Les talibans n'ont pas eu accès aux bases de données biométriques de l'armée américaine

Les talibans n’ont pas eu accès aux bases de données biométriques de l’armée américaine

Cache-cache.mil

Avatar de l'auteur
Jean-Marc Manach

Publié dans

Droit

03/01/2023 12 minutes
19

Les talibans n'ont pas eu accès aux bases de données biométriques de l'armée américaine

Des hackers du Chaos Computer Club allemand ont réussi à racheter sur eBay six terminaux biométriques militaires états-uniens. Quatre étaient vides, les deux autres comportant, pour l'un, les identifiants de deux soldats américains, pour l'autre ceux de 2 632 Afghans et Irakiens, notamment.

En 2021, The Intercept révélait que les talibans venaient de récupérer des dispositifs biométriques de l'armée américaine « qui pourraient aider à identifier les Afghans qui ont aidé les forces de la coalition ». Une information qui avait été relayée par des centaines d'articles, sans plus de vérification.

Cherchant à comprendre en quelle mesure la saisie de terminaux pourraient compromettre la ou les bases de données où étaient centralisés les identifiants biométriques captés par les soldats de l'OTAN, nous avions alors découvert que ces terminaux étaient bien déconnectés des bases de données centralisées, et leurs mémoires chiffrées. 

Nous avions dès lors conclu qu'une telle compromission serait « d'autant plus improbable » que : 

  1. ces terminaux avaient été développés il y a plus de 10 ans, avant d'être présentés comme « en fin de vie » en 2011, puis « obsolètes et en train d'être "désactivés" » en 2014 ;
  2. l'accès à ces terminaux était en outre conditionné à une identification par login et mot de passe (ou reconnaissance par l'iris), et ils étaient dotés de fonctionnalités permettant d'effacer les bases de données internes (chiffrées), et de détruire la clef de chiffrement associée ;
  3. quand bien même ils auraient continué à être utilisés depuis, on peine à imaginer que les militaires américains n'aient pas pris soin d'effacer les données sensibles des terminaux avant qu'ils ne soient saisis mi-août, alors que Donald Trump avait annoncé son intention de retirer les forces américaines d'Afghanistan en décembre 2018, et que l'offensive des talibans avait commencé en mai 2021.

Des hackers du Chaos Computer Club allemand ont, depuis, réussi à acheter sur eBay 6 de ces terminaux biométriques, la plupart pour moins de 200 euros : 2 HIIDE 5 (pour Handheld Interagency Identity Detection Equipment) et 4 SEEK II (pour Secure Electronic Enrollment Kit). Leur analyse inforensique semble confirmer notre fact-check de 2021.

CCC HIIDECCC SEEK

« Nous avons eu un accès complet à tous les fichiers »

Dans leur présentation, rendue publique la semaine passée à Haking in Parallel, à Berlin, les hackeurs du CCC précisent qu'un terminal SEEK pourrait contenir 60 000 profils maximum, contre « jusqu'à 500 000 portefeuilles biométriques, ou plus d'un million d'identités » pour les terminaux HIIDE.

On y découvre également que le logiciel « Mission Oriented Biometric Software » (MOBS) permettait de renseigner non seulement la nationalité, le lieu et la date de naissance, la « race », le sexe et la couleur des yeux des personnes fichées, mais également l'adresse et la profession de leurs pères, époux, enfants, frères et sœurs, etc.

CCC MOBSCCC MOBS

L'examen inforensique des terminaux biométriques leur a permis de découvrir qu'aucun de leurs supports de stockage n'était chiffré, et qu'il suffisait d' « un mot de passe standard faible et bien documenté » pour y accéder : 

« Nous avons eu un accès complet à tous les fichiers, programmes et bases de données locaux sans aucun effort significatif. »

La présentation technique du CCC laisse entendre qu'il s'agirait du mot de passe par défaut utilisé par les paramètres d'usine lorsque les terminaux n'ont pas encore été activés, comme l'explique le mode d'emploi des terminaux SEEK. Ces derniers auraient donc été, soit inutilisés, soit reformatés après usage. 

SEEK password

A contrario, deux des six terminaux contenaient des données. Du fait de leur sensibilité, le CCC a décidé de ne pas les publier, tout en permettant à des journalistes du New York Times et de la radio bavaroise (BR) de pouvoir les examiner.

L'un des quatre SEEK II comportait les noms et identifiants biométriques de 2 militaires américains, ainsi que des méta-données indiquant qu'il avait été utilisé, pour la dernière fois, en Jordanie en 2013, précise BR. 

Contacté par le NYT, l'un des militaires dont les données y figuraient confirme qu'il travaillait alors pour le renseignement militaire états-unien, et que les données correspondaient à des tests qu'ils effectuaient avant d'aller s'en servir sur le terrain, ce que confirment des responsables militaires au quotidien : 

« La seule raison pour laquelle ces appareils auraient des données sur les Américains serait leur utilisation pendant les sessions de formation, une pratique courante pour se préparer à les employer sur le terrain. »

24 078 empreintes digitales, 2 946 scans d'iris et 2 300 visages

Les méta-données du second SEEK II, acheté pour seulement 68 $, indiquent qu'il avait pour sa part été utilisé, pour la dernière fois, en 2012 quelque part entre Kaboul et Kandahar, en Afghanistan. Plus gênant : y figuraient également 24 078 empreintes digitales, 2 946 scans d'iris et 2 300 visages de 2 632 personnes, ainsi que leurs tailles, poids, sexes, couleurs des yeux et des cheveux, dates de naissance et nationalités, enregistrés depuis 2002, mais majoritairement en 2011.

CCC SEEK

Années de capture / de naissance

Ces 2 632 profils ne représentent cela dit que 4,39 % des 60 000 profils « maximum » que pouvait contenir un terminal SEEK. On est donc très loin des estimations alarmistes extrapolées en 2021 quant au fait que la saisie de tels terminaux pourraient permettre aux talibans d'accéder à la base de données de l'armée états-unienne, à l'ensemble de leurs partenaires militaires, policiers ou supplétifs afghans.

Le NYT précise que la plupart des personnes figurant dans la base de données sont Afghans et Irakiens (respectivement 1 305 et 125, relève le CCC) : 

« Beaucoup étaient des terroristes connus et des personnes recherchées, mais d'autres semblaient être des personnes qui avaient travaillé avec le gouvernement américain ou qui avaient simplement été arrêtées à des points de contrôle. [...] Les données biométriques du SEEK II ont été recueillies dans des centres de détention, lors de patrouilles, lors de dépistages d'embauches locales et après l'explosion d'une bombe improvisée. »

BR souligne de son côté que « certaines des personnes figurant dans les données sont clairement identifiées comme volontaires - en tant qu'anciens membres de la police ou de l'armée » : 

« Ce statut est indiqué par des entrées telles que "vérification des antécédents des volontaires", "accès à la base de l'ECP" [pour Entry Control Point, du nom donné aux entrées et sorties des bases militaires opérationnelles avancées (en anglais "forward operating base", ou FOB) sécurisées et fortifiées, ndlr], "contrôle des forces de sécurité nationales", "police du pays hôte" ou "armée du pays hôte". »

BR ne précise pas combien de personnes étaient fichées de la sorte, se bornant à mettre en avant que c'était précisément ce que cherchait Matthias Marx, l'un des hackers du CCC.

« Identity Dominance » : collecter les identifiants de tous les Afghans

Les chercheurs du CCC, précise le NYT, voulaient en effet « comprendre si les talibans auraient pu obtenir des données biométriques sur les personnes qui avaient aidé les États-Unis à partir des appareils, les mettant en danger ».

BR souligne à ce titre que le terminal essayait par ailleurs de se connecter, via Internet, à la base de données centralisée ABIS (pour « Automated Biometric Information System »), située dans l'état de Virginie-Occidentale, aux États-Unis, afin d'y téléverser l'intégralité des données présentes dans les terminaux. 

À l'initiative des États-Unis, les troupes internationales de l'OTAN avaient alors pour objectif de « collecter les données biométriques de l'ensemble de la population afghane » : 

« Cette stratégie était connue sous le nom d'"Identity Dominance". Selon un manuel de biométrie de l'armée américaine, l'idée sous-jacente était la suivante : plus vite les données biométriques de l'ensemble de la population seraient collectées, plus vite tous les attaquants seraient éliminés du champ de bataille. »

Identity Dominance

A contrario, les soldats devaient également régulièrement télécharger les mises à jour des « listes noires » des personnes à incarcérer, interroger ou qui étaient interdits d'accès aux bases militaires.

« La gestion irresponsable de cette technologie est incroyable »

Les hackeurs du CCC se sont déjà moult fois illustrés par leurs expertises biométriques, allant jusqu'à hacker le capteur biométrique du leader français IDEMIA (Safran, ex-Morpho) utilisé par le système français PARAFE de « Passage automatisé rapide aux frontières extérieures ». 

Son système de détection des faux doigts avait pourtant été certifié par le BSI (l'ANSSI allemande), une « première mondiale » que Cash Investigation avait alors eu l'occasion de brocarder : 

 

Reste que le fait que les deux bases de données n'étaient pas chiffrées pose question. « Il est pour le moins troublant qu'ils n'aient même pas essayé de protéger les données », déplore Matthias Marx, en faisant référence aux militaires états-uniens : « Ils ne se sont pas souciés du risque, ou ont ignoré le risque » de voir les données fuiter, comme cela a donc été le cas pour deux des six terminaux rachetés sur eBay.

Les données ne figuraient cela dit pas dans les terminaux en eux-mêmes, mais dans les médias amovibles associés. Il aurait pourtant suffi de les retirer, voire de les détruire, pour éviter de mettre en danger les personnes dont les données y sont fichées, et éviter ce « bad buzz », déplore Matthias Marx : 

« La gestion irresponsable de cette technologie à haut risque est incroyable. Il est incompréhensible pour nous que le fabricant et les anciens utilisateurs militaires ne se soucient pas du fait que des appareils usagés contenant des données sensibles se retrouvent disponibles en ligne. »

Interrogé, le département américain de la Défense renvoie au fabricant, HID Global, qui n'a pas répondu aux questions du CCC ni du NYT, au motif qu'il ne partage aucun détail au sujet de ses clients et de ce qu'ils font de ses produits et technologies, bottant lui aussi en touche : 

« La configuration, la gestion, la protection, le stockage et la régularité de la suppression des données relèvent de la responsabilité de l'organisation utilisant des appareils fabriqués par HID. »

Des terminaux rachetés et revendus par des surplus militaires

Reste qu'aucun de ces terminaux n'aurait dû, non plus, pouvoir se retrouver en vente libre sur des places de marché comme eBay. D'ordinaire, les équipements militaires décommissionnés sont censés être détruits sur place, ou récupérés par la Defense Logistics Agency qui, précise le NYT, « gère chaque année l'élimination de millions de dollars de matériel excédentaire du Pentagone, des appareils comme le SEEK II et le HIIDE ». 

Rhino Trade, l'entreprise texane de surplus qui avait vendu le SEEK II truffé de données personnelles, explique l'avoir acheté lors d'une vente aux enchères d'équipements gouvernementaux, « et qu'il n'avait pas réalisé qu'un appareil militaire déclassé contiendrait des données sensibles » : 

« J'espère que nous n'avons rien fait de mal. »

La faute n'émane donc pas seulement de ceux qui ont alimenté le terminal biométrique de toutes ces données. Mais également de leurs supérieurs, ainsi que de la chaîne logistique qui était censée le décommissionner, puis de ceux qui l'ont mis aux enchères lors de cette vente gouvernementale, puis du spécialiste des surplus.

BR précise que le département de la Défense états-unien avait donné 1 200 terminaux à l'armée afghane, avant de se retirer du pays. Mais le média bavarois explique aussi que le transfert de données vers et depuis ABIS a depuis été désactivé, confirmant que les talibans ne pourraient éventuellement accéder qu'aux seules données encore présentes dans les cartes mémoires non chiffrées.

Interrogé à ce sujet, le département de la Défense n'a pas daigné préciser le nombre de terminaux qui auraient pu être saisis ou récupérés par les talibans. L'analyse inforensique du CCC confirme cela dit qu'il est improbable, comme nous l'écrivions en 2021, que les talibans aient pu accéder aux données des Afghans fichés par l'armée américaine et ses partenaires de l'OTAN, pas plus qu'à leurs supplétifs.

Le fait de découvrir que le CCC n'en a pas moins réussi à accéder aux données de 2 632 personnes, qui n'avaient été ni chiffrées, ni décommissionnées, révèle cela dit moins d'une inculture crasse des questions de cybersécurité que d'un trou dans la raquette de la chaîne logistique de l'armée US.

Il n'en reste pas moins que, comme nous l'avions déjà écrit en 2021, cette façon « putaclic » de crier au loup vis-à-vis de ces technologies intrusives (voir L'irrésistible banalisation de la reconnaissance faciale, notamment) en général, émanant des forces armées états-uniennes en particulier, ne sert ni le combat légitime pour le droit à la vie privée et contre la montée en puissance de la société de surveillance, ni la confiance dans la capacité des journalistes, des médias et des ONG à identifier les problèmes (voir aussi nos enquêtes sur Pegasus).

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

« Nous avons eu un accès complet à tous les fichiers »

24 078 empreintes digitales, 2 946 scans d'iris et 2 300 visages

« Identity Dominance » : collecter les identifiants de tous les Afghans

« La gestion irresponsable de cette technologie est incroyable »

Des terminaux rachetés et revendus par des surplus militaires

Commentaires (19)


Merci, encore une fois, pour cet article de fond qui va à l’encontre de tout ce qu’on a l’habitude de lire par ailleurs.



Et effectivement, c’est un peu invraisemblable que le chiffrement par défaut des cartes mémoires ne soit pas présent sur des équipements militaires…


“Il est somme toute loisible de douter que les talibans aient les compétences des hackers du CCC. Reste que le fait que les deux bases de données n’étaient pas chiffrées pose question.”



Je pense cher J.M. Manach que cet assertion est très (trop) légère, en effet, les talibans c’est pas seulement des fondamentalistes islamistes, mais surtout les caïds mondiaux du pavot ! Avec tout ce que cela sous entend de moyens : de fait : plus que l’état Afgan lui-même, bien plus … Alors s’acheter une team de hackers de premier rang ne doit pas être plus difficile que de se procurer quelques armes de dernière technologie ( russe :D )


Clairement, j’ai vraiment du mal avec cette phrase.
Comme si les talibans ne savaient pas se louer une équipe d’hacker.



Et pour finir par la conclusion, qui ne se base sur rien de concret.



“Des super hackers ont réussis, donc les talibans n’y arriveraient pas. Et donc ça sert a rien de faire bcq de bruit sur le risque de ce genre de dispositif” :keskidit:


Vous avez d’autant plus raison que, pour le coup, les hackers du CCC n’ont pas eu besoin de recourir à leurs super-talents ès-biométrie & Cie pour accéder aux données, j’ai retiré cette phrase tendancieuse.



La conclusion ne porte pas sur le fait que les talibans n’auraient pas réussi à faire ce que le CCC a fait, mais sur le fait que les médias occidentaux avaient été bien prompts à écrire des articles sensationnalistes laissant entendre que l’armée US aurait permis aux talibans d’identifier leurs supplétifs (cf aussi le précédent article à ce sujet, ou encore les 2 autres sur Pegasus).


manhack

Vous avez d’autant plus raison que, pour le coup, les hackers du CCC n’ont pas eu besoin de recourir à leurs super-talents ès-biométrie & Cie pour accéder aux données, j’ai retiré cette phrase tendancieuse.



La conclusion ne porte pas sur le fait que les talibans n’auraient pas réussi à faire ce que le CCC a fait, mais sur le fait que les médias occidentaux avaient été bien prompts à écrire des articles sensationnalistes laissant entendre que l’armée US aurait permis aux talibans d’identifier leurs supplétifs (cf aussi le précédent article à ce sujet, ou encore les 2 autres sur Pegasus).


Oui mais quand même, si un terminal sur six contient des données absolument pas sécurisées de 1305 Afghans dont certains (combien ?) ont “travaillé avec le gouvernement américain” de manière suffisamment étroite pour avoir accès aux “bases militaires opérationnelles avancées”, alors que l’armée US a laissé 1200 de ces terminaux en Afghanistan, je trouve ça très inquiétant…


manhack

Vous avez d’autant plus raison que, pour le coup, les hackers du CCC n’ont pas eu besoin de recourir à leurs super-talents ès-biométrie & Cie pour accéder aux données, j’ai retiré cette phrase tendancieuse.



La conclusion ne porte pas sur le fait que les talibans n’auraient pas réussi à faire ce que le CCC a fait, mais sur le fait que les médias occidentaux avaient été bien prompts à écrire des articles sensationnalistes laissant entendre que l’armée US aurait permis aux talibans d’identifier leurs supplétifs (cf aussi le précédent article à ce sujet, ou encore les 2 autres sur Pegasus).


Le problème que montre le CCC est justement qu’il suffisait aux Taliban de récupérer un seul terminal aussi mal décommissionné pour avoir pas mal d’information sans effort et sans demandé à leurs amis pakistanais ( ils faisaient parti de l’équation dans les articles de 2021). Je trouve que cette découverte confirme beaucoup de crainte vu qu’un terminal sur 6 contenait des données pertinentes alors qu’ils ont été acheté aux US. Combien de support externe non chiffré et de terminaux en contenant ont ils pu être récupéré sur place. Et on ne parle là que d’incompétence et de maladresse et même pas d’avoir envi de ce faire de l’argent avec ce genre d’information ou de complicité interne.



Il manque encore beaucoup de réponse sur quel transfert de données ses appareils étaient capable de faire quand ils avaient encore accès à la base de données, vu les négligences ce n’est pas rassurant.


manhack

Vous avez d’autant plus raison que, pour le coup, les hackers du CCC n’ont pas eu besoin de recourir à leurs super-talents ès-biométrie & Cie pour accéder aux données, j’ai retiré cette phrase tendancieuse.



La conclusion ne porte pas sur le fait que les talibans n’auraient pas réussi à faire ce que le CCC a fait, mais sur le fait que les médias occidentaux avaient été bien prompts à écrire des articles sensationnalistes laissant entendre que l’armée US aurait permis aux talibans d’identifier leurs supplétifs (cf aussi le précédent article à ce sujet, ou encore les 2 autres sur Pegasus).


L’article est très intéressant. Néanmoins ce qui me dérange dans la conclusion, c’est qu’elle ignore les conséquences sur une personne identifiée comme collaborateur ou ami.
Dans le renseignement, ce qui est important ce n’est pas tant la quantité d’informations mais leur qualité et ici leur qualité est évidente.
Accessoirement, cela démontre, le peu de cas que prennent certains militaires avec les données de leur informateurs et donc leur sécurité.


JeDoute

L’article est très intéressant. Néanmoins ce qui me dérange dans la conclusion, c’est qu’elle ignore les conséquences sur une personne identifiée comme collaborateur ou ami.
Dans le renseignement, ce qui est important ce n’est pas tant la quantité d’informations mais leur qualité et ici leur qualité est évidente.
Accessoirement, cela démontre, le peu de cas que prennent certains militaires avec les données de leur informateurs et donc leur sécurité.


Certes, mais ladite conclusion visait surtout les médias et journalistes qui, depuis les « révélations » Snowden, cherchent plus à faire du buzz autour de la soi-disant « surveillance de masse » permise ou effectuée par des services de renseignement ou de l’armée US en particulier, et de tout ce qui pourrait s’apparenter à des atteintes à la vie privée en général.



(reply:2112742:Dj) D’accord avec toi, mais l’article de Manach est passionnant sans ça.




Croire aussi que les Talibans n’ont pas de relations internationales stratégiques : Chine, Russie, Iran, etc … Me parait illusoire. Et eux bah ça les intéresse bien ce genre de data et/ou de technologies …


Oui l’article est très bon, mais les conclusions..



Faut pas oublier qu’ils ont aussi leur seule ambassade qui était au Qatar



(reply:2112753:manhack) Sympa ! Et autant de réactivité si près du réveillon, je suis “épataté” :bravo:




Ceci dit, pas pour jeter des fleurs, mais c’est vos articles qui m’ont fait m’abonner à NXI. Merci à vous.



(reply:2112760:Tirnon) Comment j’ai fait pour oublier le Pakistan ! Tout à fait d’accord dans ton analyse, Tirnon, le sujet est complexe, pas par la techno mais par les liens, implications toussa.



J’irais jusqu’à dire que des (anciens ?) militaires diffusant ce genre d’informations, ou en tous cas rumeurs, jouent contre leur (ancien) camp.



Par contre, cela peut totalement servir le combat contre ces technologies car, comme indiqué dans l’autre article, leur utilisation est de plus en plus banale. Elles sont particulièrement intrusives car la part de doute et infiniment réduite, et les traces qu’elles laissent, couplées à des fichiers eux-même croisés, sont une véritable épée de Damoclès pour les cibles.



Notre pays est d’ailleurs dans le peloton de tête du fichage généralisé, dont les points d’entrée sont dorénavant des délits banals auxquels tout un chacun est aisément sujet, le tout piloté administrativement, donc arbitrairement.


Comme il est dit dans m’article et qui semble un peu échapper aux autres c’est : À l’initiative des États-Unis, les troupes internationales de l’OTAN avaient alors pour objectif de « collecter les données biométriques de l’ensemble de la population afghane ».



Bref de mettre tout un pays sous surveillance.
Mince y a personne pour parler d’une ville avec des ouighours photographié ici ?
PS -> (oui je sais, je provoque gentiment).


“Les données ne figuraient cela dit pas dans les terminaux en eux-mêmes, mais dans les médias amovibles associés. Il aurait pourtant suffi de les retirer, voire de les détruire, pour éviter de mettre en danger les personnes dont les données y sont fichées, et éviter ce « bad buzz », déplore Matthias Marx ”
Incroyable. Dans nombre de boulots, on n’a pas le droit de faire sortir un dispositif de stockage pour recyclage sans effacement sécurisé… Même si c’est à destination d’une entreprise qui la certification iso qui va bien pour recycler du matériel et effacer les données.
Là c’est l’armée :censored:


super article, merci!


Re @Manach et merci pour cet article et m’avoir fait découvrir ce Cash investigation.


Jean-Pierre Canet, le rédacteur en chef de Cash, avait eu l’obligeance de m’y faire figurer en tant que co-auteur de cette enquête ; mais jamais je n’aurais imaginé que Starbug, le hacker du CCC, réussirait à l’aider à hacker Parafe aussi facilement, au surplus alors que le BSI avait certifié le capteur anti-faux doigts !


Je suis perdu sur la forme de cette actu: elle souffle le chaud et le froid…



“Les talibans n’ont pas eu accès aux bases de données biométriques de l’armée américaine”
->“les deux autres comportant, pour l’un, les identifiants de deux soldats américains, pour l’autre ceux de 2 632 Afghans et Irakiens, notamment.”
puis
“Nous avions dès lors conclu qu’une telle compromission serait « d’autant plus improbable »”
“Leur analyse inforensique semble confirmer notre fact-check de 2021.”
->“« Nous avons eu un accès complet à tous les fichiers »”
“24 078 empreintes digitales, 2 946 scans d’iris et 2 300 visages”



Moi quand je lis les résultats de leur analyse (dans votre article!), je me dis que rien n’interdit de penser que … car « Il est pour le moins troublant qu’ils n’aient même pas essayé de protéger les données »



Bref, la forme m’a beaucoup perturbé. Merci pour tous ces détails.