Le Madison Square Garden utilise depuis des années la technologie de reconnaissance faciale pour surveiller qui entre dans ses salles. Aujourd’hui, ce même système de surveillance est au centre de ce qui pourrait devenir l’une des atteintes à la vie privée les plus troublantes de l’année.
Le groupe de cybercriminalité ShinyHunters a publié un cache massif de données qui auraient été volées à Madison Square Garden Entertainment après que la société n'ait pas respecté le délai de rançon. Selon les rapports, la fuite comprend des enregistrements de reconnaissance faciale, des informations sur les clients, des évaluations de sécurité interne et d'autres données sensibles liées à des millions de visiteurs. Alors que les violations à grande échelle sont devenues malheureusement courantes, celle-ci semble différente. La plupart des fuites de données concernent des mots de passe, des adresses e-mail ou des informations financières. Cette violation inclurait quelque chose de bien plus personnel : des informations liées à la manière dont les personnes étaient surveillées et identifiées dans les espaces physiques.
Quand la caméra de sécurité devient la cible
Depuis des années, le programme de reconnaissance faciale de MSG est controversé. L'entreprise a utilisé la technologie sur tous ses sites pour identifier les visiteurs et, dans certains cas, pour appliquer des politiques qui ont attiré l'attention des défenseurs de la vie privée et des régulateurs. Les critiques avertissent depuis longtemps que la collecte de grandes quantités de données biométriques constitue une cible attrayante pour les pirates informatiques. Cette violation semble confirmer ces préoccupations.
Selon les rapports, les fichiers divulgués comprennent des informations de suivi biométrique, des évaluations internes des risques, des données de vérification des antécédents et des enregistrements liés aux participants. L'ensemble de données comprendrait de la correspondance avec des clients, y compris des messages de visiteurs craignant d'être identifiés à tort par les systèmes de reconnaissance faciale. Si cela est exact, cela signifie que les plaintes concernant les pratiques de surveillance ont été stockées à côté des données de surveillance elles-mêmes.
La violation qui a exposé bien plus que les enregistrements des clients
Ce qui rend l’incident particulièrement remarquable, c’est la question plus large qu’il soulève concernant la technologie de surveillance. Les organisations justifient souvent les systèmes de reconnaissance faciale comme des outils de sûreté, de sécurité ou d’efficacité opérationnelle. Mais chaque caméra, base de données et profil crée un autre référentiel d'informations hautement sensibles qui doivent être protégées. Et plus ces enregistrements deviennent complets, plus ils ont de la valeur pour les cybercriminels.
La violation survient également moins d’un an après un autre incident majeur de cybersécurité impliquant MSG, ce qui soulève des questions sur la manière dont les organisations gèrent les volumes croissants d’informations personnelles qu’elles collectent. Pour l’instant, de nombreux détails restent flous. L’ampleur des fuites n’a pas été vérifiée de manière indépendante et Madison Square Garden Entertainment n’a pas confirmé publiquement l’étendue de la violation. Pourtant, l’histoire pourrait en fin de compte dépasser le cadre d’une seule entreprise. L’incident met en lumière une réalité souvent négligée dans les conversations sur les technologies de surveillance : la collecte de données ne représente que la moitié de l’équation. Le protéger peut être la partie la plus difficile. Et lorsque cette protection échoue, les conséquences peuvent aller bien au-delà du vol d’un mot de passe.
