{"id":3954,"date":"2019-08-18T09:26:21","date_gmt":"2019-08-18T07:26:21","guid":{"rendered":"https:\/\/www.ass-security.fr\/blog\/?p=3954"},"modified":"2025-02-16T18:49:06","modified_gmt":"2025-02-16T17:49:06","slug":"vulnerabilite-critique-hack-biostar-2-suprema-biometrique-1-million-d-empreintes-digitales-exposees","status":"publish","type":"post","link":"https:\/\/www.ass-security.fr\/blog\/vulnerabilite-critique-hack-biostar-2-suprema-biometrique-1-million-d-empreintes-digitales-exposees\/","title":{"rendered":"News : Vuln\u00e9rabilit\u00e9 critique de BioStar 2 par Suprema – Contr\u00f4le d\u2019acc\u00e8s biom\u00e9trique, 1 million d’empreintes expos\u00e9es au grand jour"},"content":{"rendered":"\n

Pas tr\u00e8s \u00ab\u2009RGPD\u2009Friendly\u2009\u00bb<\/strong> cette nouvelle faille de s\u00e9curit\u00e9 d\u00e9couverte le 5 ao\u00fbt dernier par les chercheurs \u00e9thiques isra\u00e9liens Noam Rotem<\/strong> et Ran Locar<\/strong> experts en cybers\u00e9curit\u00e9 – VPN Mentor<\/strong>. Une vuln\u00e9rabilit\u00e9 critique touchant l\u2019application Cloud \u00ab\u2009BioStar 2\u2009\u00bb initi\u00e9e par le g\u00e9ant sud-cor\u00e9en \u00ab\u2009Suprema Inc.\u2009\u00bb<\/strong>, leader en solutions de contr\u00f4les d\u2019acc\u00e8s biom\u00e9trique. BioStar 2 est un environnement 100% Cloud qui a pour but d\u2019\u00eatre facilement int\u00e9grable \u00e0 de nombreux hyperviseurs\/superviseur d\u00e9di\u00e9s \u00e0 la s\u00e9curit\u00e9 globale des \u00e9tablissements (contr\u00f4le d\u2019acc\u00e8s<\/a><\/strong>, alarme<\/a><\/strong>, vid\u00e9osurveillance<\/a><\/strong>\u2026). D\u2019apr\u00e8s \u00ab\u2009The Guardian\u2009\u00bb, la faille a \u00e9t\u00e9 rep\u00e9r\u00e9e sur le syst\u00e8me de contr\u00f4le d\u2019acc\u00e8s \u00ab\u2009AEOS\u2009\u00bb utilis\u00e9 par plus de 5500 entreprises\/organisations dans le monde dont \u00e9galement, la police\/d\u00e9fense britannique<\/strong>, ainsi que de nombreuses banques et administrations. Une vuln\u00e9rabilit\u00e9 sans r\u00e9elle n\u00e9cessit\u00e9 d\u2019ing\u00e9nierie ou de tactique d\u2019attaque particuli\u00e8re pour son ex\u00e9cution. <\/p>\n\n\n\n

L\u2019exploitation de cette faille s\u2019appuie sur la modification d\u2019une URL<\/strong> permettant in fine<\/em>, l\u2019\u00e9dition de diff\u00e9rents privil\u00e8ges utilisateurs tout en apportant un acc\u00e8s \u00e0 diff\u00e9rentes donn\u00e9es (mot de passe, donn\u00e9es personnelles, photos..) avec des possibilit\u00e9s d\u2019ajout ou de suppression d\u2019utilisateurs par acc\u00e8s \u00e0 diff\u00e9rents rangs \u00e0 hauts privil\u00e8ges (admin). Que dire de tout cela\u2009? Des donn\u00e9es accessibles \u00ab\u2009en clair\u2009\u00bb<\/strong>, car non crypt\u00e9es, \u00e0 des ann\u00e9es-lumi\u00e8re des discours de cybers\u00e9curit\u00e9 qu\u2019on nous inculque au quotidien. Une v\u00e9ritable ode \u00e0 l\u2019usurpation<\/strong> d\u2019identit\u00e9 dans des environnements ultra-s\u00e9curis\u00e9s permettant un acc\u00e8s \u00ab\u2009physique\u2009\u00bb \u00e0 de nombreuses installations pr\u00e9sentes aux quatre coins du globe. \u00c0 vrai dire on pourrait presque imaginer cela comme un vilain cauchemar ou une vuln\u00e9rabilit\u00e9 10 \u00e0 15 ans en arri\u00e8re. Une faille critique dont les chercheurs de VPN Mentor<\/strong> indiquent avoir pourtant \u00e0 de nombreuses reprises tent\u00e9s d\u2019avertir Suprema Inc.<\/strong> malheureusement, en vain. Il a fallu attendre l\u2019intervention de Andy Ahn, responsable marketing de Suprema Inc. pour \u00ab\u2009d\u00e9bloquer\u2009\u00bb cette situation difficilement compr\u00e9hensible. <\/p>\n\n\n\n

En date du 14 ao\u00fbt 2019, Andy Ahn<\/strong> informe que cette vuln\u00e9rabilit\u00e9 critique a \u00e9t\u00e9 corrig\u00e9. Une faille \u00e9tant tout sauf anecdotique et qui remets tr\u00e8s (tr\u00e8s) s\u00e9rieusement en doute, la p\u00e9rennit\u00e9 des solutions de contr\u00f4le d\u2019acc\u00e8s de type SaaS<\/strong> d\u00e9ploy\u00e9es sur le cloud. Pour les lecteurs assidus \u00e0 ce blog, vous aurez remarqu\u00e9 les nombreuses r\u00e9serves que nous \u00e9mettons depuis d\u00e9j\u00e0 quelques ann\u00e9es sur les environnements \u00ab\u2009SaaS \u2013 Tout Cloud\u2009\u00bb<\/strong> qui semblent un brin d\u00e9suets face \u00e0 des hackers parfaitement organis\u00e9s et outill\u00e9s. En 2017, nous \u00e9voquions l’absence total de transparence sur les nombreux \u00e9changes qui transitent chaque jour \u00e0 destination des diff\u00e9rents serveurs \u00e9parpill\u00e9s aux quatre coins du globe. Nous mettions \u00e9galement un coup de pied dans la fourmili\u00e8re en \u00e9voquant les dangers du Cloud par l\u2019absence encore une fois de transparence sur les \u00ab\u2009Datacenters\u2009\u00bb<\/strong> qui peuvent aller d\u2019une v\u00e9ritable infrastructure extr\u00eamement prot\u00e9g\u00e9e et certifi\u00e9e \u00e0 des \u00ab\u2009centres de donn\u00e9es\u2009\u00bb de taille modeste \u00e0 peine s\u00e9curis\u00e9e et sans redondance, nich\u00e9s aux derniers \u00e9tages d\u2019immeubles parisiens… Une v\u00e9ritable jungle, un sujet houleux qui n\u2019a pas fini de faire parler de lui dans les ann\u00e9es \u00e0 venir.
<\/p>\n\n\n

\n\n