Discussion :

[Malick]

USA : un logiciel utilisé par le FBI pour l'analyse des empreintes digitales contiendrait du code fabriqué en Russie,
une menace pour le SI des forces de l'ordre ?

Aujourd'hui, plusieurs médias ont relayé l'information selon laquelle un des logiciels utilisés par le FBI ( Federal Bureau of Investigation) dans le cadre de ses travaux d'analyse d'empreintes digitales contiendrait du code fabriqué par une société d'informatique russe dénommée Papillon Systems. Il se trouve qu'en plus du FBI, plus de 18 000 autres agences d'application de la loi américaine sont également en train d'utiliser le logiciel compromis. D'après les informations recueillies, l'existence de ce code d'origine russe au sein du dit logiciel a été révélée par deux anciens employés de Sagem Sécurité (rebaptisée Morpho), qui est de surcroît une filiale de la société française Safran Group : Philippes Desbois et Georges Hala.

L'éditeur BuzzFeed News nous rapporte en effet que les deux ex-employés de Sagem Sécurité ont déclaré que la société avait secrètement acheté du code auprès de la société russe de sécurité informatique Papillon Systems. Par la suite, ce code a été intégré dans le logiciel d'analyse d'empreintes digitales que l'entreprise a vendu au FBI en 2011. Selon BuzzFeed News, cette transaction rentrait dans le cadre de l'initiative dénommée Next Generation Identification qui, en plus de refonte de sa technologie de reconnaissance des empreintes digitales, visait également à élargir l'utilisation de la biométrie par le FBI, y compris la technologie de reconnaissance du visage et de l'iris.

Ces derniers soutiennent en effet que Safran a délibérément dissimulé au FBI le fait qu'elle avait acheté le code russe dans le cadre d'un accord secret. On nous informe également que Papillon Systems travaille régulièrement avec des organismes d'application de la loi en Russie, y compris le Service fédéral de sécurité russe (FSB). Rappelons que le FSB a été pointé du doigt par les agences de renseignement américaines qui l'accusent d'avoir interféré dans la récente élection présidentielle de 2016.

Selon l'un des dénonciateurs, en l'occurrence Philippe Desbois, les responsables de la société française s'inquiétaient du fait que le FBI apprenne la vérité quant à l'origine du code. « Ils m'ont dit : nous aurons de gros problèmes si le FBI est au courant de l'origine de l'algorithme », aurait déclaré Desbois, ancien PDG de la filiale de Safran en Russie.

Dans son communiqué, BuzzFeed News déclare avoir examiné une copie non signée de l'accord entre les sociétés française et russe, et que les deux hommes ont déclaré avoir obtenue en travaillant pour Morpho. L'éditeur ajoute que dans ledit accord, il est conféré à Sagem Sécurité le droit d'intégrer le code de Papillon Systems dans le logiciel de la société française et de vendre le produit fini en tant que technologie propre. Il stipule également que Papillon fournira des mises à jour et des améliorations pendant une période de cinq années qui a pris fin le dernier jour de l'année 2013. En contrepartie, Sagem Sécurité a accepté de payer une redevance initiale d'environ 3,8 millions d'euros en plus des frais annuels.

« Desbois, qui a déposé une plainte devant un tribunal fédéral américain accusant Safran d'avoir frauduleusement prélevé plus de 1 milliard de dollars auprès de plusieurs organismes d'application de la loi américaine, a déclaré qu'au moins trois hauts responsables de l'entreprise lui avaient souligné à plusieurs reprises qu'il était important que le contenu du contrat en question soit gardé top secret. En cas de divulgation, cela pourrait compromettre les contrats sur le marché américain, que la société convoitait », rapporte BuzzFeed News.

Cette affaire soulève des inquiétudes quant à la possibilité, pour les pirates informatiques russes, d'avoir des accès non autorisés à des informations biométriques sensibles portant sur des millions de citoyens américains.

Rappelons que depuis les dernières élections présidentielles, les rapports entre les États-Unis et la Russie ont été fortement affectés par de nombreux incidents. Les États-Unis, accusant la Russie de plusieurs attaques dans le but d’influencer les résultats des dernières élections présidentielles, ont commencé à se défaire des services russes dans ses systèmes. C'est ainsi qu'au mois de septembre dernier, le Sénat a voté une loi pour interdire l'usage des produits de Kaspersky au niveau fédéral. Sur la même lancée, le président Donald Trump a promulgué au début du mois de décembre courant une loi interdisant l'utilisation des produits édités par Kaspersky Lab au sein du gouvernement américain, mettant ainsi fin au « bras de fer » entre l’entreprise russe et les agences fédérales américaines qui aura duré plusieurs mois.

Source : BuzzFeed News

Et vous ?

Que pensez-vous de cette affaire ?
Pensez-vous que cela constitue une menace quant à la protection de la vie privée ?

[Lcf.vs]

Bon, ben, il ne nous reste plus qu'à changer de biométrie... ah, non, juste, on peut pas...

Et dire qu'on pousse les gens vers ce genre de solutions, prétendant une meilleure sécurité qu'avec un mot de passe.

[lohworm]

Ils ont acheté, par économie de refaire de leur côté ce qui a déjà été fait mieux ailleurs, un code source qu'ils ont pu examiner à loisir avant de l'intégrer ?
Ou bien ils ont acheté une boite noire qui en plus de faire ce qu'on attend d'elle, pourrait faire en plus des choses suspectes ?

[Angelsafrania]

Me tromperais-je en disant que des relectures/analyse de code sont possible et faite dans ce genre de cas ?
Un peu comme Windows dans l'armée qui fait des analyse pour voir s'il y a pas de problème.
Après ça peu être bien planqué, mais c'est un logiciel un peu critique et développer par une société étrangère donc y'a plus de surveillance non ?
Un logiciel développé au USA avec une entreprise américaine mais "acheté" par un gouvernement étranger c'est encore plus dangereux non (car moins de drapeau rouge pour faire gaffe) ?

[halaster08]

Cette affaire soulève des inquiétudes quant à la possibilité, pour les pirates informatiques russes, d'avoir des accès non autorisés à des informations biométriques sensibles portant sur des millions de citoyens américains.

Encore une fois, rien de concret, rien de vérifiable mais c'est pas grave, comme les russes sont forcément méchant, tout code écrit en Russie est un malware ...

[Invité]

Doit on rappeler qu'il est possible de reproduire des empruntes digitales ?

[Mr-Jay]

Je ne suis pas sur de bien comprendre, on parle juste d'un algorithme acheté par la société française à une société russe, ou d'un code malveillant ajouter intentionnellement?

Car dans le premier cas, je vois pas l’intérêt de ce poste, qu'un algo sois français, anglais, russe, américain, ça reste un algo ils doivent bien savoir ce qu'ils fait et l'avoir décortiqué, aucune preuve qu'il sois malveillant et son origine ne suffit pas à crier au loup. Après si la société française de ne sait pas ce que fait l'algo exactement, la encore qu'importe son origine, le problème reste le même, n'importe quels pays auraient pus vouloir faire trafiquer le code.

[atha2]

Source : BuzzFeed News
...

[Washmid]

Je suis sûr qu'il existe un ou deux logiciels utilisés par le monde entier et qui contiennent du code fabriqué aux USA

[hotcryx]

"USA : un logiciel utilisé par le FBI pour l'analyse des empreintes digitales contiendrait du code fabriqué en Russie, une menace pour la vie privée ?"

La menace est américaine, arrêtez de croire tous les crétins qui pointent du doigt, ce sont des menteurs.
Probablement que les ricains devraient arrêter de manger des OGM et des pesticides à longueur de journée.

[hotcryx]

Bon, ben, il ne nous reste plus qu'à changer de biométrie... ah, non, juste, on peut pas...

Et dire qu'on pousse les gens vers ce genre de solutions, prétendant une meilleure sécurité qu'avec un mot de passe.

Ils veulent nous pousser vers la puce RFID et la marque de la bête 666.
Sans cette marque sur le front ou sur la main, plus personne de pourra acheter et vendre, petit et grand, jeune et vieux, riche et pauvre...

[Michel]

Le grand complot des maitres du monde est en train de nous asservir !
Toujours les mêmes méthodes : de vagues affirmations invérifiables dont le seul but de est de faire peur.
Le monde est plein de salopards et et je croise plus souvent ceux de mon quartier que les russes même si je n'identifie aucun des deux groupes.
Bref, on est sur un forum de développeurs et si on veut convaincre il suffit de montrer ce fameux code pourri que certains affirment avoir découvert .

[domi65]

Que pensez-vous de cette affaire ?

Nous reste-t-il un espoir quelconque de survivre encore un peu après une nouvelle pareille ?
Du code russe ! Au moins, dites ces mots tout doucement, chuchotez-les, tellement ils nous glacent le sang !
Je préfère encore que vous gueuliez « Keiser söze », malgré tout l'effroi que ça nous inspire.

[Grisou]

Je me méfierai plus du code fourni par les USA que celui fourni par les Russes. Le FBI qui s'inquiète, on aura tout vu.

Sur ce coup là, je rejoins @hotcryx

[Gabrieel]

parfois je me dis que je n'aimerai pas être russe quand je vois comment ils sont traités comme des pestiférés dans les news...

[jope004]

A mon avis, ce n'est pas un algorithme en lui-même qui peut créer un problème de confidentialité ou de sécurité (backdoor ...).
Cet algorithme n'est qu'un logiciel affecté à une tâche précise : comparer des empreintes ou autres données physiologiques, donc du traitement d'images.
Il y a probablement beaucoup plus de risques de confidentialité et de sécurité à utiliser des OS, routeurs, anti-virus, ou autres ... qui peuvent se connecter facilement à un serveur pour uploader des données volées.

[Saverok]

A mon avis, ce n'est pas un algorithme en lui-même qui peut créer un problème de confidentialité ou de sécurité (backdoor ...).
Cet algorithme n'est qu'un logiciel affecté à une tâche précise : comparer des empreintes ou autres données physiologiques, donc du traitement d'images.
Il y a probablement beaucoup plus de risques de confidentialité et de sécurité à utiliser des OS, routeurs, anti-virus, ou autres ... qui peuvent se connecter facilement à un serveur pour uploader des données volées.

Parce que tu penses que les empreintes sont stockées en locales ???
Pour faire de la comparaison d'empreintes, faut bien accéder aux serveurs qui les stockent et donc, établir des connexions distantes.

De plus, les backdoors peuvent être sur des accès sortant comme des portes ouvertes pour des accès entrant