Une base de données massive contenant 2,2 millions de terroristes présumés et des “personnes et entités à risque accru” aurait fuité en ligne. Pas de piratage donc mais une indélicatesse d’un tiers vis-à-vis de cette base pourtant hautement restreinte d’accès.
Le chercheur Chris Vickery a déclaré sur Reddit qu’il avait réussi à obtenir une copie datant de mi-2014 de la base de données confidentielle “World-Check”, qui est utilisée par les banques, les gouvernements et les agences de renseignement dans le monde entier pour mesurer le niveau de risque, y compris pour les terroristes présumés. La base de données ayant fuitée contient plus de 2,2 millions de dossiers visant des personnes soupçonnées de terrorisme, de crime organisé, de blanchiment d’argent, de corruption, et “d’autres activités peu recommandables”.
Selon Thomson Reuters, qui dirige le service World-Check, cette base est utilisée par 4 500 institutions, y compris 49 des 50 plus grandes banques du monde, et par plus de 300 gouvernements et agences de renseignement, ou encore cabinets d’avocats. Bien que l’accès à la base de données World-Check est censé être fortement restreint en vertu des lois européennes sur la vie privée, Reuters affirme qu’un tiers anonyme a exposé une version obsolète de la base de données en ligne, sans pour autant qu’il y ait eu un quelconque piratage.
Vickery ne révèle pas comment il est parvenu à se procurer une copie des données, mais il déclare :
“Aucun piratage n’a eu lieu pour permettre l’acquisition de ces données. Je considère cela comme une fuite, mais totalement indirecte. Les détails exacts ne pourront être partagés qu’à une date ultérieure.“
Pendant ce temps, le chercheur a déclaré à la BBC que la base de données n’implémentait aucune protection comme l’authentification pour protéger les enregistrements. Toutefois, il précise que “cette base de données non protégée n’a pas été directement hébergée par Thomson Reuters lui-même“. Vickery a également expliqué aux médias que l’emplacement exact a été révélé à Thomson Reuters mais que la base de données est toujours disponible en ligne actuellement :
“Pour autant que je sache, l’emplacement d’origine de la fuite est toujours exposé via le réseau Internet public. Thomson Reuters travaille fébrilement pour combler la fuite“, a déclaré Vickery.
La base de données World-Check contient, en plus des identités complètes, les dates et lieux de naissance des individus dans un effort pour aider les banques et les entités gouvernementales à vérifier qu’ils sont à la recherche des bonnes personnes.
World-Check : Une base de données terroriste mondiale controversée
La base de données World-Check a de maintes fois été accusée de désigner abusivement des individus et des organisations terroristes à leur insu. La BBC a révélé des désignations terroristes inexactes après avoir eu accès pendant 30 minutes à la dite base de données en août 2015. Une enquête menée par Vice en février 2016 avait également révélé qu’il y avait plusieurs personnes sur la liste de base de données avec une désignation de terroriste, y compris “un leader musulman américain des droits civiques salué par George Washington Bush, un économiste honoré par la reine d’Angleterre, et un éminent militant anti-extrémisme. ” Cependant, Reuters rejette ces accusations en bloc.
“La pire situation possible qui pourrait survenir est que quelqu’un qui peut être innocent, mais accusé d’activités criminelles dans la base de données, pourrait être marqué de façon permanente à l’échelle mondiale si cette base de données devait être étalée publiquement“, a déclaré Vickery.
Vickery a déjà suivi de près un certain nombre de bases de données exposées sur Internet par le passé. Il est aussi celui qui a rapporté l’énorme fuite touchant près de 191 millions de votants américains et celle ayant exposé les informations personnelles de 13 millions d’utilisateurs de MacKeeper. En avril, Vickery a également rapporté la fuite de 93 millions d’électeurs mexicains. A chaque fois, la fuite provenait d’une erreur de configuration dans une base de données MongoDB.
Les commentaires sont fermés.