網路安全專家 Baptiste Robert(又名 Elliot Alderson)在他的部落格「FS0C131Y」上嘗試了政府去年 5 月頒布的臉部辨識系統的「演示」版本:愛麗絲。 「手機線上認證系統」(Alicem)必須在 11 月之前普及。演示 Android 應用程式名為“烏托邦電子化政府服務”,正如文章中所報導的那樣。
價值280萬歐元的合約
除了軟體方面之外,我們現在對營運方面有了更多了解:誰是提供服務的公司,政府花費了多少費用,以及與安全相關的潛在風險是什麼。這不一定能讓未來放心。
根據標, «創建、維護和安全» 授予金雅拓公司,該公司自 2019 年起隸屬於法國泰雷茲集團。公共合約對分包商和國家產權擔保機構 (ANTS) 的約束期限為四年,必要時可再約束十八個月。
https://twitter.com/fs0c131y/status/1176041539014995968
美國撥款200萬美元
«劇透:使用的解決方案不是法語»,我們可以在駭客的部落格上閱讀。令人不安的是,該解決方案將由美國政府資助。 2016 年 11 月 14 日,在與法國政府部門簽署公共合約的一個月前,金雅拓收到了美國國家標準與技術研究所 (NIST) 提供的 200 萬美元資金。這筆資金被分配給一個非物質化駕駛執照試點項目,該項目在「美國五個司法管轄區」進行了為期「兩年」的測試。
除了政治方面之外,測試演示版本還發現了漏洞。演示應用程式是“超容易破解»,根據網路安全專家的說法。據駭客稱,這是由於所使用的 Apache Tomcat 版本太舊所致。
先驗的反 GDPR 系統
即使這不是應用程式的最終版本,這種業餘態度也不是一個很好的信號。特別是因為 Alicem 的推廣計劃於下個月進行。在測試結束時,駭客得出結論,該應用程式似乎更“烏托邦» 對於“政府而不是人民本身»。
所有這些技術要素加起來就是這樣一個事實:先驗,政府去年五月頒布的解決方案將違反一般資料保護條例因為這將迫使所有公民在未經事先同意的情況下使用它。因為讓我們記住,在歐洲立法看來,強迫同意是無效的。一個訴諸國務委員會La Quadrature du Net 協會於 7 月對該系統提起訴訟。
來源:FS0C131Y
