En Chine, les dispositifs de surveillance font désormais partie du paysage. Surtout au Xinjang, une province à dominance musulmane située à l’est du pays. L’une des bases de données de reconnaissance faciale que le gouvernement chinois utilise pour suivre la population, et plus précisément la population musulmane ouïghoure dans la région du Xinjiang, serait ainsi restée exposée sur Internet pendant des mois, a déclaré à ZDNet un chercheur néerlandais en sécurité.

La base de données appartient à une société chinoise nommée SenseNets, qui, selon son site Web, fournit une analyse vidéo des foules et une technologie de reconnaissance faciale. Hier, Victor Gevers, un chercheur bien connu dans le domaine de la sécurité qui s’est fait un nom ces dernières années, en découvrant notamment des fuites sur les bases de données MongoDB, a décelé une des bases de données MongoDB de SenseNets qui avait été exposée en ligne sans authentification. M. Gevers a déclaré à ZDNet que la base de données contenait des renseignements sur 2 565 724 utilisateurs, ainsi qu’un flot de coordonnées GPS très détaillées.

Ces données ne contiennent pas seulement des informations “bénignes” mais également des éléments beaucoup plus sensibles que l’on trouverait habituellement sur des cartes d’identité, a fait savoir M. Gevers. Le chercheur a ainsi pu mettre la main sur des profils d’utilisateurs contenant des renseignements comme le nom, le numéro de carte d’identité, la date d’émission, la date d’expiration de la carte d’identité, le sexe, la nationalité, l’adresse personnelle, la date de naissance, des photos et l’employeur.

Des coordonnées uniquement situées dans le Xinjiang

Pour chaque utilisateur “surveillé” se trouve aussi une liste de coordonnées GPS, les endroits où cet utilisateur a été vu. La base de données contenait également une liste de “trackers” et les coordonnées GPS associées. D’après le site Web de l’entreprise, ces traqueurs semblent être les emplacements des caméras publiques à partir desquelles la vidéo avait été capturée et était analysée.

Certains des noms descriptifs associés aux “pisteurs” contenaient des termes tels que “mosquée”, “hôtel”, “poste de police”, “cybercafé”, “restaurant” et autres endroits où l’on trouve normalement des caméras publiques. M. Gevers a déclaré à ZDNet que ces coordonnées se trouvaient toutes dans la province chinoise du Xinjiang, où vit la minorité musulmane Ouïghoure de Chine.

Crédits : Victor Gevers

Rappelons que de nombreux rapports font état de violations des droits de l’homme commises par les autorités chinoises dans le Xinjiang comme le fait d’obliger la population musulmane Ouïghoure à installer des logiciels espions sur leurs téléphones ou de forcer certains musulmans ouïghoure à se rendre dans des camps de “rééducation” que ces derniers ont qualifiés de camps de travail forcé.

La base de données que Gevers a trouvée ne provient pas uniquement de serveurs désactivé. Le chercheur a en effet déclaré qu’au cours des dernières 24 heures, un flux de près de 6,7 millions de coordonnées GPS a été enregistré, ce qui signifie que la base de données suivait activement les musulmans ouïghours pendant leurs déplacements. Ne sachant pas ce sur quoi il avait mis la main, Gevers a signalé la base de données exposée à son propriétaire, la société chinoise, qui l’a sécurisée plus tôt aujourd’hui, bloquant l’accès aux adresses IP non chinoises en utilisant une règle pare-feu. La société n’a pas répondu à une demande de commentaires avant la publication de cet article. De son côté, M. Gevers a indiqué regretté maintenant d’avoir aidé l’entreprise à dissimuler son forfait.

Reste maintenant à déterminer les liens entre SenseNets et le gouvernement chinois. Car il s’avère bien difficile d’expliquer comment SenseNets a pu avoir accès aux informations des cartes d’identité et aux caméras des postes de police et autres bâtiments gouvernementaux…

Article “Chinese company leaves Muslim-tracking facial recognition database exposed online” traduit et adapté par ZDnet.fr

Let a comment