UIDAI déclare que les rapports sur le piratage du logiciel Aadhaar sont "incorrects" et "irresponsables"

Publié: 2018-09-12

Des rapports ont révélé qu'un logiciel ne coûtant que 35 dollars (2 500 INR) permet à des personnes non autorisées de générer des numéros Aadhaar à volonté.

UIDAI affirme que toutes les données biométriques enregistrées d'une personne - 10 empreintes digitales et deux iris - sont mises en correspondance avec celles du système et validées avant qu'un numéro d'identité à 12 chiffres ne soit émis

UIDAI affirme avoir pris des mesures de sauvegarde, notamment en fournissant un logiciel standardisé qui crypte toutes les données avant de les enregistrer sur un disque.

Alors même que la Cour suprême examine la validité constitutionnelle de la loi Aadhaar, le système d'identité unique qui enregistre les données de plus d'un milliard d'Indiens reste vulnérable aux atteintes à la sécurité.
Récemment, des rapports ont révélé que la base de données Aadhaar pourrait être compromise avec un correctif logiciel bon marché coûtant aussi peu que 35 $ (INR 2500) qui désactive les fonctionnalités de sécurité critiques utilisées pour inscrire de nouveaux utilisateurs. Cependant, l'Autorité d'identification unique de l'Inde (UIDAI) a rejeté les rapports comme "complètement incorrects et irresponsables" et a déclaré qu'aucun opérateur ne peut effectuer ou mettre à jour les entrées Aadhaar à moins qu'un individu ne fournisse ses détails biométriques.
HuffPost India, dans un rapport daté du 11 septembre, a affirmé que "le patch - disponible gratuitement pour aussi peu qu'environ 35 $ (INR 2500) - permet à des personnes non autorisées, basées n'importe où dans le monde, de générer des numéros Aadhaar à volonté, et est toujours répandu. utilisation."
Le rapport ajoute que le correctif contourne les fonctionnalités de sécurité critiques telles que l'authentification biométrique des opérateurs d'inscription et la fonction de sécurité GPS intégrée du logiciel d'inscription pour générer des numéros Aadhaar non autorisés. Le correctif réduirait prétendument la sensibilité du système de reconnaissance de l'iris du logiciel d'inscription, facilitant ainsi l'usurpation du logiciel avec une photographie d'un opérateur enregistré, plutôt que d'exiger que l'opérateur soit présent en personne.
Suite à cela, l'UIDAI dans une série de Tweets a déclaré que l'affirmation selon laquelle des entrées pourraient être introduites dans la base de données Aadhaar est totalement infondée car toutes les données biométriques d'une personne - 10 empreintes digitales et deux iris - sont comparées à celles déjà présentes dans le système et validées. avant l'émission d'un numéro d'identité unique à 12 chiffres.
Il a déclaré que la biométrie et d'autres paramètres d'un opérateur sont vérifiés avant une inscription ou une mise à jour et qu'une fois toutes les vérifications réussies, ils sont traités plus avant.
En outre, l' UIDAI a affirmé avoir pris des mesures de sauvegarde, notamment en fournissant un logiciel standardisé qui crypte toutes les données avant même de les enregistrer sur un disque, en protégeant les données à l'aide d'une inviolabilité, en identifiant chacun des opérateurs dans "chaque" inscription et en identifiant chacun de milliers de machines à l'aide d'un processus d'enregistrement de machine unique, qui garantit que chaque paquet chiffré est suivi.
"Même dans une situation hypothétique où, par une tentative de manipulation, des paramètres essentiels tels que la biométrie de l'opérateur ou la biométrie du résident ne sont pas capturés, flous et un tel paquet d'inscription/mise à jour fantôme est envoyé à UIDAI, le même est identifié par le système backend robuste de UIDAI, et tous ces paquets d'inscription sont rejetés et aucun Aadhaar n'est généré. Aussi, les machines d'enrôlement concernées et les opérateurs sont identifiés, bloqués et blacklistés en permanence depuis le système UIDAI. Dans les cas appropriés, des plaintes à la police sont également déposées pour de telles tentatives frauduleuses », a déclaré UIDAI.
Il a ajouté que des allégations similaires avaient été faites devant la Cour suprême (SC) lorsque la Cour constitutionnelle avait entendu l'affaire Aadhaar et que l'UIDAI y avait répondu à l'époque.

La SC a commencé son audience finale pour la validité constitutionnelle de la loi Aadhaar en janvier, à la suite de quoi, en mars 2018, le banc de cinq juges de la SC avait demandé à l'UIDAI de préparer une présentation powerpoint afin d'identifier les lacunes de la loi Aadhaar 2016 et d'y remédier. les appréhensions liées à la sécurité des données collectées par l'UIDAI.

Le PDG d'UIDAI, Ajay Bhushan Pandey, lors de sa présentation devant la Cour suprême, avait expliqué que toutes les données personnelles stockées par Aadhaar sont cryptées et ne peuvent pas être piratées . Il a poursuivi en affirmant qu '«il faudrait plus que l'âge de l'univers pour briser un cryptage».

L'UIDAI a également déclaré que les opérateurs trouvés en violation de ses processus stricts d'inscription et de mise à jour ou se livrant à des pratiques frauduleuses ou corrompues sont bloqués et mis sur liste noire et se voient imposer une amende pouvant aller jusqu'à 1 Lakh INR par instance.
"C'est à cause de ce système rigoureux et robuste qu'à ce jour, plus de 50 000 opérateurs ont été mis sur liste noire", a ajouté l'UIDAI.
Le développement intervient à un moment où des rapports ont fait surface selon lesquels les données personnelles - noms, numéro PAN, numéros d'identification militaires - d'un nombre non divulgué de soldats ont été divulguées et ont été rendues publiques sur les sites Web des bureaux de paie et de compte du ministère de la Défense. situés à travers le pays.

Auparavant, l'UIDAI rendait obligatoire l'utilisation de la reconnaissance faciale pour des services tels que l'émission de cartes SIM mobiles, les services bancaires, les distributions du système de distribution publique et le marquage de la présence dans les bureaux gouvernementaux.

Recommandé pour vous:

Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde
Ressources

Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde

Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via « Jugaad » : PDG de CitiusTech
Nouvelles

Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via "Jugaad": Cit ...

Comment Metaverse va transformer l'industrie automobile indienne
Ressources

Comment Metaverse va transformer l'industrie automobile indienne

Que signifie la disposition anti-profit pour les startups indiennes ?
Ressources

Que signifie la disposition anti-profit pour les startups indiennes ?

Comment les startups Edtech aident à améliorer les compétences et à préparer la main-d'œuvre pour l'avenir
Ressources

Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...

Nouvelles

Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...

Dans le même temps, la haute cour de Delhi entendra un plaidoyer demandant des dommages-intérêts à l'autorité pour manquement présumé à l'adoption de mesures de sécurité adéquates qui ont conduit aux fuites de données controversées d'Aadhaar.

La décision de la Cour suprême dans l'affaire contestant la validité constitutionnelle d'Aadhaar est également attendue prochainement.