Lorsqu’un chercheur allemand en sécurité, Matthias Marx, a trouvé un appareil militaire américain à vendre sur eBay – un instrument précédemment utilisé pour identifier des individus recherchés et des terroristes connus pendant la guerre en Afghanistan – Marx a joué un peu et a placé une offre basse de 68 $.
Il ne s’attendait probablement pas à gagner, puisqu’il a offert moins de la moitié du prix demandé par le vendeur, soit 149,95 $. Mais il a gagné, et après cela, il a eu une surprise encore plus grande, a rapporté le New York Times. Lorsque l’appareil est arrivé avec une carte mémoire encore à l’intérieur, Marx a été choqué de réaliser qu’il avait involontairement acheté les noms, nationalités, photographies, empreintes digitales et scans de l’iris de 2 632 personnes dont les données biométriques auraient été scannées par l’armée américaine.
L’appareil aurait stocké non seulement des informations personnelles identifiables (PII) de personnes apparemment suspectes, mais également de membres de l’armée américaine, de personnes en Afghanistan qui travaillaient avec le gouvernement et de personnes ordinaires temporairement détenues à des points de contrôle militaires. La plupart des données provenaient de résidents d’Afghanistan et d’Irak.
Toutes ces données étaient censées être détruites sur place, mais cela ne s’est apparemment jamais produit. L’échec de l’effacement de l’appareil est cohérent avec les échecs occasionnels de l’armée américaine au cours de la dernière décennie, qui ont exposé les personnes qui ont aidé l’armée américaine et les militaires américains au risque d’être identifiées et ciblées par les talibans, a rapporté le Times.
Actuellement, personne ne sait combien de fois l’appareil a changé de main depuis sa dernière utilisation en 2012 près de Kandahar, en Afghanistan.
Marx a fait preuve d’une grande prudence avec les données, refusant de partager la base de données par voie électronique avec le Times. Au lieu de cela, le Times a envoyé un journaliste en Allemagne sur le site de Marx pour voir les données, puis a contacté au moins un Américain qui a confirmé que les données étaient probablement les siennes.
L’attaché de presse du ministère de la Défense (DOD), le général de brigade Patrick S. Ryder, a déclaré au Times qu’ils auraient besoin d’examiner les données avant de confirmer leur authenticité.
« Parce que nous n’avons pas examiné les informations contenues sur les appareils, le département n’est pas en mesure de confirmer l’authenticité des données présumées ou de les commenter autrement », a déclaré Ryder au Times. « Le département demande que tout appareil susceptible de contenir des informations personnellement identifiables soit renvoyé pour une analyse plus approfondie. »
Des experts ont déclaré au Times que si les données sont authentiques, cette violation particulière pourrait avoir des conséquences fatales. Ils recommandent que le gouvernement américain examine les données, informe toutes les personnes touchées par la violation, puis accorde l’asile à toute personne encore basée en Afghanistan.
Lorsque Marx a découvert les données, il a déclaré avoir contacté le DOD, mais Marx a dit à Ars qu’il était « alarmé » lorsque le DOD aurait omis d’enquêter ou de prendre des mesures pour protéger les personnes touchées par la fuite.
« Nous avons également imaginé que les données seraient utiles pour enquêter sur la façon dont les appareils se sont retrouvés en ligne et pour déterminer qui d’autre est potentiellement en danger », a déclaré Marx à Ars.
Marx a déclaré au Times qu’il trouvait « dérangeant » l’échec de l’armée à supprimer ces données hautement sensibles, alléguant qu' »ils n’avaient même pas essayé de protéger les données », et suggérant que c’était parce qu' »ils ne se souciaient pas du risque, ou ils ont ignoré le risque.