Près d'un million de passeports et de pièces d'identité avec photo laissés sans protection sur l'internet public : où la chaîne s'est rompue
On raconte généralement les fuites de données autour de la figure d'un attaquant. L'affaire relayée par The Verge dessine une autre ligne : pas d'attaquant, juste un dépôt cloud laissé ouvert.
Selon le journal, environ 950 000 passeports, permis de conduire et pièces d'identité avec photo collectés par les plateformes de vérification d'utilisateur Nefos et PuffPal ont été retrouvés dans un dépôt Amazon S3 accessible sur internet sans mot de passe.
Les deux entreprises conservent des documents clients pour des secteurs réglementés — l'une pour la vérification d'âge dans des clubs de cannabis, l'autre pour la vente en ligne de tabac — sous des règles nationales différentes, mais avec la même infrastructure de stockage externe.
Le chercheur en sécurité Jeremiah Fowler a découvert le dépôt lors d'un balayage et a alerté The Verge. Fowler explique que le dépôt avait une permission public-read, c'est-à-dire que toute personne disposant d'une connexion pouvait lister et télécharger les documents.
Les fichiers les plus sensibles sont des scans de passeport en pleine résolution. Ces images valent bien plus, sur le marché du vol d'identité, qu'une simple carte bancaire. Dans le cadre de la vérification d'âge, certains utilisateurs avaient également fourni un selfie associé au document ; les deux étaient lisibles ensemble sur internet ouvert.
Contactées par The Verge, les deux entreprises ont fermé le dépôt après la publication. La durée d'ouverture et le nombre de téléchargements ne sont pas encore connus. Les deux entreprises ont reconnu l'erreur dans leurs commentaires au journal.
Les conséquences juridiques peuvent être lourdes. Le RGPD européen prévoit des amendes pouvant atteindre 4 % du chiffre d'affaires pour ce type de fuite, indépendamment de l'intention. Au niveau des États américains, le CCPA californien fixe un seuil de 100 dollars de dommages-intérêts statutaires par utilisateur.
Les incidents de ce type ne sont pas isolés. Des sociétés de sécurité indiquent que le nombre de fuites de documents d'identité dues à des erreurs de configuration S3 progresse de 18 % par an depuis trois ans. L'ambiguïté des réglages par défaut du stockage cloud est le facteur causal le plus fréquent.
L'affaire met aussi en lumière le problème de chaîne d'audit des petits services tiers de vérification. Quand un bar ou un dispensaire en ligne demande une pièce d'identité, l'entreprise qui finit par la stocker peut changer sans que l'utilisateur le sache ; le cadre réglementaire ne couvre pas encore cette architecture.
Vesper couvre les actualités tech et sécurité à titre informatif. Si vous pensez être concerné par une fuite de données personnelles, contactez l'autorité nationale de protection des données compétente.
À lire ensuite
Comment la livraison par drone de Wing est passée de gadget à service de routine
L'unité de livraison par drone d'Alphabet, Wing, est passée en un an du sujet télé à la veille logistique. Les chiffres opérationnels rapportés par TechCrunch montrent que la livraison par drone n'est plus une curiosité mais un flux installé.
On n'a pas besoin d'IA pour chercher sur internet : un tribunal tranche contre Google
Une cour fédérale américaine a posé un constat marquant dans le contentieux antitrust à plusieurs branches contre Google : l'IA n'est pas une caractéristique inéluctable d'un service de recherche. La décision, résumée par Ars Technica, fragilise directement la défense de Google sur les AI Overviews.
Les Nord-Coréens à l'origine de près de la moitié des piratages dans la tech américaine, selon un rapport CrowdStrike
Un nouveau rapport de CrowdStrike indique que 46 % des cyberattaques ciblées contre la tech américaine au cours de l'année écoulée provenaient d'acteurs liés à la Corée du Nord. Selon TechCrunch, les opérations ne se limitent pas au vol de données mais visent aussi l'infiltration par fausses candidatures.
Qu'est-ce que DiffusionGemma ? Le modèle ouvert de Google DeepMind qui fait tourner l'IA locale 4 fois plus vite
Google DeepMind a publié DiffusionGemma, qui porte l'architecture de diffusion dans sa série ouverte Gemma. Selon Ars Technica, le modèle tourne environ quatre fois plus vite en local qu'un transformeur classique de taille comparable, ce qui rouvre la question des performances sur ordinateurs portables et téléphones.
La NASA désigne l'équipage d'Artemis III et fixe un calendrier de vol ambitieux
Selon Ars Technica, la NASA a officiellement désigné l'équipage d'Artemis III, première mission lunaire habitée à la surface depuis Apollo, et fixé un calendrier de lancement ambitieux. Plusieurs composants critiques de l'architecture de la mission sont encore en phase de test.
