Toutes les liens de ce billet renvoient à des pages en anglais, sauf mention particulière.
Le gouvernement indien détient les données personnelles de plus de 1,13 milliard de citoyens et résidents indiens dans un système d'identification unique nommé Aadhaar [fr], signifiant “fondement” en hindi.
Mais alors que de plus en plus de preuves révèlent que le gouvernement ne protège pas le caractère privé de ces informations, les fondations actuelles du système paraissent très précaires.
Le 4 janvier 2018, l'édition indienne de The Tribune, journal d'information basé à Chandigarh, a soulevé un véritable tollé quand elle a rapporté que l'accès aux données d'Aadhaar était vendu à Whatsapp pour des prix incroyablement bas.
#TRIBUNEINVESTIGATION — #SECURITYBREACH | by @RachnaKhaira
Rs 500, 10 minutes, and you have access to billion #Aadhaar details https://t.co/3vlJhbP94t pic.twitter.com/PRMutzR75d— The Tribune (@thetribunechd) January 3, 2018
500 roupies, 10 minutes, et vous avez accès à des milliards d'informations sur Aadhaar
L'enquête du journal a suivi un homme nommé Bharat Bhushan Gupta, un entrepreneur villageois à qui a été fait miroiter l'achat d'un accès à la base de données par des personnes l'ayant contacté sur WhatsApp. Gupta a réalisé par la suite qu'il avait accès à beaucoup plus d'informations que ce qu'il avait demandé.
Inquiet de ce que cela pouvait impliquer pour les titulaires de ces données d'identifications, Gupta a essayé d'alerter sur ce problème l'autorité indienne d'identification unique (UIDAI), l'agence responsable de la mise en place des numéros Aadhaar. Mais il a été incapable de confirmer si l'UIDAI connaissait ce problème, ou du moins si elle essayait de le résoudre. Gupta est l'un des 270.000 entrepreneurs villageois qui travaillent avec les Centres de Services Communs (ou Common Service Centres) responsables de la gestion de divers e-services entre les administrations, les commerces et les citoyens.
Il s'est ensuite rapproché du journaliste Rachna Khaira pour The Tribune, qui s'est chargé de l'enquête.
Suivant l'enquête, India Today a aussi mené de son côté une opération d'infiltration pour confirmer les découvertes du journaliste de The Tribune.
Operation #AadhaarLeaks
Your Aadhaar details on sale for just Rs 2!
Watch this India Today special investigation.#NEWSROOM Live at https://t.co/4fqxBVUizLpic.twitter.com/aUFypsiOhG— India Today (@IndiaToday) January 5, 2018
Opération Aadhaar Leaks. Vos informations Aadhaar à vendre pour seulement 2 roupies ! Suivez l'enquête spéciale d'India Today. En direct
Réponses inconsistantes des autorités
La réponse de l'UIDAI à cette fuite a été de déposer plainte contre Rachna Khaira, qui avait conduit l'enquête sur la fuite des données personnelles, en qualifiant ses informations de ‘données erronées’. Lorsque la Guilde des Editeurs a condamné la mise en cause du journaliste, la réponse de l'UIDAI a été qu'ils devaient justifier leur action.
By the logic of this release investigative agencies should file cases against all journalists who do an expose. Sham defence. @UIDAI should withdraw FIR against journalist who broke #AadharLeaks Agency has track record of intimidating whistleblowers. Can’t browbeat civil society. pic.twitter.com/FIUOtvsR9D
— Rahul Kanwal (@rahulkanwal) January 7, 2018
Dans la logique de cette information, les services d'enquête devraient déposer des plaintes contre tous les journalistes qui font des révélations. Pseudo-défense. L'UIDAI doit retirer sa plainte contre le journaliste à l'origine des Aadhaar Leaks. L'agence est connue pour intimider les lanceurs d'alerte. Ils ne peuvent pas intimider la société civile.
Le Ministres des Technologies de l'Information, Ravishankar Prasad, a déclaré :
Govt. is fully committed to freedom of Press as well as to maintaining security & sanctity of #Aadhaar for India's development. FIR is against unknown. I've suggested @UIDAI to request Tribune & it's journalist to give all assistance to police in investigating real offenders.
— Ravi Shankar Prasad (@rsprasad) January 8, 2018
Le Gouvernement est pleinement engagé pour la liberté de la Presse ainsi que pour le maintien de la sécurité et l'inviolabilité d'Aadhaar pour le développement de l'Inde. Une plainte contre X a été déposée. J'ai suggéré à l'UIDAI de demander à The Tribune et son journaliste d'accorder toute leur aide à la police pour trouver les vrais perpétrateurs.
Ce n'est pas la première fois que l'UIDAI “assassine le messager”, pour ainsi dire. Au début de l'année 2017, l'UIDAI a déposé une plainte pénale contre Dabayan Ray, journaliste de CNN-News18 pour son enquête où il avait réussi à obtenir deux identifications Aadhaar en utilisant les mêmes données biométriques.
L'UIDAI a aussi déposé une seconde plainte contre l'entrepreneur Sameer Kochchar après avoir décrit sur son blog comment Aadhaar pouvait être piraté par une “attaque par ré-exécution d'authentification biométrique”.
Dans les trois cas, l'UIDAI a soutenu que les informations étaient “erronées“.
Destiné à “fuiter” dès sa conception
Le numéro d'identification unique Aadhaar permet de réunir les différentes informations démographiques et biométriques d'une personne, incluant sa photographie, ses empreintes digitales, son adresse de résidence et d'autres données personnelles. Ces informations sont toutes conservées dans des bases de données centralisées, qui sont ensuite rendues accessibles à une longue liste d'agences gouvernementales qui peuvent consulter ces informations pour administrer les services publics.
Bien que la centralisation de ces informations permette d'augmenter l'efficacité, cela crée aussi une situation hautement vulnérable où une simple brèche peut conduire à l'exposition des données de millions d'Indiens.
En juin 2017, pour cette même raison, les utilisateurs de Twitter avaient prévenu des dangers potentiels si des agents publics pouvaient avoir accès à la base de données via des informations de connexion et télécharger des e-Aadhaar :
.@databaazi warned us about existence of search access to UIDAI data in last year April. Now after 10 months @thetribunechd reports, more than 1 lakh people got illegal access. https://t.co/wJwFvdu5XE
UIDAI's response: deleting files related to DSDV & SRDH from its website
— Anivar Aravind (@anivar) January 4, 2018
.@databaazi nous avait prévenus de l'existence d'un accès pour rechercher dans les données d'UIDAI en avril de l'année dernière. Aujourd'hui après 10 mois, des articles @thetribunechd, plus de 100.000 personnes ont obtenu un accès illégal
Réaction de l'UIDAI : la suppression des données relatives au DSDV & SRDH de leur site web.
Le Rapport Annuel 2015-16 du Ministère de l'Electronique et des Technologies de l'Information a mentionné l'existence d'un service appelé DBT Seeding Data Viewer (DSDV – visionneuse d'informations communiquées DBT) qui “permet aux départements/agences de voir les informations démographiques du titulaire Aadhaar”.
D'après @databaazi, les identifiants DSDV ont permis à des tiers d'accéder aux informations Aadhaar (sans le consentement du titulaire des informations UID – d'identification unique) depuis une adresse IP sur liste blanche. Cela signifiait que n'importe qui avec une adresse IP valide pouvait accéder au système.
Screenshots of DSDV (basic licence), which allows third parties (both public and private) to access Aadhaar data (1/2) pic.twitter.com/0Wi4s1EvVz
— india subsidy data (@databaazi) April 3, 2017
Captures d'écran du DSDV (licence de base), qui permet à des tiers (aussi bien publics que privés) d'accéder aux données Aadhaar (1/2)
L'UIDAI a de plus confirmé sur Twitter:
Some persons have misused demographic search facility, given to designated officials to help residents who have lost Aadhaar/Enrollment slip to retrieve their details @thetribunechd @rsprasad @ceo_uidai @timesofindia @firstpost @IndiaToday @ZeeNews @htTweets @TheQuint
— Aadhaar (@UIDAI) January 4, 2018
Des personnes ont fait un mauvais usage du service de recherche démographique, donné à des fonctionnaires désignés pour aider les résidents qui ont perdu leur Aadhaar/ billet d'enregistrement à retrouver leurs informations.
Ce défaut de conception met donc les données personnelles de millions de titulaires Aadhaar sous le risque d'être largement exposées, ce qui est clairement en violation avec l’Aadhaar Act.
#AadhaarLeaks par les entités de l'administration centrale
L’Aadhaar Act interdit l'affichage public des numéros Aadhaar. Et cependant, il existe des preuves irréfutables que l'Etat et les services du gouvernement central ont tous exposé les comptes bancaires et les numéros Aadhaar des retraités, mineurs, boursiers et autres.
En octobre 2017, @iam_anandv a souligné comment même une simple recherche Google sur le slogan de l'UIDAI divulgue des centaines d'informations d'Aadhaar.
@UIDAI@ceo_uidai Searching your tagline in @Google shows a few hundred hits with Aadhaar details. Can you get them removed? pic.twitter.com/wpvVrvev9m
— Anand V (@iam_anandv) October 19, 2017
Au PDG de l'UIDAI ; La recherche de votre slogan sur Google fait apparaître des centaines de résultats avec des données Aadhaar. Pouvez-vous les faire supprimer ?
Au mois de novembre de l'année dernière, il a été prouvé que plus de 200 sites web du gouvernement divulguaient des informations Aadhaar. L'UIDAI l'a reconnu, après avoir été obligée de publier cette information en réponse à une demande dans le carde du Droit à l'information (RTI – Right to Information).
Le PDG de l'UIDAI, Ajay Bhushan Pandey, n'a cessé de maintenir que l'exposition des numéros Aadhaar seuls constituait un risque faible vu que les “numéros Aadhaar sont comme des numéros de comptes bancaires”. Mais il a été prouvé que les gens étaient alors vulnérables au phishing, à l'usurpation d'identité et aux entreprises malfaisantes, comme en décembre 2017 quand le géant des télécommunications Airtel a ouvert trois millions de comptes de paiement pour des clients sans obtenir leur consentement éclairé au préalable.
Malgré la colère, les fuites continuent. Celles-ci ont aussi été remarquées par les spécialistes internationaux des données privées dans la technologie. Le Professeur Graham Greeleaf l'a récemment identifié comme l'un des plus “dangereux développements concernant les données privées” dans le monde.
World's most dangerous privacy development? Tough call between India's Aadhaar and China's Social Credit System. But India still has its Supreme Court, Constitution and the Puttaswamy Case to provide hope – China has not. @abli @ICDPPCSec https://t.co/2YViL5dKad
— Graham Greenleaf (@grahamgreenleaf) January 9, 2018
Le plus dangereux développement sur les données privées dans le monde ? L'Aadhaar indien et le Système de Crédit Social chinois sont ex-aequo. Mais l'Inde a tout de même une Cour Suprême, une constitution et l'Affaire Puttaswamy pour laisser de l'espoir – la Chine n'a rien de cela.
Alors que les actions de l'UIDAI laissent peu de place à l'optimisme, le dernier espoir pourrait être la Cour Suprême de l'Inde qui examine en dernier ressort les principales requêtes concernant l'Aadhaar à partir du 17 janvier 2018.