Fuite massive de données chez un spécialiste de l’empreinte digitale

44405378084_0c63a36313_o.jpg

La CNIL s’est récemment exprimée sur le cadre juridique des contrôles d’accès biométriques installés en entreprise.

Certaines entités ont effectivement recours à l’identification et au contrôle d’accès par le biais d’empreintes digitales ou autres systèmes faisant intervenir des données personnelles à caractère biométrique. Des données identifiées comme sensibles au sens du RGPD.

Plus d’un million d’empreintes digitales dans la nature

Tel est le cas de la société Suprema, dont le système de sécurité BioStar 2 a subi une faille de sécurité entrainant ainsi la fuite de plus d’un million d’empreintes digitales. Pour information ce système de sécurité est également utilisé par d’importantes organisations telles que des institutions bancaires ou encore la police britannique.

Plus de détails concernant cette faille :

  1. une fuite de plus d’un million d’empreintes digitales ;

  2. la possibilité d’ajouter son empreinte digitale dans le système ou même de remplacer une empreinte existante par une nouvelle, anéantissant ainsi toute la sécurité promise ; et

  3. plus d’un million d’empreintes, mots de passes et données de reconnaissance faciale n’étaient pas cryptées (ce qui constitue en soi une violation pure et simple de l’article 32 du RGPD). 

Un risque important d’utilisation malveillante

Pour rappel, dans pareil cas de violation de données à caractère personnel, l’article 33 du RGPD impose notamment au responsable de traitement de « décrire les conséquences probables de la violation de données à caractère personnel ».

En l’occurrence, ces possibles conséquences sont d’envergure et l’on imagine de quel ordre elles peuvent être. Utilisation des données à des fins malveillantes, accès illégitime à des zones qui requièrent une protection maximale, etc. La liste est longue !

Fort heureusement, la société Suprema a récemment indiqué avoir stoppé et corrigé la faille de son système.

(Source : Clubic)