En juillet dernier, après une attaque sur des installations informatiques de l’OPM (Office of Personnel Management, organisme chargé de prendre en charge les effectifs du gouvernement), les pouvoirs publics ont indiqué que les informations personnelles concernant 21,5 millions d’employés, actuels ou anciens, ont été dérobées.Dans le bilan provisoire, le service indiquait que 1,1 million d’empreintes digitales figuraient parmi les données dérobées par les pirates. Le bilan définitif va s’avérer beaucoup plus lourd puisque le service indique que ce sont 5,6 millions d’empreintes qui ont été subtilisées. Dans une déclaration, l’OPM a expliqué qu’une opération conjointe avec le Département de la Défense était en cours pour analyser les données touchées et vérifier leur qualité. C’est pendant ce processus que les deux organismes sont tombés sur des données archivées qui contenaient des données d’empreintes digitales et qui n’avaient pas été analysées précédemment.
Les piratages de données biométriques comme les empreintes digitales sont particulièrement inquiétants pour les défenseurs de la vie privée en raison de leur caractère permanent : contrairement aux mots de passe et même aux numéros de sécurité sociale, les empreintes digitales ne peuvent être modifiées.
« Le fait que le nombre [d'empreintes digitales piratées] ait augmenté d’un facteur de cinq est assez ahurissant », a déclaré Joseph Lorenzo Hall, Chief Technologist au Center for Democracy & Technology. « Je suis surpris qu'ils ne disposent pas de structures qui leur auraient permis de déterminer le nombre d'empreintes digitales compromises plus tôt au cours de l'enquête ».
Étant donné que les empreintes digitales remplacent de plus en plus les mots de passe en tant que mesure de sécurité, par exemple pour déverrouiller votre iPhone, les inquiétudes des experts en sécurité vont grandissant sur la manière dont les pirates pourraient les exploiter.
Cependant, du côté des agents fédéraux, l’heure est à la temporisation. Ils estiment que le potentiel « détournement » qui pourrait être fait des empreintes digitales volées est actuellement limité mais « pourrait changer au fil du temps tandis que la technologie évolue ». L’OPM a également déclaré qu’un groupe de travail inter agences, composé d'experts de l'application des lois ainsi que de la communauté du renseignement, va examiner les façons dont les données d’empreintes digitales pourraient être utilisées et essayer de développer des moyens pour empêcher que cela ne se produise.
« Si, à l'avenir, de nouveaux moyens sont développés pour abuser des données d'empreintes digitales, le gouvernement fournira des informations supplémentaires aux personnes dont les empreintes digitales peuvent avoir été volées dans cette violation », a déclaré l'OPM.
La Chine est largement soupçonnée d'être derrière cette intrusion dans les systèmes informatiques, mais les responsables du gouvernement américain ont jusqu'à présent refusé de faire publiquement porter le chapeau de ces cyberattaques à cette nation. Le Président chinois Xi Jinping, actuellement en visite aux États-Unis, a décrit la Chine comme étant un ardent défenseur de la cybersécurité mais aussi la victime de nombreux piratages. Le Président Barack Obama a expliqué que la cybersécurité sera le sujet de discussion principal avec son homologue chinois à la Maison Blanche ce vendredi.
Pour le sénateur Ben Sasse, un républicain du Nebraska qui a accusé l’administration de ne pas prendre la cybersécurité au sérieux, cette annonce de l’OPM met en évidence le fait que les officiels voient cette intrusion dans les systèmes d’informations comme « une crise de relations publiques au lieu de la voir comme une menace à la sûreté nationale ».
Source : OPM
Forum Sécurité 
Envoyé par Dgamax
