En Inde, le système d'identification biométrique des individus fuit de partout, et les autorités laissent faire

Prise des empreintes digitales pour Aadhaar, le système d'identification indien, photo via Wikimedia Commons, par Kannanshanmugham. CC BY 3.0

Toutes les liens de ce billet renvoient à des pages en anglais, sauf mention particulière.

Le gouvernement indien détient les données personnelles de plus de 1,13 milliard de citoyens et résidents indiens dans un système d'identification unique nommé Aadhaar [fr], signifiant “fondement” en hindi.

Mais alors que de plus en plus de preuves révèlent que le gouvernement ne protège pas le caractère privé de ces informations, les fondations actuelles du système paraissent très précaires.

Le 4 janvier 2018, l'édition indienne de The Tribune, journal d'information basé à Chandigarh, a soulevé un véritable tollé quand elle a rapporté que l'accès aux données d'Aadhaar était vendu à Whatsapp pour des prix incroyablement bas.

500 roupies, 10 minutes, et vous avez accès à des milliards d'informations sur Aadhaar

L'enquête du journal a suivi un homme nommé Bharat Bhushan Gupta, un entrepreneur villageois à qui a été fait miroiter l'achat d'un accès à la base de données par des personnes l'ayant contacté sur WhatsApp. Gupta a réalisé par la suite qu'il avait accès à beaucoup plus d'informations que ce qu'il avait demandé.

Inquiet de ce que cela pouvait impliquer pour les titulaires de ces données d'identifications, Gupta a essayé d'alerter sur ce problème l'autorité indienne d'identification unique (UIDAI), l'agence responsable de la mise en place des numéros Aadhaar. Mais il a été incapable de confirmer si l'UIDAI connaissait ce problème, ou du moins si elle essayait de le résoudre. Gupta est l'un des 270.000 entrepreneurs villageois qui travaillent avec les Centres de Services Communs (ou Common Service Centres) responsables de la gestion de divers e-services entre les administrations, les commerces et les citoyens.

Il s'est ensuite rapproché du journaliste Rachna Khaira pour The Tribune, qui s'est chargé de l'enquête.

Suivant l'enquête, India Today a aussi mené de son côté une opération d'infiltration pour confirmer les découvertes du journaliste de The Tribune.

Opération Aadhaar Leaks. Vos informations Aadhaar à vendre pour seulement 2 roupies ! Suivez l'enquête spéciale d'India Today. En direct

Réponses inconsistantes des autorités

La réponse de l'UIDAI à cette fuite a été de déposer plainte contre Rachna Khaira, qui avait conduit l'enquête sur la fuite des données personnelles, en qualifiant ses informations de ‘données erronées’. Lorsque la Guilde des Editeurs a condamné la mise en cause du journaliste, la réponse de l'UIDAI a été qu'ils devaient justifier leur action.

Dans la logique de cette information, les services d'enquête devraient déposer des plaintes contre tous les journalistes qui font des révélations. Pseudo-défense. L'UIDAI doit retirer sa plainte contre le journaliste à l'origine des Aadhaar Leaks. L'agence est connue pour intimider les lanceurs d'alerte. Ils ne peuvent pas intimider la société civile.

Le Ministres des Technologies de l'Information, Ravishankar Prasad, a déclaré :

Le Gouvernement est pleinement engagé pour la liberté de la Presse ainsi que pour le maintien de la sécurité et l'inviolabilité d'Aadhaar pour le développement de l'Inde. Une plainte contre X a été déposée. J'ai suggéré à l'UIDAI de demander à The Tribune et son journaliste d'accorder toute leur aide à la police pour trouver les vrais perpétrateurs.

Ce n'est pas la première fois que l'UIDAI “assassine le messager”, pour ainsi dire. Au début de l'année 2017, l'UIDAI a déposé une plainte pénale contre Dabayan Ray, journaliste de CNN-News18 pour son enquête où il avait réussi à obtenir deux identifications Aadhaar en utilisant les mêmes données biométriques.

L'UIDAI a aussi déposé une seconde plainte contre l'entrepreneur Sameer Kochchar après avoir décrit sur son blog comment Aadhaar pouvait être piraté par une “attaque par ré-exécution d'authentification biométrique”.

Dans les trois cas, l'UIDAI a soutenu que les informations étaient “erronées“.

Destiné à “fuiter” dès sa conception

Le numéro d'identification unique Aadhaar permet de réunir les différentes informations démographiques et biométriques d'une personne, incluant sa photographie, ses empreintes digitales, son adresse de résidence et d'autres données personnelles. Ces informations sont toutes conservées dans des bases de données centralisées, qui sont ensuite rendues accessibles à une longue liste d'agences gouvernementales qui peuvent consulter ces informations pour administrer les services publics.

Bien que la centralisation de ces informations permette d'augmenter l'efficacité, cela crée aussi une situation hautement vulnérable où une simple brèche peut conduire à l'exposition des données de millions d'Indiens.

En juin 2017, pour cette même raison, les utilisateurs de Twitter avaient prévenu des dangers potentiels si des agents publics pouvaient avoir accès à la base de données via des informations de connexion et télécharger des e-Aadhaar :

.@databaazi nous avait prévenus de l'existence d'un accès pour rechercher dans les données d'UIDAI en avril de l'année dernière. Aujourd'hui après 10 mois, des articles @thetribunechd, plus de 100.000 personnes ont obtenu un accès illégal

Réaction de l'UIDAI :  la suppression des données relatives au DSDV & SRDH de leur site web.

Le Rapport Annuel 2015-16 du Ministère de l'Electronique et des Technologies de l'Information a mentionné l'existence d'un service appelé DBT Seeding Data Viewer (DSDV – visionneuse d'informations communiquées DBT) qui “permet aux départements/agences de voir les informations démographiques du titulaire Aadhaar”.

D'après @databaazi, les identifiants DSDV ont permis à des tiers d'accéder aux informations Aadhaar (sans le consentement du titulaire des informations UID – d'identification unique) depuis une adresse IP sur liste blanche. Cela signifiait que n'importe qui avec une adresse IP valide pouvait accéder au système.

Captures d'écran du DSDV (licence de base), qui permet à des tiers (aussi bien publics que privés) d'accéder aux données Aadhaar (1/2)

L'UIDAI a de plus confirmé sur Twitter:

Des personnes ont fait un mauvais usage du service de recherche démographique, donné à des fonctionnaires désignés pour aider les résidents qui ont perdu leur Aadhaar/ billet d'enregistrement à retrouver leurs informations.

Ce défaut de conception met donc les données personnelles de millions de titulaires Aadhaar sous le risque d'être largement exposées, ce qui est clairement en violation avec l’Aadhaar Act.

#AadhaarLeaks par les entités de l'administration centrale

L’Aadhaar Act interdit l'affichage public des numéros Aadhaar. Et cependant, il existe des preuves irréfutables que l'Etat et les services du gouvernement central ont tous exposé les comptes bancaires et les numéros Aadhaar des retraités, mineurs, boursiers et autres.

En octobre 2017, @iam_anandv a souligné comment même une simple recherche Google sur le slogan de l'UIDAI divulgue des centaines d'informations d'Aadhaar.

Au PDG de l'UIDAI ; La recherche de votre slogan sur Google fait apparaître des centaines de résultats avec des données Aadhaar. Pouvez-vous les faire supprimer ?

Au mois de novembre de l'année dernière, il a été prouvé que plus de 200 sites web du gouvernement divulguaient des informations Aadhaar. L'UIDAI l'a reconnu, après avoir été obligée de publier cette information en réponse à une demande dans le carde du Droit à l'information (RTI – Right to Information).

Le PDG de l'UIDAI, Ajay Bhushan Pandey, n'a cessé de maintenir que l'exposition des numéros Aadhaar seuls constituait un risque faible vu que les “numéros Aadhaar sont comme des numéros de comptes bancaires”. Mais il a été prouvé que les gens étaient alors vulnérables au phishing, à l'usurpation d'identité et aux entreprises malfaisantes, comme en décembre 2017 quand le géant des télécommunications Airtel a ouvert trois millions de comptes de paiement pour des clients sans obtenir leur consentement éclairé au préalable.

Capture d'écran du site web de l'autorité indienne d'identification unique (UIDAI) affichant un avertissement contre le partage public des Numéros Aadhaar.

Malgré la colère, les fuites continuent. Celles-ci ont aussi été remarquées par les spécialistes internationaux des données privées dans la technologie. Le Professeur Graham Greeleaf l'a récemment identifié comme l'un des plus “dangereux développements concernant les données privées” dans le monde.

Le plus dangereux développement sur les données privées dans le monde ? L'Aadhaar indien et le Système de Crédit Social chinois sont ex-aequo. Mais l'Inde a tout de même une Cour Suprême, une constitution et l'Affaire Puttaswamy pour laisser de l'espoir – la Chine n'a rien de cela.

Alors que les actions de l'UIDAI laissent peu de place à l'optimisme, le dernier espoir pourrait être la Cour Suprême de l'Inde qui examine en dernier ressort les principales requêtes concernant l'Aadhaar à partir du 17 janvier 2018.

Commentez

Merci de... S'identifier »

Règles de modération des commentaires

  • Tous les commentaires sont modérés. N'envoyez pas plus d'une fois votre commentaire. Il pourrait être pris pour un spam par notre anti-virus.
  • Traitez les autres avec respect. Les commentaires contenant des incitations à la haine, des obscénités et des attaques nominatives contre des personnes ne seront pas approuvés.