« Dans le monde du numérique, même nos secrets les mieux gardés ont la fâcheuse habitude de vouloir prendre l’air. » C’est une leçon qu’a apprise à ses dépens l’administration indienne, suite à une bévue cybersécuritaire digne d’un scénario hollywoodien. Imaginez un peu : des tonnes de données sensibles sur ses citoyens, exposées aux yeux de tous comme des oranges sur un marché.
Pour comprendre le hic, il faut plonger dans les méandres du S3WaaS, le service cloud du gouvernement indien, dont le nom sonne comme une marque de savon, mais qui promettait sécurité et élasticité pour la construction et l’hébergement des sites web gouvernementaux. C’était sans compter une petite configuration manquée par-ci, par-là.
Notre héros du jour, Sourajeet Majumder, chercheur en sécurité, a débusqué la faille en 2022. Documents Aadhaar, données de vaccination COVID-19, détails de passeports… tout était sur l’étalage, prêt à être indexé par les moteurs de recherche. Oui, comme si Google vous proposait directement des informations ultra-privées au lieu de la dernière recette de tarte aux pommes.
« Alerte instantanée, réaction… pas si rapide? »
Grâce à la Fondation pour la liberté sur internet, notre vaillant chercheur a pu alerter les autorités compétentes. Le CERT-In, équipe d’urgence informatique de l’Inde, a rapidement réagi pour essayer de planquer les dossiers sensibles loin des regards indiscrets. Mais voilà, le mal était déjà fait, et la porte restait entrouverte sur certaines données personnelles.
Pire, des vilains hackers auraient même commencé à vendre ces informations sur le dark web, tels des marchands de tapis vendant des bijoux volés. Et tout ça, malgré les tentatives répétées de notre chevalier Sourajeet pour colmater la brèche.
C’est avec l’appui de TechCrunch que certains de ces documents ont pu être arrachés des griffes de l’internet public. Quant aux responsables du S3WaaS et du Centre national d’informatique, ils doivent encore être en train de chercher la touche « répondre » à leur mail.
L’aventure nous enseigne une chose : la sécurité des données, ce n’est pas qu’une affaire de gros mots de passe et de VPN. Non, c’est aussi une question de vigilance de tous les instants. Et cette histoire d’exposition de données pourrait bien être l’électrochoc dont le gouvernement indien avait besoin pour resserrer les boulons.
En somme, ce qui devait être une forteresse numérique s’est retrouvé avec les portes grandes ouvertes. La prochaine fois, espérons que la clé ne sera pas sous le paillasson. Et pour finir sur une note légère : dans le cloud, mieux vaut parfois garder les pieds sur terre!
Source : Techcrunch
