Une mauvaise configuration du serveur a révélé l’intégralité du code source de l’application controversée de reconnaissance faciale Clearview AI.
Une défaillance de sécurité de la startup controversée de reconnaissance faciale Clearview AI a fait que son code source, certaines de ses clés secrètes et ses informations d’identification de stockage dans le cloud, et même des copies de ses applications étaient accessibles au public. TechCrunch rapporte qu’un serveur exposé a été découvert par Mossab Hussein, directeur de la sécurité de la firme de cybersécurité SpiderSilk, qui a constaté qu’il était configuré pour permettre à quiconque de s’inscrire en tant que nouvel utilisateur et de se connecter.
Clearview AI a fait parler d’elle en janvier, lorsqu’un article du New York Times a détaillé sa vaste base de données de reconnaissance faciale, qui se compose de milliards d’images extraites de sites Web et de plateformes de réseaux sociaux. Les utilisateurs téléchargent une photo d’une personne d’intérêt, et le logiciel Clearview AI tentera de la faire correspondre avec des images similaires dans sa base de données, révélant potentiellement l’identité d’une personne à partir d’une seule image.
Depuis que son travail est devenu public, Clearview AI s’est défendu en disant que son logiciel n’était disponible que pour les organismes d’application de la loi (bien que des rapports affirment que Clearview commercialise son système auprès d’entreprises privées. De mauvaises pratiques de cybersécurité comme celles-ci pourraient cependant permettre à cet outil puissant de tomber entre de mauvaises mains en dehors de la liste des clients de l’entreprise.
Selon TechCrunch, le serveur contenait le code source de la base de données de reconnaissance faciale de l’entreprise, ainsi que des clés secrètes et des informations d’identification qui permettaient d’accéder à une partie de son stockage cloud contenant des copies de ses applications Windows, Mac, Android et iOS. Hussein a pu prendre des captures d’écran de l’application iOS de l’entreprise, qu’Apple a récemment bloquée pour violation de ses règles. Les jetons Slack de la société étaient également accessibles, ce qui aurait pu permettre l’accès aux communications internes privées de la société.
Hussein a également déclaré avoir trouvé environ 70 000 vidéos dans le cloud de l’entreprise prises à partir d’une caméra installée dans un immeuble résidentiel. Le fondateur de Clearview AI, Hoan Ton-That, a déclaré à TechCrunch que les images avaient été capturées avec l’autorisation de la direction du bâtiment dans le cadre des tentatives de prototype d’une caméra de sécurité. L’immeuble lui-même serait situé à Manhattan, mais TechCrunch note que la société immobilière en charge de l’immeuble n’a pas retourné de demandes de commentaires.
Répondant à la défaillance de la cybersécurité, Ton-That a déclaré qu’elle « n’avait divulgué aucune information personnellement identifiable, aucun historique de recherche ou identificateur biométrique » et a ajouté que la société avait « effectué un audit complet de l’hôte pour confirmer qu’aucun autre accès non autorisé ne s’était produit. », Ce qui suggère que Hussein était le seul à accéder au serveur mal configuré. Les clés secrètes exposées par le serveur ont également été modifiées afin qu’elles ne fonctionnent plus.
Le système de Clearview AI a fait l’objet de critiques acerbes de la part des entreprises technologiques ainsi que des autorités américaines après sa publication. Les plateformes utilisées pour construire sa base de données, notamment Facebook, Twitter et YouTube, ont dit à Clearview d’arrêter de collecter leurs images, les services de police ont été avisés de ne pas utiliser le logiciel, et le bureau du procureur général du Vermont a récemment lancé une enquête sur l’entreprise au sujet des allégations selon lesquelles il peut avoir enfreint les règles de protection des données.