5,6 millions de données relatives aux empreintes digitales d'employés fédéraux américains
Ont été subtilisées

Le , par Stéphane le calme

0PARTAGES

2  0 
En juillet dernier, après une attaque sur des installations informatiques de l’OPM (Office of Personnel Management, organisme chargé de prendre en charge les effectifs du gouvernement), les pouvoirs publics ont indiqué que les informations personnelles concernant 21,5 millions d’employés, actuels ou anciens, ont été dérobées.

Dans le bilan provisoire, le service indiquait que 1,1 million d’empreintes digitales figuraient parmi les données dérobées par les pirates. Le bilan définitif va s’avérer beaucoup plus lourd puisque le service indique que ce sont 5,6 millions d’empreintes qui ont été subtilisées. Dans une déclaration, l’OPM a expliqué qu’une opération conjointe avec le Département de la Défense était en cours pour analyser les données touchées et vérifier leur qualité. C’est pendant ce processus que les deux organismes sont tombés sur des données archivées qui contenaient des données d’empreintes digitales et qui n’avaient pas été analysées précédemment.

Les piratages de données biométriques comme les empreintes digitales sont particulièrement inquiétants pour les défenseurs de la vie privée en raison de leur caractère permanent : contrairement aux mots de passe et même aux numéros de sécurité sociale, les empreintes digitales ne peuvent être modifiées.

« Le fait que le nombre [d'empreintes digitales piratées] ait augmenté d’un facteur de cinq est assez ahurissant », a déclaré Joseph Lorenzo Hall, Chief Technologist au Center for Democracy & Technology. « Je suis surpris qu'ils ne disposent pas de structures qui leur auraient permis de déterminer le nombre d'empreintes digitales compromises plus tôt au cours de l'enquête ».

Étant donné que les empreintes digitales remplacent de plus en plus les mots de passe en tant que mesure de sécurité, par exemple pour déverrouiller votre iPhone, les inquiétudes des experts en sécurité vont grandissant sur la manière dont les pirates pourraient les exploiter.

Cependant, du côté des agents fédéraux, l’heure est à la temporisation. Ils estiment que le potentiel « détournement » qui pourrait être fait des empreintes digitales volées est actuellement limité mais « pourrait changer au fil du temps tandis que la technologie évolue ». L’OPM a également déclaré qu’un groupe de travail inter agences, composé d'experts de l'application des lois ainsi que de la communauté du renseignement, va examiner les façons dont les données d’empreintes digitales pourraient être utilisées et essayer de développer des moyens pour empêcher que cela ne se produise.

« Si, à l'avenir, de nouveaux moyens sont développés pour abuser des données d'empreintes digitales, le gouvernement fournira des informations supplémentaires aux personnes dont les empreintes digitales peuvent avoir été volées dans cette violation », a déclaré l'OPM.

La Chine est largement soupçonnée d'être derrière cette intrusion dans les systèmes informatiques, mais les responsables du gouvernement américain ont jusqu'à présent refusé de faire publiquement porter le chapeau de ces cyberattaques à cette nation. Le Président chinois Xi Jinping, actuellement en visite aux États-Unis, a décrit la Chine comme étant un ardent défenseur de la cybersécurité mais aussi la victime de nombreux piratages. Le Président Barack Obama a expliqué que la cybersécurité sera le sujet de discussion principal avec son homologue chinois à la Maison Blanche ce vendredi.

Pour le sénateur Ben Sasse, un républicain du Nebraska qui a accusé l’administration de ne pas prendre la cybersécurité au sérieux, cette annonce de l’OPM met en évidence le fait que les officiels voient cette intrusion dans les systèmes d’informations comme « une crise de relations publiques au lieu de la voir comme une menace à la sûreté nationale ».

Source : OPM

Forum Sécurité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de born to code
Nouveau membre du Club https://www.developpez.com
Le 25/09/2015 à 7:17
Pour prote'ger nos banques et autres institutions financi'eres, le retour au moyen-age s'impose...
Avatar de shkyo
Membre expérimenté https://www.developpez.com
Le 25/09/2015 à 8:27
ça fait plusieurs années que les spécialistes de la sécurité disent que la biométrie n'est pas la bonne solution, car une fois qu'il y a eu compromission des empreintes (digitales, rétiniennes ou autres), c'est mort, on ne plus changer!

perso, je préfère un bon système de clefs RSA, changeant toutes les 30 ou 60s, ça fonctionne très bien...
Avatar de Dgamax
Membre habitué https://www.developpez.com
Le 25/09/2015 à 17:52
Il devrait faire comme chez Apple.
L'empreinte n'est jamais stocké en mémoire morte, il hash+salt l'empreinte pour en faire une clé qui sera stocké dans le téléphone.
Avatar de miky55
Membre averti https://www.developpez.com
Le 27/09/2015 à 17:42
Citation Envoyé par Dgamax Voir le message
Il devrait faire comme chez Apple.
L'empreinte n'est jamais stocké en mémoire morte, il hash+salt l'empreinte pour en faire une clé qui sera stocké dans le téléphone.
Commentaire complètement hors sujet: il n'est dit nulle-part dans l'article que la base d'empreintes piratés servait à s'authentifier, les américains ainsi que d'autres nations disposent de bases de données d'empreintes digitales de criminels, agents fédéraux, militaires et même simples touristes depuis des dizaines d’années...

Par ailleurs, l'ingéniosité du système des iphones ne réside pas dans un hashage mais dans le fait que l'authentification se fait uniquement coté materiel et qu'aucun logiciel ne peut accéder aux données biométriques

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web