« Ils ne savaient pas que c’était impossible, alors ils l’ont fait. » – Marc Twain. En matière de sécurité digitale, ce n’est pas toujours une bonne chose, surtout quand ils sont des hackers. Un chercheur en sécurité nous informe qu’un bug sur le site Web du gouvernement d’un État indien a accidentellement révélé des documents contenant les numéros Aadhaar des résidents, leurs cartes d’identité et des copies de leurs empreintes digitales. Comme si nos similis de sondages 10/10 pâtés pouvaient rivaliser avec de vraies empreintes digitales dans le cyber monde, nous voilà bien embêtés!
D’accord, assez rigolé. Ce bug a été corrigé la semaine dernière après que le chercheur a divulgué l’information aux autorités locales. Il a été découvert sur le portail Web e-District du gouvernement de l’ouest du Bengale, qui permet aux résidents de l’État d’accéder à des services gouvernementaux en ligne, comme l’obtention de certificats de naissance et de décès et de demandes de construction.
Sourajeet Majumder, le chercheur, a déclaré que le bug du site Web permettait d’obtenir des actes de propriété, qui contiennent des informations sur les propriétaires d’un terrain, simplement en devinant les numéros de demande consécutives. A la demande de certains, nous avons cherché ici et là, mais pas de numéros de loto sur leur site, désolé.
« Il semble que le bug découvert ait été une mine d’or pour l’usurpation d’identité. »
Les numéros d’identification de demande sont des numéros uniques de 16 chiffres émis par le gouvernement de l’État lorsqu’un résident local demande une copie numérique d’un acte. Non, ce n’est pas le genre de numéro à utiliser pour jouer au loto, et encore moins pour pirater. Majumder a utilisé des outils disponibles publiquement pour analyser le trafic réseau entrant et sortant du site Web, lui permettant de parcourir des listes entières de numéros de demande consécutifs et d’utiliser les réponses du serveur pour déterminer si un numéro d’identification de demande était valide.
Grâce à cette manoeuvre, il était possible d’accéder à une copie d’un acte de propriété avec un simple identifiant e-District. Un aperçu de ces actes révèle les noms des personnes concernées, leurs photos et les empreintes digitales complètes de leurs deux mains. C’est presque comme si on vous demandait l’empreinte de votre nez pour acheter une baguette de pain, non?
Les actes contenaient également des documents d’identité émis par le gouvernement, y compris leurs numéros Aadhaar confidentiels, nécessaires pour accéder aux services bancaires, aux forfaits de téléphonie mobile et à de nombreux services gouvernementaux. On imagine déjà le désarroi des autorités lorsqu’elles se sont rendu compte qu’elles avaient laissé échapper ces informations.
L’intrépide Majumder a signalé la faille de sécurité à l’équipe indienne d’intervention d’urgence en informatique, aussi connue sous le nom de CERT-In, envoyant ainsi une décharge électrique à tout le corps administratif. Le bug a été rapidement réparé . Nous ne savons pas si d’autres personnes ont découvert le bug, mais nous ne pouvons que remercier notre ange gardien numérique favori pour son travail acharné.
L’issue n’aurait pas été si amusante si ce bug avait été utilisé pour vider des comptes bancaires ou pire encore, si les criminels avaient utilisé ces données pour autre chose… Et encore une fois, les autorités n’auraient rien vu venir. Comme quoi, même dans le monde de la technologie, il n’y a pas que des chasseurs, il y a aussi des gardiens !
Et comme dirait mon vieil ami Einstein, si on juge un poisson sur sa capacité à grimper à un arbre, il passera toute sa vie à croire qu’il est stupide. Mais ici, il semble que ce sont les autorités qui ont oublié qu’Internet n’est pas fait que de bois!
Source : Techcrunch
