Les détails d'Aadhaar publiés sur plus de 200 sites Web gouvernementaux, confirme l'UIDAI
Publié: 2017-11-20La violation survient quelques mois seulement après qu'un site Web du gouvernement du Pendjab a rendu publiques les données Aadhaar de 20 100 citoyens
Après qu'une entité gouvernementale du Pendjab a publié les informations Aadhaar de 20 100 citoyens sur son site Web officiel en août de cette année, l'Autorité d'identification unifiée de l'Inde (UIDAI) a signalé une autre violation. Cette fois-ci, plus de 200 sites Web du gouvernement central et des États ont rendu publics les détails privés d'Aadhaar tels que les noms et les adresses. Selon les rapports, l'organisme émetteur Aadhaar a confirmé la violation, sans réellement divulguer quand elle a eu lieu. Les détails ont depuis été supprimés des sites Web, a déclaré un responsable de l'UIDAI.
Soulignant que l'UIDAI elle-même n'a jamais affiché publiquement les détails d'Aadhaar, le responsable a déclaré: "Cependant, il a été constaté qu'environ 210 sites Web du gouvernement central, des départements gouvernementaux de l'État, y compris des établissements d'enseignement, affichaient la liste des bénéficiaires avec leur nom, adresse, autres détails et numéros Aadhaar pour l'information du grand public.
En réponse à une requête de RTI, l'UIDAI a en outre déclaré : "L'UIDAI a mis en place un système de sécurité robuste à approche multicouche bien conçu et celui-ci est constamment mis à jour pour maintenir le plus haut niveau de sécurité et d'intégrité des données".
À une époque où le gouvernement central redouble d'efforts pour rendre Aadhaar obligatoire pour les comptes bancaires, les connexions téléphoniques, les polices d'assurance et même les connexions GPL , ces violations soulèvent la question de la sécurité des informations personnelles d'un citoyen.
Rejetant ces préoccupations, l'UIDAI a ajouté : "Diverses politiques et procédures ont été définies, elles sont revues et mises à jour en permanence, contrôlant et surveillant ainsi de manière appropriée tout mouvement de personnes, de matériel et de données entrant et sortant des locaux de l'UIDAI, en particulier les centres de données".
Dans sa réponse, l'autorité a déclaré qu'elle procédait à des audits de sécurité réguliers, dans le but de renforcer la sécurité du système et la confidentialité des données.
Le débat en cours sur Aadhaar et la violation du droit à la vie privée
Selon le site officiel, l' Unique Identification Authority of India (UIDAI) est une autorité statutaire établie en vertu des dispositions de la loi Aadhaar (Targeted Delivery of Financial and Other Subsidies, Benefits and Services) Act, 2016 ("Aadhaar Act 2016") sur 12 juillet 2016 par le gouvernement indien, sous l'égide du ministère de l'électronique et des technologies de l'information (MeitY).
Il s'agit d'un numéro d'identité à 12 chiffres fourni dans le cadre de l'UIDAI , lié aux détails biométriques d'un citoyen et devenu obligatoire pour bénéficier des services gouvernementaux, tels que le dépôt de déclarations de revenus, la réservation de billets de train sur l'IRCTC, l'ouverture d'un compte bancaire, etc.
Recommandé pour vous:
Comment Metaverse va transformer l'industrie automobile indienne
Que signifie la disposition anti-profit pour les startups indiennes ?
Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...
Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...
Les startups indiennes prennent des raccourcis à la recherche de financement
La plate-forme de marketing numérique Logicserve met en sac un financement INR 80 Cr et se rebaptise LS Dig ...
Mais, en raison d'un manque perçu de normes de cybersécurité du pays, les experts et les militants estiment que la liaison de ces informations au numéro Aadhaar peut exposer des informations privées et sensibles à des crimes tels que le vol d'identité, le piratage, etc. La Cour suprême indienne a récemment rendu un verdict unanime en faveur du droit à la vie privée, le qualifiant de droit humain fondamental. Après ce jugement, un banc de cinq juges de la cour suprême a été nommé pour tester la validité d'Aadhaar sous l'aspect de la vie privée en tant que droit fondamental.
Un mois plus tard, Kalyani Menon Sen, une universitaire féministe et militante sur les questions relatives aux droits des femmes, a contesté la validité constitutionnelle de la décision de la RBI de rendre obligatoire le lien des comptes bancaires avec Aadhaar au motif de violation du droit à la vie privée. La pétition de Sen a également contesté la validité de la circulaire du 23 mars émise par le Département des télécommunications rendant obligatoire pour les citoyens de relier leurs téléphones portables à Aadhaar.
Le DoT a précisé plus tard que les entreprises de télécommunications n'agiraient pas contre les abonnés non vérifiés jusqu'à ce que la Cour suprême se prononce sur la question de la liaison des numéros de téléphone mobile avec Aadhaar.
Un regard sur les récentes violations d'Aadhaar
Ces derniers temps, la sécurité du système Aadhaar a été remise en question à plusieurs reprises. En avril 2017, les détails Aadhaar de 1,4 million d'utilisateurs enregistrés ont été rendus publics à la Direction de la sécurité sociale du Jharkhand. Ces détails comprenaient des informations sensibles telles que les noms, adresses, coordonnées bancaires et numéros Aadhaar.
Plus tard en août, le co-fondateur de Qarth Technologies, Abhinav Srivastava, a été arrêté par la Central Crime Branch de Bengaluru pour vol de données. Selon la plainte, Srivastava a illégalement accédé aux données UIDAI via une application mobile "Aadhaar e-KYC verification" qu'il a lui-même développée. Les travailleurs de Qarth ont été accusés d'avoir développé une application et d'avoir accédé à des détails sur le site officiel sans authentification.
Au cours de son interrogatoire, Srivastava a donné une démonstration étape par étape de six heures aux détectives sur la façon dont il a réussi à pirater le site Web d'Aadhaar. Dans sa démonstration, Srivastava a déclaré qu'il avait profité de l'absence de protocole de transfert hypertexte sécurisé (HTTPS) dans l'URL du site Web d'Aadhaar. Un autre rapport a affirmé qu'Abhinav avait utilisé des raccourcis pour accéder aux données de divers sites Web utilisant les données d'Aadhaar.
À peu près au même moment, WikiLeaks a publié un rapport affirmant que la Central Intelligence Agency (CIA) dans ses efforts de cyberespionnage avait compromis les données d'Aadhaar. Le rapport alléguait que la CIA utilisait des outils conçus par le fournisseur de technologie américain Cross Match Technologies pour le cyberespionnage.
Saket Modi, fondateur de Lucideus Technologies , une entreprise qui a travaillé en étroite collaboration avec le gouvernement indien pour garantir la faisabilité et la sécurité du système Aadhaar, avait déclaré lors d'une précédente interaction avec Inc42 : « Aadhaar est un système d'API ouvert. Oui, les numéros de carte Aadhaar ont été rendus publics, mais ils sont alors comme des identifiants de messagerie. Le simple fait d'avoir l'Aadhaar de quelqu'un ne vous permet pas de faire une fraude ou une transaction.
Nous avons tous entendu parler de l'adage : "Avec un grand pouvoir vient une grande responsabilité". Ceci est particulièrement pertinent dans le monde d'aujourd'hui, où un clic sur un bouton peut très bien changer le cours de la vie de quelqu'un. Étant donné que plus de 2,5 quintillions d'octets de données sont consommés chaque jour sous forme d'e-mails, de vidéos, d'images, de tweets et de contenu, le risque d'atteinte à la vie privée a naturellement augmenté à un rythme alarmant.
Il est troublant de noter que d'autres détails liés à l'UIDAI, tels que les numéros de compte bancaire, les détails de la famille, etc. pourraient également être consultés par ceux qui ont les moyens et l'intention de le faire. Bien que l'explication de Modi offre un certain soulagement, la violation répétée du système Aadhaar a naturellement fait émerger des préoccupations encore plus importantes.