Les données proviennent du système 'Biostar 2' de la firme sud-coréenne Suprema, qui, à l'entendre, est numéro un du marché européen en matière de systèmes de contrôle d'accès sur base de données biométriques. Biostar 2 permet d'utiliser en tant que clé les empreintes digitales ou les scans faciaux via une plate-forme basée web. Les entreprises peuvent ainsi organiser elles-mêmes le contrôle d'accès à leurs bâtiments. AEOS, un système de contrôle d'accès dans lequel Biostar 2 est intégré, est utilisé par 5.700 organisations dans 83 pays, dont des pouvoirs publics, des banques et la police britannique.

La fuite de données a été découverte par les chercheurs israéliens Noam Rotem et Ran Lokar, qui travaillent pour l'entreprise de sécurité vpnMentor. Ils ont constaté qu'il était possible d'exercer un contrôle complet sur les comptes dans le système. Les chercheurs ont eu accès à plus de 27,8 millions d'ensembles de données et à 23 giga-octets d'informations, parmi lesquelles des données d'empreintes digitales et de reconnaissance faciale, des photos de visages d'utilisateur, des noms d'utilisateur et des mots de passe non cryptés, ainsi que des données personnelles d'employés. D'après les chercheurs, les données biométriques étaient toutes stockées sans hash. De plus, les données pouvaient être manipulées. C'est ainsi qu'un chercheur a réussi à remplacer l'empreinte digitale de quelqu'un par la sienne.

Les Israéliens citent Adecco Belgique comme étant l'une des entreprises, aux données de laquelle ils ont eu accès. Ils ont trouvé quelque 2.000 empreintes digitales liées à l'agence d'intérim.

"Si votre employeur ou une entreprise, dont vous êtes client, utilise BioStar 2, il est possible que vos données personnelles, empreintes digitales ou photo du visage aient pris la clé des champs", signalent-ils sur un blog. "Cette faille peut du reste être abusée par une large gamme d'activités criminelles, ce qui s'avèrerait catastrophique tant pour les organisations concernées que pour leurs employés et/ou clients."

La faille sécuritaire a été découverte le 5 août, et vpnMentor en a informé Suprema le 7 du même mois. Cette firme a alors fait savoir au journal The Guardian qu'elle avait effectué une "évaluation en profondeur de la situation". Depuis mardi, la banque de données n'est plus en ligne. Les chercheurs font toutefois observer qu'une fuite de données de ce genre (empreintes digitales ou photos de visage) est très problématique, parce que l'utilisateur ne peut les modifier, une fois qu'elles ont été dérobées et ce, contrairement aux mots de passe.