Le Customs and Border Protection (CBP) des États-Unis a annoncé qu'un incident de sécurité chez l'un de ses sous-traitants a compromis les photos de milliers de voyageurs entrant et sortant du pays.
En plus des photos des visages des personnes, les données volées comprennent également des images montrant les plaques d'immatriculation des voitures qu'ils ont utilisées pour entrer et sortir des États-Unis. Les données visées avaient été recueillies par le CBP sur une période d'un mois et demi, alors que les voyageurs traversaient un poste frontière non spécifié, selon le Washington Post, qui a annoncé la nouvelle.
Dans une déclaration complète, partagée par BuzzFeedNews, l'agence a déclaré que le sous-traitant visé par cette brèche n’avait pas respecté les protocoles de sécurité obligatoires et avait agi à l'insu et sans l'autorisation du CBP lors du transfert des données vers ses propres systèmes.
L'attaque contre le réseau du sous-traitant a été portée à la connaissance de la CBP le 31 mai dernier. Moins de 100 000 personnes ont été touchées et les données volées par les attaquants, dont on ignore encore l’identité, n'avaient pas été retrouvées sur Internet ou sur le dark Web, souligne l'Agence. Aucune information supplémentaire ou autre photo, y compris provenant des passeports ou d'autres documents, n'a été touchée, mais les détails sur l'incident sont plutôt limités.
En fait, l'organisation n'a jamais nommé la source de la brèche, mais les rapports laissent entendre que son nom pourrait avoir été accidentellement révélé de toute façon. Le Washington Post a déclaré que la déclaration que la CBP a partagée avec ses journalistes au sujet de l'incident contenait « Perceptics » dans le titre, bien que la CBP ait refusé de confirmer plus tard si la violation provenait ou non de l'entreprise du même nom.
Perceptics, fournisseur de lecteurs de plaques minéralogiques pour le CBP, aurait été impliqué dans un récent transfert de données dans lequel, selon The Register, quelqu'un aurait offert gratuitement des fichiers exfiltrés de Perceptics sur le dark Web.
Notons que l'incident révélé par le CBP survient alors que l'agence continue de faire pression pour un logiciel de reconnaissance faciale aux aéroports et aux points de passage terrestres. L'agence a pour objectif d'étendre son « système biométrique d'entrée-sortie », afin que les systèmes de reconnaissance faciale soient utilisés sur 97 par cent de tous les passagers aériens sortants d'ici 2021.
La reconnaissance faciale a également été mise à l'honneur il y a trois semaines, lorsque la ville de San Francisco a interdit l'utilisation de cette technologie par les agences municipales. Tony Anscombe, évangéliste de l'ESET pour la sécurité mondiale, a pesé sur cette décision, ainsi que sur certaines des implications plus larges de la technologie dans cet article