Fondée en 2009, la base de données biométrique Aadhaar se charge de l’identité numérique des citoyens du pays en leur attribuant un numéro de 12 chiffres. Grâce à celui-ci, les habitants du pays possèdent une identité numérique qui rassemble leur prénom, leur nom, leur numéro de téléphone et leurs comptes bancaires. Le système prend également en compte les données biométriques, ce qui permet aux citoyens d’effectuer des paiements par empreinte digitale. En janvier 2018, la base Aadhaar regroupait les données de plus de 1,3 milliard de personnes en Inde.
Néanmoins, l’Unique Identification Authority of India est régulièrement accusée de ne pas assez sécuriser sa base, ce qui pourrait permettre à des personnes mal intentionnées de se constituer une fausse identité. Au début de l’année, une enquête démontrait qu’il était également possible d’acheter les données personnelles des citoyens figurant dans la base pour l’équivalent de sept euros.
Un correctif affaiblissant le système d’inscriptions vendu pour 35 dollars
De fait, le Huffington Post India révèle que le logiciel utilisé par les centres d’inscriptions a été compromis par un correctif vendu 35 dollars sur WhatsApp. En exploitant ce dernier, une personne mal intentionnée aurait largement pu être en mesure de contourner les processus d’authentification habituels afin de procéder à un enregistrement fallacieux. Pour se faire, les pirates n’avaient qu’à se connecter en tant qu’administrateur et effectuer les réglages leur permettant de valider une inscription sans qu’il n’y ait besoin de fournir les documents requis. En effet, le correctif a, par exemple, affaibli les requêtes du logiciel de reconnaissance faciale. Là où il fallait obligatoirement se rendre (physiquement) dans un centre d’inscription, le système s’est mis à accepter les simples photographies.
De plus, il semblerait que cette faille permettant l’installation du correctif malveillant soit issue de l’architecture de la base de données elle-même. Cela signifie que de larges refontes devront être effectuées pour éviter que ce type d’attaques ne se reproduisent.
Concernant les conséquences, l’on ne sait pas encore depuis combien de temps le correctif est utilisé et s’il continue à l’être. Pour sa part, l’Unique Identification Authority of India (UIDAI) a résilié ses contrats avec les centres d’inscriptions qui lui sont externes. De la même façon, il est difficile d’établir si et combien d’identités frauduleuses ont été enregistrées.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
