La violation de données Mercor expose des données biométriques et des documents d'identité

La startup d'IA Mercor victime d'une importante violation de données biométriques

Mercor, une plateforme d'IA dédiée au recrutement et à la gestion de la main-d'œuvre valorisée à 10 milliards de dollars, a subi une violation de données majeure qui a exposé certaines des données personnelles les plus sensibles qui soient : des documents d'identité officiels, des données biométriques faciales et des données biométriques vocales appartenant à ses utilisateurs. L'incident a suscité une attention considérable, non seulement en raison de la nature des données dérobées, mais aussi à cause des circonstances dans lesquelles cela s'est produit et des conséquences potentielles pour les personnes concernées.

L'incident est lié à une attaque de la chaîne d'approvisionnement visant LiteLLM, une bibliothèque open source largement utilisée qui aide les développeurs à intégrer des grands modèles de langage dans leurs applications. Lorsqu'une dépendance aussi fondamentale est compromise, les dommages peuvent se propager à des dizaines, voire des centaines d'entreprises qui en dépendent. Dans ce cas, Mercor semble faire partie des victimes. Les groupes de hackers TeamPCP et Lapsus$ ont été impliqués dans l'attaque. Lapsus$ est un groupe dont l'historique d'intrusions très médiatisées contre de grandes entreprises technologiques est bien documenté.

Meta, qui collaborait avec Mercor, aurait mis en pause ce partenariat à la suite des informations relatives à la violation.

Pourquoi les violations de données biométriques sont-elles particulièrement dangereuses ?

Toutes les violations de données ne présentent pas le même niveau de risque. Lorsqu'un mot de passe est volé, vous pouvez le modifier. Lorsqu'un numéro de carte bancaire est exposé, la banque peut en émettre un nouveau. Les données biométriques, c'est différent. Votre visage, votre voix et vos empreintes digitales ne peuvent pas être réémis. Une fois ces données divulguées, elles le sont définitivement.

C'est ce qui rend la violation chez Mercor particulièrement grave. Les données biométriques faciales combinées aux documents d'identité officiels offrent aux acteurs malveillants un arsenal extraordinairement puissant pour commettre des fraudes à l'identité. Plus précisément, elles créent des conditions idéales pour la fraude par deepfake, où des médias synthétiques générés par l'IA sont utilisés pour usurper l'identité de personnes réelles. Des attaquants pourraient potentiellement utiliser des images faciales et des enregistrements vocaux volés pour passer des vérifications d'identité, ouvrir des comptes financiers frauduleux, ou se faire passer pour des individus lors d'appels vidéo et d'entretiens.

La technologie deepfake a progressé rapidement, et le seuil nécessaire pour créer des médias synthétiques convaincants a considérablement baissé. Lorsque des données sources de haute qualité, telles que les données biométriques réelles d'une personne, sont disponibles, les résultats deviennent encore plus convaincants et plus difficiles à détecter.

La vulnérabilité de la chaîne d'approvisionnement au cœur de cette violation

L'un des aspects les plus importants de cet incident est le vecteur d'attaque : une compromission de la chaîne d'approvisionnement. Plutôt que d'attaquer Mercor directement, les auteurs de la menace ont ciblé LiteLLM, une bibliothèque dont Mercor et de nombreuses autres entreprises d'IA dépendent. Il s'agit d'une stratégie d'attaque bien établie et de plus en plus courante.

Les attaques de la chaîne d'approvisionnement sont difficiles à contrer car elles exploitent la confiance. Lorsqu'une entreprise intègre une bibliothèque open source, elle fait implicitement confiance à la propreté du code. L'injection de code malveillant au niveau de la bibliothèque signifie que toute entreprise récupérant des mises à jour pourrait, sans le savoir, installer une porte dérobée ou un composant de collecte de données.

Cette violation rappelle que la posture de sécurité d'une organisation n'est jamais plus solide que le maillon le plus faible de ses dépendances logicielles. Pour les utilisateurs, cela met en évidence que leurs données peuvent être mises en danger par des décisions prises à plusieurs niveaux en amont de l'entreprise à laquelle ils ont réellement confié ces données.

Ce que cela signifie pour vous

Si vous avez utilisé la plateforme Mercor et soumis des documents de vérification d'identité ou participé à une collecte de données biométriques, vous devez considérer vos données d'identité comme potentiellement compromises. Voici ce que vous pouvez faire dès maintenant :

• Surveillez les fraudes à l'identité. Configurez des alertes auprès de votre banque et de vos établissements financiers, et vérifiez vos rapports de crédit pour détecter toute activité inhabituelle.
• Soyez prudent avec les vérifications d'identité par vidéo. Si quelqu'un prétend être vous dans un contexte de vérification vidéo, cette affirmation est désormais plus facile à falsifier grâce aux outils de deepfake.
• Méfiez-vous des contacts non sollicités. Des fraudeurs disposant de vos données d'identité peuvent tenter des attaques de phishing qui semblent inhabituellement légitimes parce qu'ils connaissent déjà des détails vous concernant.
• Limitez le partage de données biométriques à l'avenir. Soyez sélectif quant aux services auxquels vous fournissez des scans faciaux, des enregistrements vocaux ou des documents d'identité officiels. Demandez-vous si le service nécessite réellement ce niveau de données.
• Utilisez des identifiants forts et uniques partout. Bien que les mots de passe seuls ne puissent pas protéger les données biométriques, réduire votre surface d'attaque globale est toujours utile.
• Chiffrez vos communications. L'utilisation d'un VPN lors de la connexion à des services, notamment sur des réseaux publics ou non fiables, réduit le risque d'interception supplémentaire de données.

La violation de données chez Mercor illustre clairement pourquoi le stockage centralisé de données biométriques hautement sensibles crée un risque concentré. Lorsqu'une seule entreprise détient des scans faciaux, des empreintes vocales et des documents d'identité pour un grand nombre de personnes, une seule attaque réussie peut avoir des conséquences qui durent des années.

Rester informé sur les violations affectant les services que vous utilisez, comprendre quelles données vous avez partagées avec quelles plateformes, et adopter une approche proactive vis-à-vis de votre identité numérique font partie des mesures les plus concrètes que vous puissiez prendre. Les violations de données ne vont pas disparaître, mais plus vous savez où vivent vos informations les plus sensibles, mieux vous serez en mesure de réagir lorsque quelque chose tourne mal.