Si la brèche en question a rapidement été corrigée, son existence même rappelle la nécessité pour les entreprises d’auditer soigneusement les fournisseurs de solutions biométriques.
Une faille classique : la base accessible depuis Internet
En scannant des ports IP, l’équipe de chercheurs a pu pénétrer dans le système informatique du fournisseur, pour remonter peu à peu jusqu’à la base de données exposée.
Avant que la faille ne soit corrigée, ils ont pu accéder dans l’intervalle à plus d’un million d’empreintes digitales, ainsi qu’à des informations de reconnaissance faciale : autant de données, qui une fois piratées ne peuvent plus être changées, contrairement aux mots de passe et identifiants.
Dans le cas de Suprema, l’accès à ces données a pu être obtenu car la base s’est retrouvée connectée à Internet sans mesures de protections adaptées (un comble pour un fournisseur de solutions de sécurité). Par ailleurs, les données biométriques qu’elle contenait n’étaient pas chiffrées.
Conserver les données sensibles sous forme hachée, une bonne pratique pas toujours appliquée
Pour éviter un tel cas de figure, les experts en cybersécurité de Frost & Sullivan préconisent aux fournisseurs de stocker toutes les données biométriques (et bien entendu les autres données sensibles) sous un format passé au préalable par un algorithme de hachage, afin d’éviter que des pirates ne puissent les reconstruire par rétro-ingénierie ou les remplacer facilement.
Éviter le stockage centralisé, véritable « open bar » en cas d’attaque réussie
D’autres acteurs phares de la biométrie, comme Gemalto, conseillent également de privilégier quand cela est possible les supports décentralisés pour stocker les données biométriques proprement dites : cartes ou tokens possédés par l’utilisateur présentent en effet moins de risque qu’une base rassemblant les données de millions d’individus.
Source IT Social
Vous nous aimez, prouvez-le....