Soupçons de brèche dans le mégafichier d’identité indien : le gouvernement contre-attaque
Soupçons de brèche dans le mégafichier d’identité indien : le gouvernement contre-attaque
Par Pierre-Olivier Chaput
Une journaliste indienne a affirmé avoir eu besoin de dix minutes et moins de 7 euros pour accéder aux données de plus d’un milliard d’Indiens. L’agence gouvernementale responsable du fichier a déposé plainte.
Le gouvernement indien a déposé plainte, après un article du quotidien indien The Tribune, dont l’auteure affirme s’être procuré un accès à l’immense base de données gouvernementale, rassemblant les informations personnelles et biométriques de près de 1,2 milliard de personnes.
La journaliste Rachna Khaira expliquait, mercredi 3 janvier, qu’il lui avait fallu dix minutes et 500 roupies (moins de 7 euros), versées à un inconnu rencontré sur WhatsApp, pour obtenir un accès au moteur de recherche de cette base de données. Chaque résident indien se voit attribuer un numéro Aadhaar, un identifiant personnel et unique, qui a donné son nom à ce gigantesque fichier. La journaliste assure qu’elle pouvait entrer n’importe quel identifiant et obtenir le nom, l’adresse, le code postal, la photo, l’adresse e-mail, ainsi que le numéro de téléphone correspondants.
La journaliste raconte aussi comment on lui a donné, pour 300 roupies supplémentaires, un logiciel censé permettre l’impression de cartes Aadhaar – le document qui prouve sa présence dans la base de données et peut servir de preuve d’identité – à partir de n’importe quel numéro entré dans la base.
Qui plus est, le site d’information indien The Quint a, de son côté, affirmé peu après qu’il était possible d’acquérir des comptes administrateur sur la base de données, permettant de créer autant de comptes que souhaité, y compris d’autres comptes administrateur.
Œil pour œil, doigt pour doigt
Le projet Aadhaar (« fondation » en hindi), introduit en 2009, est le plus grand relevé d’identité numérique au monde. En plus des informations listées ci-dessus, les habitants doivent fournir leurs empreintes digitales et d’iris.
L’inscription dans la base de données n’est pas obligatoire, mais l’utilisation d’une carte Aadhaar est devenue essentielle pour avoir accès à un nombre grandissant de services, comme des assurances, des services sociaux ou encore des inscriptions scolaires. Critiqué par les ONG qui défendent le droit à la vie privée depuis sa mise en place, le projet s’est régulièrement retrouvé sous le feu des projecteurs pour des fuites de données et des obstacles judiciaires. Sans toutefois l’empêcher de poursuivre son extension.
Après la publication de l’article de The Tribune, l’Autorité indienne de l’identification unique (UIDAI, Unique Identification Authority of India), organisme gouvernemental qui gère la collecte et la conservation des données, a déposé une plainte par l’intermédiaire de l’un de ses responsables. Le document cite la journaliste qui en est l’auteure et le journal, mais pas seulement. Des sources contactées par Rachna Khaira au cours de son investigation sont citées comme « ayant accédé sans autorisation » à la base de données, « en connivence avec une association de malfaiteurs ». Un gradé policier a confirmé dans le journal The Indian Express l’ouverture d’une enquête.
L’existence de la brèche contestée
Le ministre indien de la justice et des nouvelles technologies, Ravi Shankar Prasad, a déclaré que la plainte ne visait personne en particulier, et que son gouvernement restait attaché à la liberté de la presse.
En parallèle, l’UIDAI soutient qu’il n’y a pas eu de brèche dans la sécurité, car l’accès décrit dans l’article servirait à gérer les réclamations des citoyens et consommateurs, et ne permettrait en aucun cas d’avoir accès aux données biométriques contenues dans la base de données.
Plusieurs associations indiennes de journalistes ont apporté leur soutien à Rachna Khaira et dénoncé une manœuvre d’intimidation et d’obstruction de la part de l’UIDAI à travers cette plainte. Edward Snowden a fait de même via son compte Twitter. Le lanceur d’alerte estime que les journalistes ayant révélé la faille « méritent une récompense et pas une enquête » et pointe du doigt l’UIDAI qu’il juge responsable de la destruction de la vie privée d’un milliard d’Indiens.