Une fuite massive de la base de données des vaccins révèle l’identité de millions d’Indiens

Il suffisait à l’utilisateur d’entrer son numéro de téléphone ou son numéro Aadhaar (la carte d’identité nationale indienne) pour obtenir des informations telles que son nom, son numéro de passeport et sa date de naissance. Les données semblent provenir de l’application indienne de suivi des vaccinations CoWIN, qui compte plus d’un milliard d’utilisateurs enregistrés.

« L’ampleur de la violation de données rend difficile l’évaluation des répercussions », déclare Srikanth Lakshmanan, un chercheur qui dirige le collectif Cashless Consumer, spécialisé dans les paiements numériques. « Selon des estimations prudentes, les données personnelles de plusieurs centaines de millions d’utilisateurs ont été exposées.

Des organes de presse locaux ont pu utiliser le robot pour accéder aux informations personnelles de responsables politiques. WIRED n’a pas pu vérifier ces informations de manière indépendante ; le 12 juin au matin, le robot était inactif. Le fait qu’il ait été fermé ne signifie pas que la brèche est terminée, précise M. Lakshmanan, car le robot n’était probablement qu’une vitrine pour quiconque accédait à la base de données.

« Habituellement, les pirates révèlent publiquement une partie des données par le biais d’un robot ou d’une page web afin de prouver au monde entier qu’ils possèdent ces données, puis les vendent sur le dark web », explique M. Lakshmanan. « Bien que le bot soit désactivé, nous ne savons pas où toutes les données sont échangées.

L’infrastructure publique numérique de l’Inde s’est développée massivement au cours des dernières années, avec la popularité croissante du système d’identité Aadhaar, la prolifération du système de paiement numérique United Payments Interface et le lancement de CoWIN.

Cette croissance s’est traduite par une grande quantité de données publiques, mais les experts en droits numériques s’inquiètent du fait que la cybersécurité et les cadres juridiques relatifs au stockage des données n’ont pas suivi le rythme de cette croissance.

« Les données impliquées dans les entités gouvernementales sont organiquement très volumineuses », déclare Tejasi Panjiar, avocat associé à l’Internet Freedom Foundation, une organisation qui défend les droits numériques. « C’est pourquoi des normes très strictes en matière de sécurité des données sont nécessaires pour les entités gouvernementales.

M. Panjiar a ajouté que le problème est que l’Inde n’a pas de politique en matière de cybersécurité et que même le cadre actuel de protection des données « ne tient pas compte de l’aspect de la compensation que les utilisateurs touchés recevraient », ce qui rend ces fuites encore plus préoccupantes. « Je pense que l’heure est à l’inquiétude pour tous ceux qui ont été vaccinés par CoWIN », a ajouté M. Panjiar.

Le ministère de la santé a déclaré que les affirmations selon lesquelles le portail CoWIN avait été violé étaient « sans fondement » et que l’équipe d’intervention en cas d’urgence informatique (Computer Emergency Response Team), l’agence chargée de répondre aux incidents de cybersécurité, avait été chargée d’enquêter.

Le ministre indien des technologies de l’information, Rajeev Chandrasekhar, a tweeté que les données consultées par le robot provenaient d’une « base de données d’acteurs menaçants » et qu' »il ne semble pas que l’application ou la base de données CoWIN ait été directement violée ».

Un rapport indépendant réalisé par la plateforme de surveillance des risques numériques CloudSEK semble le confirmer dans une certaine mesure. Les recherches de la société suggèrent qu’au lieu d’avoir accès à l’ensemble de la base de données CoWIN ou au backend, les pirates pourraient avoir mis la main sur plusieurs informations d’identification des professionnels de la santé, ce qui leur aurait permis d’avoir un accès plus limité aux dossiers.

« Ce que CloudSEK sait avec une grande certitude, c’est que les acteurs de la menace ont accès à de multiples informations d’identification appartenant à des professionnels de la santé qui pourraient être utilisées pour accéder au portail CoWIN pour ces professionnels de la santé individuels et les données auxquelles ils ont accès », déclare Rahul Sasi, directeur général de CloudSEK. « Nous supposons également qu’il s’agit d’une sorte d’API non authentifiée qui aurait permis aux attaquants d’interroger les données d’utilisateurs spécifiques. Mais il n’y a pas de preuve à ce stade ».

CoWIN a été lancé en janvier 2021 pour servir de base à la campagne de vaccination en Inde. La plateforme, qui était également disponible sous forme d’application mobile, était utilisée par les personnes pour réserver leurs créneaux de vaccination et générer un certificat de vaccination pour elles-mêmes et les membres de leur famille. À l’époque, le gouvernement a été critiqué pour avoir fait de CoWIN le seul moyen pour les Indiens de prendre rendez-vous pour une vaccination, excluant ainsi des millions de personnes qui n’avaient pas accès à un smartphone ou à l’internet.

Ce n’est pas la première fois que l’on entend parler d’une base de données CoWIN. En 2021, Dark Leak Market, un groupe de pirates informatiques, a déclaré avoir accès aux données de 150 millions d’Indiens inscrits sur CoWIN. Le ministère de la santé a démenti ces allégations, affirmant que la plateforme stockait « toutes les données dans un environnement numérique sûr et sécurisé ». À l’époque, des chercheurs en cybersécurité ont déclaré qu’ils soupçonnaient que la « fuite » était une escroquerie.