéroports, dans les centres de détention et pour vérifier les individus par rapport à des listes de surveillance connues ».
En 2007, Viisage fusionnait avec son concurrent Identix pour devenir L1 Identity Solutions, et se voyait attribuer un nouveau contrat susceptible de lui faire engranger un maximum de 71 millions de dollars supplémentaires pour continuer à fournir des HIIDE à l'armée américaine.
Un document (.pdf) de cette dernière expliquait, en 2007, que « HIIDE collecte et vérifie les empreintes digitales, images de l'iris, photos des visages et données contextuelles biographiques des personnes d'intérêt via une base de données interne ».
L1 précisait de son côté que la version 4 de son terminal, conçue en 2008, pouvait stocker « jusqu'à 22 000 portfolios complets (2 iris, 10 empreintes digitales, une photo du visage et les données biographiques) » des « personnes enrôlées », et que sa base de données interne lui permettait d'effectuer des recherches à partir de ces données biométriques.
La version 5 de HIIDE, lancée en 2010, décuplait pour sa part la capacité de stockage de sa base de données interne, pouvant aller « jusqu'à 500 000 portefeuilles biométriques, ou plus d'un million d'identités ». L1 précisait que « des niveaux supplémentaires de chiffrement et de protection contre les falsifications améliorent la sécurité ».
Un autre document de l'armée américaine précisait que la taille maximale de la « watch list » était passée de 22 000 à 500 000 parce que la capacité de stockage interne de HIIDE était passée de 4 à 80 Go (plus 120 Go de stockage extensible).
Des listes noires, et blanches
Un article du site spécialisé Public Intelligence, consacré à « la guerre biométrique de l'armée américaine en Afghanistan », rappelle que « l'un des produits les plus essentiels de la vaste collecte de données biométriques en Afghanistan est la Biometric Enabled Watch List (BEWL) ».
Le Guide du commandant de l'armée américaine consacrée au recours à la biométrie en Afghanistan précisait, en 2005, que cette « liste de surveillance » est une « collection d'individus dont les données biométriques ont été collectées et déterminées par des analystes [biometrics-enabled intelligence (BEI)] comme des menaces, des menaces potentielles ou qui méritent simplement d'être suivies ».
Lorsqu'il est chargé sur un dispositif de collecte de données biométriques comme le HIIDE, le BEWL « permet un retour instantané sur les collections de données biométriques sans avoir besoin de communications en temps réel avec la base de données biométrique faisant autorité ». Le soldat peut alors identifier immédiatement les personnes d'intérêt.
Un autre document (.pdf) de l'armée américaine précise que si les BEWL de l'armée américaine « identifient les personnes d'intérêt à l'aide d'échantillons biométriques qui sont fusionnés avec des informations de renseignement non classifiées décrivant chaque sujet (...), notamment des terroristes connus ou présumés, des menaces pour la sécurité nationale et d'autres personnes d'intérêt (...), et les actions recommandées à prendre si un sujet est rencontré », la totalité « est trop volumineuse pour tenir sur des dispositifs de collecte portables tels que (...) le Handheld Interagency Identity Detection Equipment (HIIDE), dans son intégralité » :
« Pour remédier à cette limitation de taille, des sous-ensembles de la BEWL, ou des BEWL spécifiques à une mission, sont développés et adaptés à des opérations spécifiques. Les BEWLs spécifiques à une mission peuvent être chargées sur des dispositifs de collecte portables, ce qui permet de déclencher une alerte immédiate si les individus recherchés sont rencontrés au cours d'opérations d'identification ou de vérification. »
Les bases de données BEWL téléchargées dans les terminaux HIIDE correspondaient donc a priori à des « listes noires » de personnes recherchées par l'armée américaine. Le Guide du commandant de l'armée américaine ajoute que certaines BEWL pourraient également être constituées de « listes blanches », par exemple de marchands autorisés à commercer sur un marché, de personnes susceptibles de recevoir certains traitements médicamenteux ou aides financières, ainsi que les personnels autorisés à travailler dans telles ou telles unités.
Des terminaux obsolètes, désactivés et en cours de retrait
Le mode d'emploi de la série 4 de HIIDE explique que l'on ne peut s'en servir qu'en s'y connectant, soit par un couple identifiant/mot de passe, soit par l'iris. De plus, « après 4 tentatives reposant sur un identifiant ou mot de passe invalide, la procédure est invalidée pendant 5 minutes ».
En outre, HIIDE dispose d'une fonction maintenance permettant de réinitialiser, purger, nettoyer et effacer la base de données, mais également d'une « clef de destruction » destinée à « détruire la clef de chiffrement de la base de données », processus qualifié d'« irréversible ».
La plaquette de présentation de HIIDE expliquait au surplus que, comparé à la version 4, sa version 5 proposait un système de « chiffrement et de protection contre les manipulations » pour renforcer la sécurité du dispositif.
En 2010, L1 précisait que « l'appareil chiffre le code, les données et le transport pour assurer une protection et une sécurité complètes de l'appareil et des données qui y sont stockées et transmises ». HIIDE avait en effet entre-temps été doté de « capacités de transmission sans fil prenant en charge 802.11, Bluetooth, cellulaire 3G/4G , WiFi, radio tactique et WiMax » lui permettant de mettre à jour ses BEWL, ou de téléverser les données des nouveaux enrôlés, sur des systèmes susceptibles de se connecter aux réseaux et bases de données classifiées de l'armée.
En 2011, un rapport du Government Accountability Office (GAO, l'organisme d'audit, d'évaluation et d'investigation du Congrès des États-Unis), expliquait que HIIDE avait été développé pour répondre à une « mission urgente ». Il n'avait pas eu le temps de respecter les standards technologiques du ministère de la Défense, qui ne pouvait donc pas partager les données collectées avec les autres agences fédérales américaines.
En réponse au GAO, le ministère indiquait, en février 2011, que « les anciens dispositifs HIIDE sont proches de la fin de leur vie utile et sont en cours de retrait », pour doter les unités de terminaux respectant les standards militaires.
De fait, si dvidshub, le portail multimédia de l'armée américaine, propose une trentaine de vidéos mentionnant HIIDE, la dernière date de 2012 et la plus ancienne de 2007.
En 2014, Sandy Vann-Olejasz, chef de projet pour DoD Biometrics, expliquait à Defence Daily que les systèmes HIIDE 4 « sont devenus obsolètes et sont en train d'être "désactivés" », et qu'ils ne seraient « ni conservés ni maintenus ».
En 2011, L1 était racheté par Safran, devenait MorphoTrust, lui-même racheté par Idemia en 2017. On retrouve certes une brochure mise en ligne en 2015 montrant que Morpho avait continué à commercialiser HIIDE, mais sans que l'on sache de quand elle date. Et nous n'avons pas trouvé de document associant HIIDE à Idemia.
La marque HIIDE, déposée en 2006 par SecuriMetrix et depuis récupérée par Morpho, n'avait pas été associée à Idemia, et a été annulée en avril 2021.
Nous n'avons pas été en mesure de savoir jusqu'à quand les terminaux HIIDE 5 ont pu être utilisés, sinon qu'ils auraient depuis été remplacés par le système SEEK II (pour Secure Electronic Enrollment Kit) de Crossmatch (depuis racheté par HID Global), qui a l'avantage de pouvoir se connecter aux bases de données américaines ABIS (Automated Biometric Information System).
De la surveillance de masse aux articles putaclics
Plusieurs vétérans de l'armée américaine ont de leur côté expliqué, sur Twitter mais également en commentaires de l'article de The Intercept, pourquoi ils doutaient que ces HIIDE pris par les talibans puissent se retourner contre des Afghans.
Non contents d'avancer les informations citées, ils estiment improbable que les talibans puissent parvenir à accéder aux données en clair. Ils trouveraient probablement bien plus d'informations et de données compromettantes pour les supplétifs afghans dans les archives papiers des autorités. L'information leur semblait donc « exagérée ».
En d'autres termes, la prise d'un nombre indéterminé de terminaux HIIDE rend d'autant plus improbable le fait qu'ils « pourraient aider à identifier les Afghans qui ont aidé les forces de la coalition », comme l'écrit The Intercept, à mesure que :
- ils ont été développés il y a plus de 10 ans, étaient présentés comme « en fin de vie » en 2011, « obsolètes et en train d'être "désactivés" » en 2014 ;
- l'accès à HIIDE est conditionné à une identification par login et mot de passe (ou reconnaissance par l'iris), les terminaux étant en outre dotés de fonctionnalités permettant d'effacer les bases de données internes (qui étaient chiffrées), et de détruire la clef de chiffrement associée ;
- quand bien même HIIDE aurait continué à être utilisé, on peine à imaginer que les militaires américains n'aient pas pris soin d'effacer les données sensibles des terminaux avant qu'ils ne soient saisis mi-août, alors que Donald Trump avait annoncé son intention de retirer les forces américaines d'Afghanistan en décembre 2018, et que l'offensive des talibans avait commencé en mai 2021.
Paradoxalement, les journalistes et défenseurs de la vie privée qui ont relayé cette information sont souvent les mêmes qui, depuis les révélations Snowden, déplorent le « chilling effect » (ou effet d'intimidation), à savoir une auto-censure face à la surveillance croissante.
Or, ce n'est pas l'utilisation par l'armée américaine de capteurs biométriques en Afghanistan ni leur détournement par les talibans qui contribuent à la paranoïa ambiante au sujet de la « surveillance de masse », mais les articles biaisés et erronés qui montent l'affaire en épingle, sans même prendre la peine de vérifier.
Depuis les révélations Snowden puis le scandale Facebook-Cambridge Analytica, les articles relatifs aux atteintes (supposées ou avérées) à la vie privée sont devenus « tendance », pour ne pas dire des marronniers journalistiques.
Mais cette façon « putaclic » de crier au loup vis-à-vis de ces technologies intrusives (voir L'irrésistible banalisation de la reconnaissance faciale, notamment) ne sert ni le combat légitime pour le droit à la vie privée et contre la montée en puissance de la société de surveillance, ni la confiance dans la capacité des journalistes, des médias et des ONG à identifier les problèmes (voir aussi nos enquêtes sur Pegasus).
Ce qui ne peut qu'alimenter la technophobie et la défiance envers les médias et les autorités, croissante en France et ailleurs.
Pour me contacter de façon sécurisée (voire anonyme), c'est par là.
