Comment est-il possible qu’une faille de sécurité expose des données personnelles de millions de personnes? C’est le cas de l’État du Rajasthan en Inde, où un site gouvernemental a révélé des documents sensibles et des informations personnelles d’innombrables résidents.
Sur ce site web, relié au programme Jan Aadhaar, un identifiant unique était censé être la clé d’accès des familles et individus du Rajasthan aux divers programmes de bien-être social. Mais que s’est-il passé lorsque des cartes d’Aadhaar, des certificats de naissance et de mariage, ainsi que des factures et des déclarations de revenus ont été exposés au public, sans oublier les données personnelles comme la date de naissance, le genre, et le nom du père?
À qui incombe la responsabilité de la sécurisation de ce portail essentiel? Viktor Markopoulos, chercheur en sécurité pour CloudDefense.ai, a découvert ces failles en décembre et a sollicité l’aide de TechCrunch pour avertir les autorités compétentes.
Les bugs critiques du portail Jan Aadhaar ont-ils été résolus grâce à l’intervention du CERT-In?
Peut-on affirmer que l’intervention du CERT-In, l’équipe d’intervention d’urgence informatique indienne, a été le facteur déterminant dans la correction de ces problèmes la semaine dernière?
Quels étaient les risques spécifiques associés à chacune des deux failles détectées? Est-il vrai que la première faille permettait à quiconque de connaître le numéro de téléphone d’un inscrit, d’accéder à ses documents personnels, et que la deuxième était le résultat d’une vérification inadéquate des mots de passe temporaires par le serveur?
Est-ce que TechCrunch a dû se substituer aux autorités pour obtenir une résolution du problème, après que la Jan Aadhaar Authority du Rajasthan ait ignoré les demandes de renseignements initiales de décembre? Comment se fait-il que l’agence de presse n’ait pas reçu de réponse jusqu’au partage des détails du bogue avec le CERT-In, qui a confirmé jeudi que les failles avaient été corrigées?
Finalement, lorsque TechCrunch a tenté de contacter à nouveau le gouvernement du Rajasthan pour obtenir un commentaire avant la publication de leur article, pourquoi n’ont-ils pas reçu de réponse? Ces interrogations demeurent sans réponse exacte, plaçant en lumière les défis de la gestion de la sécurité informatique au sein des administrations publiques.
Source : Techcrunch
