Des hackers du Chaos Computer Club allemand ont réussi à racheter sur eBay six terminaux biométriques militaires états-uniens. Quatre étaient vides, les deux autres comportant, pour l'un, les identifiants de deux soldats américains, pour l'autre ceux de 2 632 Afghans et Irakiens, notamment.
En 2021, The Intercept révélait que les talibans venaient de récupérer des dispositifs biométriques de l'armée américaine « qui pourraient aider à identifier les Afghans qui ont aidé les forces de la coalition ». Une information qui avait été relayée par des centaines d'articles, sans plus de vérification.
Cherchant à comprendre en quelle mesure la saisie de terminaux pourraient compromettre la ou les bases de données où étaient centralisés les identifiants biométriques captés par les soldats de l'OTAN, nous avions alors découvert que ces terminaux étaient bien déconnectés des bases de données centralisées, et leurs mémoires chiffrées.
Nous avions dès lors conclu qu'une telle compromission serait « d'autant plus improbable » que :
- ces terminaux avaient été développés il y a plus de 10 ans, avant d'être présentés comme « en fin de vie » en 2011, puis « obsolètes et en train d'être "désactivés" » en 2014 ;
- l'accès à ces terminaux était en outre conditionné à une identification par login et mot de passe (ou reconnaissance par l'iris), et ils étaient dotés de fonctionnalités permettant d'effacer les bases de données internes (chiffrées), et de détruire la clef de chiffrement associée ;
- quand bien même ils auraient continué à être utilisés depuis, on peine à imaginer que les militaires américains n'aient pas pris soin d'effacer les données sensibles des terminaux avant qu'ils ne soient saisis mi-août, alors que Donald Trump avait annoncé son intention de retirer les forces américaines d'Afghanistan en décembre 2018, et que l'offensive des talibans avait commencé en mai 2021.
Des hackers du Chaos Computer Club allemand ont, depuis, réussi à acheter sur eBay 6 de ces terminaux biométriques, la plupart pour moins de 200 euros : 2 HIIDE 5 (pour Handheld Interagency Identity Detection Equipment) et 4 SEEK II (pour Secure Electronic Enrollment Kit). Leur analyse inforensique semble confirmer notre fact-check de 2021.
« Nous avons eu un accès complet à tous les fichiers »
Dans leur présentation, rendue publique la semaine passée à Haking in Parallel, à Berlin, les hackeurs du CCC précisent qu'un terminal SEEK pourrait contenir 60 000 profils maximum, contre « jusqu'à 500 000 portefeuilles biométriques, ou plus d'un million d'identités » pour les terminaux HIIDE.
On y découvre également que le logiciel « Mission Oriented Biometric Software » (MOBS) permettait de renseigner non seulement la nationalité, le lieu et la date de naissance, la « race », le sexe et la couleur des yeux des personnes fichées, mais également l'adresse et la profession de leurs pères, époux, enfants, frères et sœurs, etc.
L'examen inforensique des terminaux biométriques leur a permis de découvrir qu'aucun de leurs supports de stockage n'était chiffré, et qu'il suffisait d' « un mot de passe standard faible et bien documenté » pour y accéder :
« Nous avons eu un accès complet à tous les fichiers, programmes et bases de données locaux sans aucun effort significatif. »
La présentation technique du CCC laisse entendre qu'il s'agirait du mot de passe par défaut utilisé par les paramètres d'usine lorsque les terminaux n'ont pas encore été activés, comme l'explique le mode d'emploi des terminaux SEEK. Ces derniers auraient donc été, soit inutilisés, soit reformatés après usage.
A contrario, deux des six terminaux contenaient des données. Du fait de leur sensibilité, le CCC a décidé de ne pas les publier, tout en permettant à des journalistes du New York Times et de la radio bavaroise (BR) de pouvoir les examiner.
L'un des quatre SEEK II comportait les noms et identifiants biométriques de 2 militaires américains, ainsi que des méta-données indiquant qu'il avait été utilisé, pour la dernière fois, en Jordanie en 2013, précise BR.
Contacté par le NYT, l'un des militaires dont les données y figuraient confirme qu'il travaillait alors pour le renseignement militaire états-unien, et que les données correspondaient à des tests qu'ils effectuaient avant d'aller s'en servir sur le terrain, ce que confirment des responsables militaires au quotidien :
« La seule raison pour laquelle ces appareils auraient des données sur les Américains serait leur utilisation pendant les sessions de formation, une pratique courante pour se préparer à les employer sur le terrain. »
24 078 empreintes digitales, 2 946 scans d'iris et 2 300 visages
Les méta-données du second SEEK II, acheté pour seulement 68 $, indiquent qu'il avait pour sa part été utilisé, pour la dernière fois, en 2012 quelque part entre Kaboul et Kandahar, en Afghanistan. Plus gênant : y figuraient également 24 078 empreintes digitales, 2 946 scans d'iris et 2 300 visages de 2 632 personnes, ainsi que leurs tailles, poids, sexes, couleurs des yeux et des cheveux, dates de naissance et nationalités, enregistrés depuis 2002, mais majoritairement en 2011.
Années de capture / de naissance
Ces 2 632 profils ne représentent cela dit que 4,39 % des 60 000 profils « maximum » que pouvait contenir un terminal SEEK. On est donc très loin des estimations alarmistes extrapolées en 2021 quant au fait que la saisie de tels terminaux pourraient permettre aux talibans d'accéder à la base de données de l'armée états-unienne, à l'ensemble de leurs partenaires militaires, policiers ou supplétifs afghans.
Le NYT précise que la plupart des personnes figurant dans la base de données sont Afghans et Irakiens (respectivement 1 305 et 125, relève le CCC) :
« Beaucoup étaient des terroristes connus et des personnes recherchées, mais d'autres semblaient être des personnes qui avaient travaillé avec le gouvernement américain ou qui avaient simplement été arrêtées à des points de contrôle. [...] Les données biométriques du SEEK II ont été recueillies dans des centres de détention, lors de patrouilles, lors de dépistages d'embauches locales et après l'explosion d'une bombe improvisée. »
BR souligne de son côté que « certaines des personnes figurant dans les données sont clairement identifiées comme volontaires - en tant qu'anciens membres de la police ou de l'armée » :
« Ce statut est indiqué par des entrées telles que "vérification des antécédents des volontaires", "accès à la base de l'ECP" [pour Entry Control Point, du nom donné aux entrées et sorties des bases militaires opérationnelles avancées (en anglais "forward operating base", ou FOB) sécurisées et fortifiées, ndlr], "contrôle des forces de sécurité nationales", "police du pays hôte" ou "armée du pays hôte". »
BR ne précise pas combien de personnes étaient fichées de la sorte, se bornant à mettre en avant que c'était précisément ce que cherchait Matthias Marx, l'un des hackers du CCC.
« Identity Dominance » : collecter les identifiants de tous les Afghans
Les chercheurs du CCC, précise le NYT, voulaient en effet « comprendre si les talibans auraient pu obtenir des données biométriques sur les personnes qui avaient aidé les États-Unis à partir des appareils, les mettant en danger ».
BR souligne à ce titre que le terminal essayait par ailleurs de se connecter, via Internet, à la base de données centralisée ABIS (pour « Automated Biometric Information System »), située dans l'état de Virginie-Occidentale, aux États-Unis, afin d'y téléverser l'intégralité des données présentes dans les terminaux.
À l'initiative des États-Unis, les troupes internationales de l'OTAN avaient alors pour objectif de « collecter les données biométriques de l'ensemble de la population afghane » :
« Cette stratégie était connue sous le nom d'"Identity Dominance". Selon un manuel de biométrie de l'armée américaine, l'idée sous-jacente était la suivante : plus vite les données biométriques de l'ensemble de la population seraient collectées, plus vite tous les attaquants seraient éliminés du champ de bataille. »
A contrario, les soldats devaient également régulièrement télécharger les mises à jour des « listes noires » des personnes à incarcérer, interroger ou qui étaient interdits d'accès aux bases militaires.
« La gestion irresponsable de cette technologie est incroyable »
Les hackeurs du CCC se sont déjà moult fois illustrés par leurs expertises biométriques, allant jusqu'à hacker le capteur biométrique du leader français IDEMIA (Safran, ex-Morpho) utilisé par le système français PARAFE de « Passage automatisé rapide aux frontières extérieures ».
Son système de détection des faux doigts avait pourtant été certifié par le BSI (l'ANSSI allemande), une « première mondiale » que Cash Investigation avait alors eu l'occasion de brocarder :
Reste que le fait que les deux bases de données n'étaient pas chiffrées pose question. « Il est pour le moins troublant qu'ils n'aient même pas essayé de protéger les données », déplore Matthias Marx, en faisant référence aux militaires états-uniens : « Ils ne se sont pas souciés du risque, ou ont ignoré le risque » de voir les données fuiter, comme cela a donc été le cas pour deux des six terminaux rachetés sur eBay.
Les données ne figuraient cela dit pas dans les terminaux en eux-mêmes, mais dans les médias amovibles associés. Il aurait pourtant suffi de les retirer, voire de les détruire, pour éviter de mettre en danger les personnes dont les données y sont fichées, et éviter ce « bad buzz », déplore Matthias Marx :
« La gestion irresponsable de cette technologie à haut risque est incroyable. Il est incompréhensible pour nous que le fabricant et les anciens utilisateurs militaires ne se soucient pas du fait que des appareils usagés contenant des données sensibles se retrouvent disponibles en ligne. »
Interrogé, le département américain de la Défense renvoie au fabricant, HID Global, qui n'a pas répondu aux questions du CCC ni du NYT, au motif qu'il ne partage aucun détail au sujet de ses clients et de ce qu'ils font de ses produits et technologies, bottant lui aussi en touche :
« La configuration, la gestion, la protection, le stockage et la régularité de la suppression des données relèvent de la responsabilité de l'organisation utilisant des appareils fabriqués par HID. »
Des terminaux rachetés et revendus par des surplus militaires
Reste qu'aucun de ces terminaux n'aurait dû, non plus, pouvoir se retrouver en vente libre sur des places de marché comme eBay. D'ordinaire, les équipements militaires décommissionnés sont censés être détruits sur place, ou récupérés par la Defense Logistics Agency qui, précise le NYT, « gère chaque année l'élimination de millions de dollars de matériel excédentaire du Pentagone, des appareils comme le SEEK II et le HIIDE ».
Rhino Trade, l'entreprise texane de surplus qui avait vendu le SEEK II truffé de données personnelles, explique l'avoir acheté lors d'une vente aux enchères d'équipements gouvernementaux, « et qu'il n'avait pas réalisé qu'un appareil militaire déclassé contiendrait des données sensibles » :
« J'espère que nous n'avons rien fait de mal. »
La faute n'émane donc pas seulement de ceux qui ont alimenté le terminal biométrique de toutes ces données. Mais également de leurs supérieurs, ainsi que de la chaîne logistique qui était censée le décommissionner, puis de ceux qui l'ont mis aux enchères lors de cette vente gouvernementale, puis du spécialiste des surplus.
BR précise que le département de la Défense états-unien avait donné 1 200 terminaux à l'armée afghane, avant de se retirer du pays. Mais le média bavarois explique aussi que le transfert de données vers et depuis ABIS a depuis été désactivé, confirmant que les talibans ne pourraient éventuellement accéder qu'aux seules données encore présentes dans les cartes mémoires non chiffrées.
Interrogé à ce sujet, le département de la Défense n'a pas daigné préciser le nombre de terminaux qui auraient pu être saisis ou récupérés par les talibans. L'analyse inforensique du CCC confirme cela dit qu'il est improbable, comme nous l'écrivions en 2021, que les talibans aient pu accéder aux données des Afghans fichés par l'armée américaine et ses partenaires de l'OTAN, pas plus qu'à leurs supplétifs.
Le fait de découvrir que le CCC n'en a pas moins réussi à accéder aux données de 2 632 personnes, qui n'avaient été ni chiffrées, ni décommissionnées, révèle cela dit moins d'une inculture crasse des questions de cybersécurité que d'un trou dans la raquette de la chaîne logistique de l'armée US.
Il n'en reste pas moins que, comme nous l'avions déjà écrit en 2021, cette façon « putaclic » de crier au loup vis-à-vis de ces technologies intrusives (voir L'irrésistible banalisation de la reconnaissance faciale, notamment) en général, émanant des forces armées états-uniennes en particulier, ne sert ni le combat légitime pour le droit à la vie privée et contre la montée en puissance de la société de surveillance, ni la confiance dans la capacité des journalistes, des médias et des ONG à identifier les problèmes (voir aussi nos enquêtes sur Pegasus).
