Tout en offrant plus de sécurité, l’utilisation des empreintes digitales crée encore plus de données à exposer. C’est le cas d’une entreprise qui, avec une vulnérabilité, a permis l’accès au les empreintes digitales de plus d’un million de personnes.
Selon o The Guardian, la faille a déjà été corrigée, mais elle a mis au jour des enregistrements de reconnaissance faciale, ainsi que des noms d’utilisateurs et des mots de passe non cryptés. Les données sont conservées par la Cour suprême, une société qui propose un système de sécurité biométrique.
Baptisé Biostar 2, il utilise les empreintes digitales et la reconnaissance faciale pour autoriser l’accès à des zones telles que les bureaux et les entrepôts. En juillet, la Cour suprême a annoncé l’intégration de Biostar 2 avec AEOS, un autre système utilisé par 5 700 organisations, dont des gouvernements, des banques et la police de Londres.
Cette lacune a été découverte par les chercheurs en sécurité Noam Rotem et Ran Locar, en collaboration avec vpnMentor, un site qui évalue les services de VPN. Dans le cadre d’un projet parallèle, ils ont vérifié les ports sur des blocs IP connus pour trouver d’éventuelles défaillances dans les systèmes d’entreprise.
Dans le cas de Suprema, ils ont pu accéder à la base de données via un navigateur et manipuler l’URL pour afficher encore plus d’informations. Ils ont identifié des registres d’entreprises dans des pays tels que les États-Unis, le Royaume-Uni, le Japon, l’Allemagne et l’Inde.
Les chercheurs ont compté 27,8 millions d’enregistrements, l’équivalent de 23 Go de données. Cela comprend les empreintes digitales, la reconnaissance faciale, les photos, les noms d’utilisateur et les mots de passe, les registres d’accès et les informations sur le niveau de sécurité.
La vulnérabilité était telle qu’ils pouvaient ajouter des utilisateurs à la base de données, ce qui permettrait à des personnes non autorisées d’accéder aux installations de l’entreprise. Andy Ahn, directeur du marketing à la Cour suprême, a déclaré au Guardian que l’entreprise a entamé une “évaluation approfondie” et qu’elle informera ses clients si nécessaire.
“S’il existe une menace certaine pour nos produits et/ou services, nous prendrons des mesures immédiates et ferons les annonces appropriées pour protéger les activités et les biens précieux de nos clients”, a-t-il déclaré.
