Aadhaar, ou le scandale de la fuite des données privées de 130 millions d'Indiens
Le gouvernement indien vient de terminer l'enregistrement des données biométriques de quasiment toute la population adulte indienne pour constituer la première carte d'identité du pays. Lors de ce procédé, les empreintes digitales et l'iris ont été numérisés, afin de sécuriser l'attribution de subventions publiques. Plus d'un milliard de personnes sont enregistrées dans ce qui constitue la plus grande base de données biométriques au monde – or voici que les informations de 130 millions d'entre eux se sont retrouvées accessibles sur plusieurs sites publics.
Publié le : Modifié le :
De notre correspondant à New Delhi,
Les chercheurs d'un centre spécialisé dans la cybersécurité se sont rendus sur les sites internet de quatre institutions publiques qui gèrent d'importants programmes d'aides sociales ou de redistribution des retraites. Et en cherchant un peu, ils ont réussi à accéder, librement, aux différentes informations des bénéficiaires, collectées pour la création de cette carte d'identité nationale : à savoir les noms, religions, caste, téléphone, adresse, numéro de la carte d'identité, et dans certains cas, les numéros de leur compte en banque.
En tout, ce groupe spécialisé en cybersécurité, appelé Centre pour l'internet et la Société, estime que les données de 130 millions de personnes étaient présentes, et dans certains cas possibles à télécharger sous forme de fichiers Excel.
Aadhaar, la porte ouverte aux arnaques
Le premier risque est le vol d'identité : cette carte appelée Aadhaar sert à recevoir des aides publiques, et dans ce cas, il faut apposer ses empreintes digitales pour confirmer son identité. Mais depuis peu, elle est également utilisée pour entrer dans des aéroports, ouvrir un compte en banque ou une ligne téléphonique, autant d'étapes qui ne nécessitent pas cette authentification biométrique. Dans ces derniers cas, les informations diffusées peuvent permettre à quelqu'un de répliquer une telle carte, d'y mettre sa photo et d'acquérir une nouvelle identité.
Le deuxième risque est celui de la fraude financière, bien sûr. Environ 100 millions de numéros de comptes en banque étaient publiés sur ces sites, et s'ils consituent un premier outil pour voler l'argent qui s'y trouve, cela peut se faire en appelant l'un de ces clients en se faisant passer pour un agent bancaire, par exemple. Une arnaque régulière en Inde.
Aucune protection des données privées
L'autorité en charge de la gestion de ces données assure que leur publication ne pose pas de grave danger pour les individus concernés – la loi qui encadre la carte Aadhaar punit certes de trois ans de prison toute personne responsable de la fuite de ces informations. Mais ces fonctionnaires ont nié qu'il s'agissait d'une « fuite ».
Techniquement, cela est sans doute vrai, car ces données ont été trouvées directement sur le site. Mais dans les faits, c'est pire qu'une fuite, vu que tout le monde pouvait y accéder. Dans tous les cas, il n'existe pas en Inde d'autorité indépendante en charge de la protection des données personnelles, comme la CNIL en France. Et surtout, il est impossible d'engager la responsabilité légale de cette autorité si celle-ci refuse de répondre aux questions de la police.
NewsletterRecevez toute l'actualité internationale directement dans votre boite mail
Je m'abonne