bluebay2014 - Fotolia
Fuite de données personnelles massive en Inde
Plusieurs sites Web gouvernementaux ont rendu publiquement accessibles plus de 130 millions d’identifiants personnels uniques, les fameux numéros Aadhaar. Et avec numéros de comptes bancaires pour une centaine de millions d’entre eux.
L’organisation non gouvernementale CIS (Centre for Internet and Society), a décidé de mener l’enquête alors que, depuis un mois, des rapports font état de fuites d’importantes données personnelles, des numéros personnels Aadhaar, sur Internet, relayées notamment via le hashtag #AadhaarLeaks.
Pour mémoire, Le projet Unique ID indien remonte, dans son concept, à 2003. Il a été approuvé à l’automne 2008 et vise à fournir un numéro d’identification unique à chaque citoyen. Numéro permettant l’accès à tout type de service public ou privé, à commencer les transferts d’argent, par exemple. Mais, il doit aussi épargner aux Indiens certaines lourdeurs administratives et élargir leur identification à des populations pas toujours facilement identifiables auparavant, notamment dans les zones rurales, en s’appuyant largement sur des données biométriques.
Baptisé Aadhaar, le projet indien est piloté par une agence gouvernementale – l’UIDAI – dirigée par Nandan Nilekani, l’un des co-fondateurs d’Infosys. Dans le monde de l’IT, il a attiré d’importantes convoitises. Et c’est sans trop de surprise que l’un des spécialistes occidentaux de la biométrie – Morpho – s’y est trouvé associé.
Pour son enquête, le CIS s’est penché sur quatre jeux de données disponibles publiquement, notamment via des sites Web du gouvernement indien, se concentrant sur les situations où les données Aadhaar peuvent être liées à des données bancaires. L’ONG estime ainsi à plus de 130 millions le nombre de numéros Aadhaar publiquement accessibles, et à environ 100 millions ceux pour lesquels des coordonnées bancaires sont également disponibles. Et encore, « ces chiffres ne recouvrent que les principaux programmes gouvernementaux liés aux retraites et à l’emploi rural ; d’autres programmes, qui s’appuient également sur Aaadhaar, pourraient avoir laisser se propager des données personnelles identifiables du fait de l’absence de pratiques de sécurité de l’information ».
Une vaste base de données…
C’est globalement l’absence de « prise en compte appropriée des mesures de sécurité des données » que dénonce le CIS. Et on ne saurait trop ni le lui reprocher ni vraiment s’en surprendre.
Début 2013, sur RSA Conference, Srikanth Nadhamuni, conseiller auprès de l’UIDAI et Pdg de Khosla Labs, présentait l’architecture du système d’information supportant le projet Aadhaar. Et souligner une intention louable dans un pays où « seulement 30 % des indiens disposent d’un compte bancaire et où il n’y a pas de document d’identité standard » : les « documents d’identité [comme les cartes de rationnement, NDLR] sont généralement rattachés au village d’origine et sans portabilité » ; les problèmes d’usurpation d’identité seraient également fréquents, entraînant «30 à 40 % de perte» sur les subventions publiques évaluées à 40 Md$ par an. Aadhaar doit permettre, avec la biométrie, de supprimer « les doublons et les faux, tout en supportant l’authentification des individus en ligne. Enthousiaste, Srikanth Nadhamuni résumait alors : « nous allons passer directement de l’absence d’identité à l’identité numérique ». Il y a quatre ans, il expliquait que 300 millions de personnes avaient déjà été enrôlées : « nous en enrôlons un million chaque jour et procédons à 300 trillions de comparaisons de données biométriques par jour ».
De nombreuses briques de sécurité étaient déjà en place à l’époque, mais la plateforme fonctionnait alors sans brique venant consolider l’ensemble, à savoir le module de gestion de la gouvernance, du risque et de la conformité.
Aujourd’hui, Aadhaar couvre plus de 98 % de la population indienne, soit 1,13 Md de personnes.
Utilisée sans garde-fou ?
Le CIS souligne que la collecte et l’utilisation de données personnelles liées à Aadhaar est encadrée par la loi. Ainsi, la publication d’informations personnelles identifiables est interdite « sauf autorisation de la personne concernée », et « la publication de numéros Aadhaar est interdite par la section 29 de l’Aadhaar Act de 2016 », là encore sauf autorisation explicite de l’intéressé.
De même, le stockage du numéro Aadhaar assorti des informations personnelles liées au numéro n’est autorisé que « pour les fins prévues par la législation, la principale étant l’authentification ». Et en l’occurrence, pas question de stocker « des détails sur la religion, la caste, la tribu, l’ethnie, la langue, les revenus ou l’historique médical » à cette fin. Las, « comme le montrent nos découvertes […] ces informations sont collectées par divers agences et alors qu’elles ne devraient être utilisées que pour l’objectif poursuivi, non seulement les contrôles d’accès internes au sein et entre différentes agences gouvernementales n’étaient pas disponibles sur les portails [étudiés] », mais l’information sur la caste est également apparue, dans certains cas, « publiquement partagée sur ces portails ».
Des risques multiples
Pour le CIS, le problème tient à l’échelle du projet et au fait que certains impacts des fuites « ne sont pas entièrement réversibles ». Et « compte tenu de l’utilisation du numéro Aadhaar pour l’identification, l’authentification, et l’autorisation de transactions, les risques financiers représentés par sa divulgation sont fortement exacerbés ».
Dans les colonnes de l’Indian Express, Ajay Bhushan Pandey, Pdg de l’UIDAI, estime qu’il n’y a pas eu brèche de son côté. Le CIS ne dit pas autre chose : pour l’ONG, il n’y a pas de fuite de données confidentielles « disponibles uniquement pour accès privé ou contrôlé », mais une situation « où les données en question n’ont pas été traitées du tout comme confidentielles ». Pis, il s’agit de cas où des numéros Aadhaar et d’autres informations personnelles identifiables « ont été traitées volontairement et intentionnellement » comme des données « partageables publiquement », par ceux qui étaient responsables de ces données.
Dans les colonnes de The Hindu, Aruna Sundararajan, Secrétaire d’Etat aux technologies de l’information, assure que « Aadhaar intègre une régulation stricte de la vie privée… mais là où nous travaillons, c’est à son application ». Pour Ajay Bhushan Pandey, c’est aux forces de l’ordre d’agir désormais.
Un exemple de mauvais augure ?
Déjà, certains s’inquiètent en France de l’exemple donné par Aadhaar, premier grand fichier des gens honnêtes au monde. Un exemple d’autant plus prégnant que le rapport d’audit de la Dinsic et de l’Anssi sur le fichier dit TES, « titres électroniques sécurisés », n’a pas manqué de faire débat, ses conclusions estimant que « la sécurité globale du système est perfectible ».
Et cela d’autant plus que le ministère de l’Intérieur a décidé de sa généralisation mi-février, renvoyant le travail sur les réflexions de l’Anssi et de la Dinsic à son successeur. La commission nationale informatique et libertés (Cnil) n’a d’ailleurs manqué de formuler plusieurs réserves, dans son rapport d’activité annuel.
Pour approfondir sur Réglementations et Souveraineté
-
Cyberguerre : Comment Midnight Blizzard a récupéré les courriels d’agences fédérales américaines
-
Après une opération de police, Alphv/BlackCat s'attaque aux hôpitaux
-
Ivanti révèle une nouvelle vulnérabilité inédite et diffuse des correctifs tardifs
-
L’authentification multifacteurs bientôt obligatoire ?