L’appareil en forme de boîte à chaussures, conçu pour capturer les empreintes digitales et effectuer des scans d’iris, a été mis en vente sur eBay pour 149,95 $. Un chercheur allemand en sécurité, Matthias Marx, a proposé avec succès 68 $, et lorsqu’il est arrivé chez lui à Hambourg en août, la machine portable robuste contenait plus que ce qui était promis dans la liste.
La carte mémoire de l’appareil contenait les noms, nationalités, photographies, empreintes digitales et scans de l’iris de 2 632 personnes.
La plupart des personnes figurant dans la base de données, qui a été examinée par le New York Times, venaient d’Afghanistan et d’Irak. Beaucoup étaient des terroristes connus et des personnes recherchées, mais d’autres semblaient être des personnes qui avaient travaillé avec le gouvernement américain ou qui avaient simplement été arrêtées à des points de contrôle. Les métadonnées sur l’appareil, appelées Secure Electronic Enrollment Kit, ou SEEK II, ont révélé qu’il avait été utilisé pour la dernière fois à l’été 2012 près de Kandahar, en Afghanistan.
L’appareil – une relique du vaste système de collecte biométrique que le Pentagone a construit dans les années qui ont suivi les attentats du 11 septembre 2001 – est un rappel physique que bien que les États-Unis aient abandonné les guerres en Afghanistan et en Irak, les outils construits pour les combattre et les informations qu’ils détenaient vivent d’une manière non intentionnelle par leurs créateurs.
On ne sait pas exactement comment l’appareil a fini par passer des champs de bataille en Asie à un site d’enchères en ligne. Mais les données, qui offrent des descriptions détaillées des individus en plus de leur photographie et de leurs données biométriques, pourraient suffire à cibler des personnes qui étaient auparavant inconnues pour avoir travaillé avec les forces militaires américaines si les informations tombaient entre de mauvaises mains.
Pour ces raisons, M. Marx n’a pas voulu mettre les informations en ligne ni les partager sous un format électronique, mais il a permis à un journaliste du Times en Allemagne de voir les données en personne à ses côtés.
“Parce que nous n’avons pas examiné les informations contenues sur les appareils, le département n’est pas en mesure de confirmer l’authenticité des données présumées ou de les commenter autrement”, a déclaré le brigadier. Le général Patrick S. Ryder, attaché de presse du département de la Défense, a déclaré dans un communiqué. “Le département demande que tout appareil susceptible de contenir des informations personnellement identifiables soit renvoyé pour une analyse plus approfondie.”
Il a fourni une adresse au responsable du programme biométrique de l’armée à Fort Belvoir en Virginie, où les appareils pourraient être envoyés.
Les données biométriques du SEEK II ont été recueillies dans des centres de détention, lors de patrouilles, lors de dépistages d’embauches locales et après l’explosion d’une bombe improvisée. À peu près au moment où l’appareil a été utilisé pour la dernière fois en Afghanistan, l’effort de guerre américain s’amenuise. Oussama ben Laden avait été tué au Pakistan un an plus tôt – son identité aurait été confirmée grâce à la technologie de reconnaissance faciale.
L’une des principales préoccupations des chefs militaires à l’époque était une série de fusillades au cours desquelles des soldats et des policiers afghans ont braqué leurs armes sur les troupes américaines. Ils espéraient que le programme d’inscription biométrique aiderait à identifier d’éventuels agents talibans à l’intérieur de leurs propres bases.
UNE 2011 « Guide du commandant sur la biométrie en Afghanistan » décrit les scans du visage, des empreintes digitales et de l’iris comme une “capacité de champ de bataille relativement nouvelle” mais “décisive” qui “identifie efficacement les insurgés, vérifie les ressortissants locaux et de pays tiers accédant à nos bases et installations, et relie les gens aux événements”.
Le SEEK II a un petit écran, un clavier physique miniature et un tapis de souris presque comique. Un lecteur d’empreintes digitales est protégé par un couvercle en plastique à charnière au bas de l’appareil. Comme un ancien appareil photo Polaroid, la machine se déplie pour permettre des balayages d’iris et pour prendre des photos. M. Marx a utilisé le SEEK II sur lui-même ; lorsqu’il l’a éteint, un message est apparu, demandant de se connecter à un serveur du Commandement des opérations spéciales des États-Unis pour télécharger les nouvelles “données biométriques collectées”.
Au cours de l’année écoulée, M. Marx et un petit groupe de chercheurs du Chaos Computer Club, une association européenne de hackers, ont acheté six dispositifs de capture biométrique sur eBay, la plupart pour moins de 200 euros, prévoyant de les analyser pour trouver d’éventuelles vulnérabilités ou conceptions. défauts. Ils étaient motivés par préoccupations soulevées l’année dernière que les talibans avaient saisi de tels appareils après l’évacuation américaine d’Afghanistan. Le groupe de chercheurs voulait comprendre si les talibans auraient pu obtenir des données biométriques sur les personnes qui avaient aidé les États-Unis à partir des appareils, les mettant en danger.
Trouver autant d’informations non cryptées et facilement accessibles les a choqués.
“C’était troublant qu’ils n’aient même pas essayé de protéger les données”, a déclaré M. Marx, se référant à l’armée américaine. “Ils ne se souciaient pas du risque, ou ils l’ignoraient.”
