Un système de sécurité laisse fuiter plus d'un million d'empreintes digitales

Nassim Chentouf
Publié le 16 août 2019 à 20h20
Empreinte digitale

Un grand nombre de sociétés se reposent sur une base de données biométrique pour permettre aux employés d'entrer dans des locaux protégés. Mais comme parfois en sécurité informatique, des failles sont présentes et permettent d'accéder à ces données sensibles.

Et c'est une affaire du genre qui a touché le système de sécurité BioStar 2 de la société Suprema. Une faille de sécurité majeure détectée, par une équipe de recherche en cybersécurité appelée vpnMentor. Cette découverte a été relayée par Noam Rotem, l'un des chercheurs de l'équipe. Suprema a depuis expliqué que la faille a été comblée suite à ces révélations.

Un million d'empreintes digitales exposés

C'est une faille de taille que présentait le système de sécurité BioStar 2, développé par Suprema. Un système utilisé par des instances importantes, comme la police britannique ou encore des banques. Dans le fichier se trouvait notamment un million d'empreintes digitales permettant aux personnes autorisées d'accéder à certains bâtiments.

À travers cette faille, le chercheur Noam Rotem de vpnMentor, à l'origine de la découverte, explique qu'il était possible d'ajouter son empreinte digitale dans la base de données ou de remplacer celle de quelqu'un déjà enregistré.

L'affaire est d'autant plus grave qu'en plus du million d'empreintes digitales, des mots de passe et données liées à la reconnaissance faciale n'étaient pas cryptés. N'importe qui aurait pu les utiliser à des fins malveillantes.

Lire aussi :
FireEye vient d'identifier un nouveau groupe de hackers chinois, APT41, qui a pris la France pour cible

Une faille depuis résolue... après la révélation

Comme l'explique Suprema, c'est depuis mercredi dernier que la faille de sécurité a été corrigée. Il aura fallu que l'affaire soit révélée pour que les dispositions soient prises.

Et pour cause : Noam Rotem explique avoir tenté d'alerter Suprema quant à cette faille majeure, mais que la firme n'a jamais répondu. Face à ce silence, le chercheur de vpnMentor a donc décidé de dévoiler à la presse, comme l'important The Guardian, la présence de cette faille exposant plus d'un million d'empreintes digitales, mots de passe et autres données sensibles.

Lire aussi :
Un rapport révèle l'ampleur des ingérences de la Russie lors de l'élection de Donald Trump

Pour Noam Rotem, l'un des points les plus graves vient notamment du fait que, contrairement à un mot de passe, modifier une empreinte digitale ou un visage (pour la reconnaissance faciale) est impossible à détecter en cas d'ingérence.

Source : The Guardian
Nassim Chentouf
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (5)
PirBip

Woh, mais c’est pas possible qu’il faille attendre le dévoilement public d’une faille pour que celle-ci soit comblée ! Quel niveau d’amateurisme de la part d’une entreprise de… De sécurité justement !
Que quelqu’un dont la sécurité ne soit pas le but principal, je peux comprendre même si je trouve ça déjà assez néfaste. Mais là c’est le pompon qui fait déborder l’eau du bain !

Judah

Bon au moins les empreintes digitales ne tiendront plus dans un tribunal maintenant que n’importe qui peut les hacker. N’importe quel avocat pourra se servir du fait que les empreintes de son client retrouver sur la scène du crime ont pu être récupéré à droite ou à gauche… :rofl:

Catstom

Pourquoi stocker ce genre de données dans un cloud???
Il n’y a pas moyen de les stocker en interne ???

GRITI

Et dire qu’ils veulent généraliser la biométrie pour l’identification… Et il faut que l’on soit confiant dans tous ces systèmes !!!
Au vu du comportement de Suprema, il devrait y avoir une amende super salée, communication de l’incident sur de nombreux médias (à ses frais) et pourquoi pas mise sous tutelle pendant un certain temps. Enfin, un truc bien lourd pour décourager toutes les autres boites d’agir de la même manière.
Bien vu de la part du chercheur d’avoir révéler l’affaire !!! Question: il y en a d’autres des boites qui ont eu le même souci sans que l’on soit au courant !!! Qui a répondu “Pointe émergée de l’iceberg…”?

xryl

C’est juste un peu plus douloureux de changer son mot de passe.
Vouz’en’fait’pa, le chalumeau ça fait mal que les premières 10s après, les nerfs sont cuits, on sent plus rien.

Dernières actualités
Comment essayer Google Veo 2 en France dès aujourd’hui ?
Colis de Noël : les escrocs usurpent l'identité de Mondial Relay pour vous piéger par SMS, soyez prudents !
Abonnés à des services IPTV pirates, ils peuvent continuer de dormir sur leurs deux oreilles !
192 000 appareils Android infectés : le malware BadBox se propage en dehors de l'Allemagne et cible les Smart TV
ExpressVPN part à la conquête du marché eSIM avec Holiday.com
Google Agenda : cette nouvelle campagne de phishing pourrait coûter cher à vos données
Votre profil Instagram a peut-être son jumeau maléfique... et il compte déjà plus d'abonnés que vous !
Un problème de cybersécurité ? En 4 clics, le 17Cyber vous dit de quoi vous souffrez et comment réagir
Facebook
X
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles