0
1
Les données biométriques et les informations personnelles de 1 milliard d’Indiens ont été piratées, a révélé mardi le HuffPost India, au terme d’une enquête de trois mois. Ces données étaient contenues dans une banque de données gouvernementale mal conçue.
La banque de données Aadhaar, gérée par le ministère de l’Électronique et des Technologies de l’information de l’Inde, permet aux résidents qui s’y inscrivent d’obtenir un numéro d’identité. Ce dernier permet en retour d’effectuer des transactions bancaires et d’obtenir un contrat de téléphonie cellulaire, entre autres.
La banque de données contient de nombreuses informations personnelles et confidentielles sur ses utilisateurs, dont le dossier criminel, l’identité et même les données biométriques (photo, empreintes digitales et images des iris).
Un logiciel offert sur WhatsApp
Selon le HuffPost India, les pirates ont pu accéder à la banque de données grâce à un correctif logiciel (patch) malveillant distribué sur WhatsApp pour aussi peu que 45 $ (2500 roupies indiennes). Le correctif, facile à installer sur un ordinateur, permettait de contourner plusieurs mesures de sécurité censées garantir l’identité d’un administrateur lors de la connexion.
Une fois connecté en tant qu’administrateur, un pirate pouvait ajouter, retirer ou modifier les informations contenues dans la banque de données, en plus de créer de nouveaux numéros d’identité.
Une villageoise passe à travers le processus de la numérisation de l’iris pour la base de données Aadhaar, obligatoire en Inde, à Merta, dans l’État du Rajasthan. Photo : Reuters/Mansi Thapliyal
Les cinq experts qui ont analysé le correctif malveillant pour le compte du média indien ont conclu que la vulnérabilité exploitée par les pirates provenait de l’architecture même du système Aadhaar. Cela signifie que pour corriger la faille, des ingénieurs devront revoir le fonctionnement du système de fond en comble, ce qui pourrait s’avérer complexe et coûteux.
Le ministère responsable de la banque de données Aadhaar a refusé de commenter la nouvelle.
Un système dans l’air du temps
Ce piratage massif de données hautement confidentielles soulève des questions de sécurité fondamentales, alors que de plus en plus de gouvernements s’intéressent aux systèmes d’identité électronique.
L’Inde, l’une des figures de proue de ce mouvement, fait toutefois les frais d’une adoption précipitée de cette technologie, selon l’analyse du HuffPost India. Les autorités indiennes ont décentralisé le service d’inscription en raison d’un accès difficile à Internet dans de nombreuses régions du pays et d’une volonté de recruter le plus d’Indiens possible dans le système Aadhaar.
Cette décentralisation aurait ouvert la voie à des personnes mal intentionnées qui ont voulu copier le code des programmes utilisés et le modifier pour le plier à leurs volontés.
Pour en savoir plus:
