One Million Passports Leaked Online

Fuite massive de données : les risques de la vérification d’identité décentralisée

Une base de données contenant près d’un million de passeports a été exposée en ligne suite à une faille de sécurité. Cet incident illustre le danger majeur consistant à utiliser des documents d’identité hautement sensibles (passeports) pour authentifier des services secondaires à faible valeur ajoutée, comme la vérification d’âge dans des points de vente.

Points clés :

• Centralisation des risques : L’agrégation de données hautement confidentielles dans des systèmes tiers peu sécurisés accroît drastiquement la surface d’attaque.
• Disproportion des données : La collecte d’informations critiques pour des usages mineurs crée des « nids à données » particulièrement attractifs pour les cybercriminels.

Vulnérabilités :

• Aucune CVE spécifique n’a été identifiée pour cet incident. La vulnérabilité est ici structurelle : elle relève d’un défaut de gouvernance des données et d’une sécurité insuffisante des systèmes de stockage tiers (fuite de base de données non sécurisée).

Recommandations :

• Principe de minimisation : Ne collecter et ne stocker que le strict minimum d’informations nécessaires à la vérification.
• Évaluation des risques : Éviter l’utilisation de documents d’identité souverains pour des services commerciaux tiers. Privilégier des méthodes de vérification anonymisées ou des jetons de confirmation qui ne nécessitent pas la conservation de la copie du passeport.
• Sécurisation des tiers : Renforcer les audits de sécurité des partenaires externes manipulant des données sensibles.

Source