•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Un piratage massif compromet l’identité de 1 milliard d’Indiens

Une main de femme posée sur un appareil permettant de lire les empreintes digitales.
Le système Aadhaar contient les données biométriques (photo, empreintes digitales et images des iris) de 1 milliard d'Indiens. Photo: Reuters / Saumya Khandelwal
Radio-Canada

Les données biométriques et les informations personnelles de 1 milliard d'Indiens ont été piratées, a révélé mardi le HuffPost India, au terme d'une enquête de trois mois. Ces données étaient contenues dans une banque de données gouvernementale mal conçue.

La banque de données Aadhaar, gérée par le ministère de l’Électronique et des Technologies de l’information de l’Inde, permet aux résidents qui s’y inscrivent d’obtenir un numéro d’identité. Ce dernier permet en retour d'effectuer des transactions bancaires et d’obtenir un contrat de téléphonie cellulaire, entre autres.

La banque de données contient de nombreuses informations personnelles et confidentielles sur ses utilisateurs, dont le dossier criminel, l’identité et même les données biométriques (photo, empreintes digitales et images des iris).

Un logiciel offert sur WhatsApp

Selon le HuffPost India, les pirates ont pu accéder à la banque de données grâce à un correctif logiciel (patch) malveillant distribué sur WhatsApp pour aussi peu que 45 $ (2500 roupies indiennes). Le correctif, facile à installer sur un ordinateur, permettait de contourner plusieurs mesures de sécurité censées garantir l’identité d’un administrateur lors de la connexion.

Une fois connecté en tant qu’administrateur, un pirate pouvait ajouter, retirer ou modifier les informations contenues dans la banque de données, en plus de créer de nouveaux numéros d’identité.

Une dame vêtu d'un habit traditionnel indien tient un appareil devant ses yeux.Une villageoise passe à travers le processus de la numérisation de l'iris pour la base de données Aadhaar, obligatoire en Inde, à Merta, dans l'État du Rajasthan. Photo : Reuters / Mansi Thapliyal

Les cinq experts qui ont analysé le correctif malveillant pour le compte du média indien ont conclu que la vulnérabilité exploitée par les pirates provenait de l’architecture même du système Aadhaar. Cela signifie que pour corriger la faille, des ingénieurs devront revoir le fonctionnement du système de fond en comble, ce qui pourrait s’avérer complexe et coûteux.

Le ministère responsable de la banque de données Aadhaar a refusé de commenter la nouvelle.

Un système dans l’air du temps

Ce piratage massif de données hautement confidentielles soulève des questions de sécurité fondamentales, alors que de plus en plus de gouvernements s’intéressent aux systèmes d’identité électronique.

L’Inde, l’une des figures de proue de ce mouvement, fait toutefois les frais d’une adoption précipitée de cette technologie, selon l’analyse du HuffPost India. Les autorités indiennes ont décentralisé le service d’inscription en raison d’un accès difficile à Internet dans de nombreuses régions du pays et d’une volonté de recruter le plus d’Indiens possible dans le système Aadhaar.

Cette décentralisation aurait ouvert la voie à des personnes mal intentionnées qui ont voulu copier le code des programmes utilisés et le modifier pour le plier à leurs volontés.

Avec les informations de HuffPost India, et Bloomberg Quint

Cybercriminalité

Techno