Il s'agit en l'occurrence des données de la Customs and Border Protection (CBP) américaine, l'autorité qui prend en photo les voyageurs qui entrent aux Etats-Unis, ainsi que leurs empreintes digitales. Selon la CBP, un sous-traitant non nommément cité a, sans autorisation, copié des photos et plaques minéralogiques sur ses propres serveurs, et s'est fait pirater durant cette opération.

Selon la CBP, il est question des données de moins de cent mille personnes arrivées dans le pays en un lieu spécifique. Il s'agirait uniquement de photos. Celles-ci ne seraient pas associées à des données de passeport ou à d'autres détails personnels. Parmi les victimes, il n'y aurait pas de passagers d'avions à destination des Etats-Unis.

Cette histoire s'avère plutôt inconfortable pour les Etats-Unis, qui collectent le plus d'informations possibles sur les arrivants. On sait que le pays entend à terme recourir complètement au contrôle d'identité biométrique, incluant la reconnaissance facile dans les aéroports les plus fréquentés. Le fait que le CBP n'ait pas donné d'autorisation au sous-traitant pour copier les données en question, joue certes à son avantage, mais par ailleurs, le fait que ledit sous-traitant ait pu agir ainsi en catimini, est préoccupant.

Plus d'une semaine après

En outre, la version de la CBP ne corrobore pas les informations publiées précédemment. C'est ainsi que The Register signalait le 23 mai déjà un piratage chez Perceptics, un sous-traitant de la CBP. Le site découvrit en effet un fichier de quelque 65.000 données, principalement des photos et des plaques d'immatriculation. Perceptics avait alors confirmé le piratage sans guère donner de détails supplémentaires.

Officiellement, la CBP ne confirme pas qu'il s'agit de Perceptics. Mais The Washington Post a fait observer que le document Word dans lequel se trouvait le communiqué de la CBP portait l'appellation 'CBP Perceptics Public Statement'. Il est donc plus que probable qu'il soit question du même piratage.

Mais dans ce cas, l'explication de la CBP n'est pas totalement correcte. L'autorité déclare n'avoir été informée de l'incident que le 31 mai, soit plus d'une semaine, après que Perceptics ait été contactée par The Register à ce propos. En même temps, la CBP déclare ne pas savoir que les données en question circulaient sur internet, voire dans le 'dark web'. Voilà qui n'est pas juste non plus, parce que selon The Register, elles s'y trouvaient depuis le 23 mai déjà et sont du reste encore et toujours disponibles.