C'est la véritable histoire des bases de données biométriques afghanes abandonnées aux talibans

Afghans ciblés par des données biométriques

Andréa Daquino





Alors que les talibans balayaient l'Afghanistan à la mi-août, déclarant la fin de deux décennies de guerre, rapports ont rapidement fait savoir qu'ils avaient également capturé des dispositifs biométriques militaires américains utilisés pour collecter des données telles que des scans d'iris, des empreintes digitales et des images faciales. Certains craignaient que les machines, connues sous le nom de HIIDE, puissent être utilisées pour aider à identifier les Afghans qui avaient soutenu les forces de la coalition.

Selon des experts s'adressant à MIT Technology Review, cependant, ces appareils ne fournissent en réalité qu'un accès limité aux données biométriques, qui sont conservées à distance sur des serveurs sécurisés. Mais nos rapports montrent que les bases de données du gouvernement afghan contenant des informations personnelles sensibles qui pourraient être utilisées pour identifier des millions de personnes à travers le pays représentent une plus grande menace.

MIT Technology Review s'est entretenu avec deux personnes familières avec l'un de ces systèmes, une base de données financée par les États-Unis connue sous le nom d'APPS, l'Afghan Personnel and Pay System. Utilisé à la fois par le ministère afghan de l'Intérieur et le ministère de la Défense pour payer l'armée et la police nationales, il s'agit sans doute du système le plus sensible de ce type dans le pays, entrant dans des détails extrêmes sur le personnel de sécurité et leurs réseaux étendus. Nous avons accordé l'anonymat aux sources pour les protéger contre d'éventuelles représailles.



Les Afghans sont évacués via WhatsApp, Google Forms ou par tous les moyens possibles

Le seul espoir pour beaucoup de personnes prises par la prise de contrôle des talibans est une réponse volontaire en ligne chaotique et parfois risquée.

Lancé en 2016 pour réduire la fraude sur les chèques de paie impliquant de fausses identités ou des soldats fantômes, APPS contient environ un demi-million de dossiers sur chaque membre de l'armée nationale afghane et de la police nationale afghane, selon des estimations de personnes familières avec le programme. Les données sont collectées à partir du jour où ils se sont enrôlés, dit une personne qui a travaillé sur le système, et restent dans le système pour toujours, que quelqu'un reste activement en service ou non. Les dossiers pourraient être mis à jour, a-t-il ajouté, mais il n'était au courant d'aucune politique de suppression ou de conservation des données, pas même dans des situations d'urgence, comme une prise de contrôle par les talibans.

À présentation sur le processus de recrutement de la police du Combined Security Training Command–Afghanistan de l'OTAN montre qu'un seul des formulaires de demande a recueilli à lui seul 36 points de données. Nos sources indiquent que chaque profil dans APPS contient au moins 40 champs de données.



Ceux-ci incluent des informations personnelles évidentes telles que le nom, la date et le lieu de naissance, ainsi qu'un numéro d'identification unique qui relie chaque profil à un profil biométrique conservé par le ministère afghan de l'Intérieur.

Mais il contient également des détails sur la spécialité militaire et la trajectoire de carrière des individus, ainsi que des données relationnelles sensibles telles que les noms de leur père, oncles et grands-pères, ainsi que les noms des deux anciens tribaux par recrue qui ont servi de garants. pour leur enrôlement. Cela transforme ce qui était un simple catalogue numérique en quelque chose de beaucoup plus dangereux, selon Ranjit Singh, chercheur postdoctoral au groupe de recherche à but non lucratif Data & Society qui étudie les infrastructures de données et les politiques publiques. Il appelle cela une sorte de généalogie des liens communautaires qui met toutes ces personnes en danger.

L'un des formulaires de recrutement de la police contenait à lui seul 36 informations, y compris des données sur les candidats et leurs familles qui comprenaient des détails tels que «fruits et légumes préférés».



Les informations ont également une grande valeur militaire, que ce soit pour les Américains qui ont contribué à leur construction ou pour les talibans, qui sont tous deux à la recherche de réseaux de partisans de leur adversaire, explique Annie Jacobsen, journaliste et auteur de Premier peloton : une histoire de la guerre moderne à l'ère de la domination identitaire .

Mais toutes les données n'ont pas une utilisation aussi claire. Le formulaire de demande d'identité de la police, par exemple, semble également demander les fruits et légumes préférés des recrues. Le Bureau du secrétaire à la Défense a renvoyé des questions sur ces informations au Commandement central des États-Unis, qui n'a pas répondu à une demande de commentaires sur ce qu'il devrait faire de ces données.

'Je ne serais pas surpris s'ils consultaient les bases de données et commençaient à imprimer des listes… et qu'ils recherchent maintenant d'anciens militaires.'



Bien que poser des questions sur les fruits et légumes puisse sembler déplacé sur un formulaire de recrutement de la police, cela indique l'étendue des informations collectées et, dit Singh, souligne deux questions importantes : quelles données sont légitimes à collecter pour atteindre l'objectif de l'État, et l'équilibre entre les avantages et les inconvénients est-il approprié?

En Afghanistan, où les lois sur la confidentialité des données n'ont été écrites ou promulguées que des années après que l'armée américaine et ses sous-traitants ont commencé à capturer des informations biométriques, ces questions n'ont jamais reçu de réponses claires.

Les dossiers qui en résultent sont extrêmement complets.

Donnez-moi un champ que vous pensez que nous ne collecterons pas, et je vous dirai que vous vous trompez, a déclaré l'un des individus impliqués.

Puis il s'est corrigé : je pense que nous n'avons pas de noms de mères. Certaines personnes n'aiment pas partager le nom de leur mère dans notre culture.

Une peur grandissante des représailles

Les talibans ont déclaré publiquement qu'ils ne procéderaient pas à des représailles ciblées contre les Afghans qui avaient travaillé avec le gouvernement précédent ou les forces de la coalition. Mais leurs actions - historiquement et depuis leur prise de contrôle - n'ont pas été rassurantes.

Le 24 août, la Haut-Commissaire des Nations Unies aux droits de l'homme a déclaré lors d'une réunion spéciale du G7 que son bureau avait reçu rapports crédibles d'exécutions sommaires de civils et de combattants des forces de sécurité nationale afghanes.

Je ne serais pas surpris s'ils regardaient les bases de données et commençaient à imprimer des listes basées sur cela... et sont maintenant à la recherche d'anciens militaires, nous a dit une personne familière avec la base de données.

Une enquête de Amnesty International a constaté que les talibans avaient torturé et massacré neuf hommes de l'ethnie Hazara après avoir capturé la province de Ghazni début juillet, tandis qu'à Kaboul, de nombreux rapports ont fait état de talibans faisant du porte-à-porte pour enregistrer des personnes qui avaient travaillé pour le gouvernement ou des projets financés par la communauté internationale.

La biométrie a joué un rôle dans une telle activité depuis au moins 2016, selon les médias locaux. Lors d'un incident largement rapporté cette année-là, des insurgés ont tendu une embuscade à un bus en route vers Kunduz et pris 200 passagers en otage , tuant finalement 12 personnes, dont des soldats locaux de l'armée nationale afghane retournant à leur base après avoir rendu visite à leur famille. Des témoins ont déclaré à la police locale à l'époque que les talibans utilisaient une sorte de lecteur d'empreintes digitales pour vérifier l'identité des personnes.

On ne sait pas de quels types d'appareils il s'agissait, ou s'il s'agissait des mêmes que ceux utilisés par les forces américaines pour aider à établir la domination identitaire - l'objectif du Pentagone de savoir qui étaient les gens et ce qu'ils avaient fait.

Les talibans, et non l'Occident, ont gagné la guerre technologique en Afghanistan

La coalition dirigée par les États-Unis avait plus de puissance de feu, plus d'équipement et plus d'argent. Mais ce sont les talibans qui ont le plus profité du progrès technologique.

Les responsables américains étaient particulièrement intéressés par le suivi des identités pour perturber les réseaux de fabricants de bombes, qui réussissaient à échapper à la détection car leurs engins explosifs improvisés mortels faisaient un grand nombre de victimes parmi les troupes américaines. Avec des appareils biométriques, le personnel militaire pourrait capturer les visages, les yeux et les empreintes digitales des gens et utiliser ces données uniques et immuables pour connecter des individus, comme les fabricants de bombes, à des incidents spécifiques. Les données brutes avaient tendance à aller dans un sens – des appareils vers une base de données classifiée du DOD – tandis que les informations exploitables, telles que les listes de personnes à surveiller, étaient téléchargées sur les appareils.

Des incidents comme celui de Kunduz semblaient suggérer que ces appareils pourraient accéder à des ensembles de données plus larges, ce que le ministère afghan de la Défense et les responsables américains ont nié à plusieurs reprises .

«Les États-Unis ont pris des mesures prudentes pour s'assurer que les données sensibles ne tombent pas entre les mains des talibans. Ces données ne risquent pas d'être utilisées à mauvais escient. C'est malheureusement à peu près tout ce que je peux dire '', a écrit Eric Pahon, porte-parole du ministère de la Défense, dans un communiqué envoyé par e-mail peu de temps après la publication.

Ils auraient dû aussi penser à le sécuriser

Mais Thomas Johnson, professeur de recherche à la Naval Postgraduate School de Monterey, en Californie, fournit une autre explication possible de la manière dont les talibans ont pu utiliser les informations biométriques lors de l'attaque de Kunduz.

Au lieu de prendre les données directement à partir des appareils HIIDE, a-t-il déclaré au MIT Technology Review, il est possible que des sympathisants talibans à Kaboul leur aient fourni des bases de données du personnel militaire par rapport auxquelles ils pourraient vérifier les empreintes. En d'autres termes, même en 2016, ce sont peut-être les bases de données, plutôt que les appareils eux-mêmes, qui posaient le plus grand risque.

Quoi qu'il en soit, certains habitants sont convaincus que la collecte de leurs informations biométriques les a mis en danger. Abdul Habib, 32 ans, un ancien soldat de l'ANA qui a perdu des amis dans l'attaque de Kunduz, a accusé l'accès aux données biométriques de leur mort. Il était tellement inquiet de pouvoir lui aussi être identifié par les bases de données, qu'il a quitté l'armée – et la province de Kunduz – peu après l'attaque du bus.

Lorsqu'il s'est entretenu avec MIT Technology Review peu avant la chute de Kaboul, Habib vivait dans la capitale depuis cinq ans et travaillait dans le secteur privé.

Quand il a été introduit pour la première fois, j'étais content de ce nouveau système biométrique, a-t-il déclaré. Je pensais que c'était quelque chose d'utile et que l'armée en bénéficierait, mais maintenant, avec le recul, je ne pense pas que ce soit le bon moment pour introduire quelque chose comme ça. S'ils fabriquent un tel système, ils devraient également avoir pensé à le sécuriser.

Et même à Kaboul, a-t-il ajouté, il ne s'est pas senti en sécurité : un collègue s'est fait dire que 'nous supprimerons vos données biométriques du système', mais pour autant que je sache, une fois qu'elles sont enregistrées, ils ne peuvent pas les supprimer. .

Lorsque nous lui avons parlé pour la dernière fois juste avant la date limite de retrait du 31 août, alors que des dizaines de milliers d'Afghans encerclaient l'aéroport international Hamid Karzaï de Kaboul pour tenter de partir sur un vol d'évacuation, Habib a déclaré qu'il était arrivé. Ses données biométriques étaient compromis, mais avec un peu de chance, il quitterait l'Afghanistan.

Quelles autres bases de données existent ?

L'APPS est peut-être l'un des systèmes les plus lourds d'Afghanistan, mais il n'est pas unique, ni même le plus important.

Le gouvernement afghan, avec le soutien de ses donateurs internationaux, a adopté les possibilités de l'identification biométrique. La biométrie aiderait nos partenaires afghans à comprendre qui sont ses citoyens... aiderait l'Afghanistan à contrôler ses frontières ; et ... permettre au GIRoA [le gouvernement de la République islamique d'Afghanistan] d'avoir une 'domination identitaire', comme l'a dit un responsable militaire américain dans un conférence sur la biométrie 2010 à Kaboul.

Au centre de cet effort se trouvait la base de données biométrique du ministère de l'Intérieur, appelée Système d'identification biométrique automatique afghan (AABIS), mais souvent simplement appelée Centre de biométrie. AABIS lui-même a été calqué sur le système biométrique hautement classifié du ministère de la Défense appelé Système d'identification biométrique automatique, qui a permis d'identifier les cibles des frappes de drones.

Les Afghans sont évacués via WhatsApp, Google Forms ou par tous les moyens possibles

Le seul espoir pour beaucoup de personnes prises par la prise de contrôle des talibans est une réponse volontaire en ligne chaotique et parfois risquée.

Selon le livre de Jacobsen, AABIS visait à couvrir 80% de la population afghane d'ici 2012, soit environ 25 millions de personnes. Bien qu'il n'y ait aucune information accessible au public sur le nombre d'enregistrements que cette base de données contient actuellement, et que ni l'entrepreneur qui gère la base de données ni les responsables du département américain de la Défense n'ont répondu aux demandes de commentaires, un chiffre non confirmé du profil LinkedIn de son entreprise basée aux États-Unis le responsable du programme l'évalue à 8,1 millions d'enregistrements.

AABIS a été largement utilisé de diverses manières par le gouvernement afghan précédent. Les candidatures aux emplois et rôles gouvernementaux dans la plupart des projets nécessitaient une vérification biométrique du système MOI pour s'assurer que les candidats n'avaient aucun antécédent criminel ou terroriste. Des contrôles biométriques étaient également requis pour les demandes de passeport, de carte d'identité nationale et de permis de conduire, ainsi que pour les inscriptions à l'examen d'entrée à l'université du pays.

Une autre base de données, légèrement plus petite que l'AABIS, était connectée à l'e-tazkira, la carte d'identité nationale électronique du pays. Au moment où le gouvernement est tombé, il avait environ 6,2 millions de demandes en cours, selon le Autorité nationale des statistiques et de l'information , même s'il est difficile de savoir combien de candidats avaient déjà soumis des données biométriques.

La biométrie a également été utilisée - ou du moins rendue publique - par d'autres ministères également. La Commission électorale indépendante a utilisé des scanners biométriques pour tenter de prévenir la fraude électorale lors des élections législatives de 2019, avec des résultats douteux . En 2020, le Ministère du Commerce et de l'Industrie annoncé qu'il recueillerait les données biométriques de ceux qui enregistraient de nouvelles entreprises.

Malgré la pléthore de systèmes, ils n'ont jamais été entièrement connectés les uns aux autres. Une Audit d'août 2019 par les États-Unis a constaté que malgré les 38 millions de dollars dépensés à ce jour, APPS n'avait pas atteint bon nombre de ses objectifs : la biométrie n'était toujours pas intégrée directement dans ses dossiers personnels, mais était simplement liée par le numéro biométrique unique. Le système ne se connectait pas non plus directement aux autres systèmes informatiques du gouvernement afghan, comme celui du ministère des Finances, qui envoyait les salaires. APPS s'appuyait également toujours sur des processus de saisie manuelle des données, a déclaré l'audit, ce qui laissait de la place à l'erreur humaine ou à la manipulation.

Un problème mondial

L'Afghanistan n'est pas le seul pays à adopter la biométrie. De nombreux pays s'inquiètent des soi-disant bénéficiaires fantômes - de fausses identités utilisées pour percevoir illégalement des salaires ou d'autres fonds. La prévention de telles fraudes est une justification courante des systèmes biométriques, déclare Amba Kak, directeur de la politique et des programmes mondiaux à l'institut AI Now et expert juridique des systèmes biométriques.

C'est vraiment facile de décrire cette [APPS] comme exceptionnelle, dit Kak, qui a co-édité un livre sur les politiques biométriques mondiales . Il semble avoir beaucoup de continuité avec les expériences mondiales autour de la biométrie.

'L'identification biométrique en tant que seul moyen efficace d'identification légale est… imparfaite et un peu dangereuse.'

Amber Kak, IA Maintenant

Il est largement reconnu qu'avoir des documents d'identification légaux est un droit, mais confondre l'identification biométrique comme le seul moyen efficace d'identification légale, dit-elle, est imparfait et un peu dangereux.

Kak se demande si la biométrie - plutôt que les correctifs politiques - est la bonne solution à la fraude, et ajoute qu'elle n'est souvent pas fondée sur des preuves.

Mais motivé en grande partie par les objectifs militaires américains et le financement international, le déploiement de ces technologies par l'Afghanistan a été agressif. Même si APPS et d'autres bases de données n'avaient pas encore atteint le niveau de fonction auquel elles étaient destinées, elles contiennent encore de nombreux téraoctets de données sur les citoyens afghans que les talibans peuvent exploiter.

Dominance identitaire, mais par qui ?

L'inquiétude grandissante suscitée par les dispositifs biométriques et les bases de données abandonnés, et la des tonnes d'autres données sur la vie ordinaire en Afghanistan , n'a pas arrêté la collecte de données sensibles des personnes dans les deux semaines entre l'entrée des talibans à Kaboul et le retrait officiel des forces américaines.

Cette fois, les données sont recueillies principalement par des bénévoles bien intentionnés dans formulaires et feuilles de calcul Google non sécurisés , soulignant soit que les leçons sur la sécurité des données n'ont pas encore été apprises, soit qu'elles doivent être réapprises par chaque groupe impliqué.

Singh dit que la question de ce qu'il advient des données pendant les conflits ou l'effondrement du gouvernement doit recevoir plus d'attention. Nous ne prenons pas cela au sérieux, dit-il, mais nous devrions, en particulier dans ces zones déchirées par la guerre où l'information peut être utilisée pour créer beaucoup de ravages.

Kak, le chercheur en droit de la biométrie, suggère que la meilleure façon de protéger les données sensibles serait peut-être si ces types d'infrastructures [de données]... n'étaient pas construites en premier lieu.

Pour Jacobsen, l'auteur et journaliste, il est ironique que l'obsession du ministère de la Défense d'utiliser les données pour établir l'identité puisse en fait aider les talibans à atteindre leur propre version de la domination identitaire. Ce serait la peur de ce que font les talibans, dit-elle.

En fin de compte, certains experts disent que le fait que les bases de données du gouvernement afghan ne soient pas très interopérables peut en fait être une grâce salvatrice si les talibans essaient d'utiliser les données. Je soupçonne que l'APPS ne fonctionne toujours pas très bien, ce qui est probablement une bonne chose à la lumière des événements récents, a déclaré Dan Grazier, un vétéran qui travaille au groupe de surveillance Project on Government Oversight, par e-mail.

Mais pour ceux connectés à la base de données APPS, qui peuvent désormais se retrouver ou les membres de leur famille chassés par les talibans, c'est moins d'ironie et plus de trahison.

L'armée afghane a fait confiance à ses partenaires internationaux, y compris et dirigés par les États-Unis, pour construire un système comme celui-ci, a déclaré l'une des personnes familières avec le système. Et maintenant, cette base de données va être utilisée comme l'arme du [nouveau] gouvernement.

Cet article a été mis à jour avec les commentaires du ministère de la Défense. Dans une version précédente de cet article, une source indiquait qu'il n'y avait pas de politique de suppression ou de conservation des données ; il a depuis précisé qu'il n'était pas au courant d'une telle politique. L'histoire a été mise à jour pour refléter cela.

cacher