Skip to content
Cyber Breaches
Recherche
Fuite de donnéesInconnu

Exposition de la base de données Aadhaar

Des journalistes de Tribune India ont démontré que des intermédiaires rémunérés pouvaient fournir des dossiers Aadhaar complets — y compris des données d'identité liées à la biométrie d'environ 1,1 milliard de résidents indiens — pour 500 roupies par dossier.

Victime
Unique Identification Authority of India (UIDAI) / Aadhaar
données
1.10B
utilisateurs
1.10B
SecteurGouvernement
PaysInde
GroupeInsider misuse / paid intermediary access

En janvier 2018, des journalistes de Tribune India ont démontré que, pour 500 roupies indiennes (environ 8 USD) et une conversation WhatsApp de 10 minutes, n'importe qui pouvait obtenir des identifiants fonctionnels donnant accès à un portail de la Unique Identification Authority of India (UIDAI) restituant des dossiers personnels complets indexés sur n'importe lequel des environ 1,1 milliard de numéros Aadhaar du pays.

La révélation est intervenue au milieu d'une contestation constitutionnelle en cours visant Aadhaar lui-même et a forcé une remise en question nationale de l'infrastructure d'identité biométrique de l'Inde.

Ce qui s'est passé

Aadhaar est le programme national d'identité biométrique de l'Inde — à l'époque le plus grand au monde, couvrant environ 1,1 milliard de résidents avec des relevés d'empreintes digitales et d'iris liés à un numéro d'identification à 12 chiffres. Aadhaar est requis pour la déclaration d'impôts, la distribution de l'aide sociale, l'enregistrement des cartes SIM de téléphonie mobile (à l'époque) et l'ouverture de comptes bancaires. Le rattachement d'Aadhaar à ces systèmes fait de la base de données la primitive d'identité universelle de l'État indien.

La reporter de Tribune India Rachna Khaira a enquêté sur des signalements clandestins indiquant que des dossiers Aadhaar étaient disponibles à l'achat. Le déroulement de l'enquête :

  • Khaira a contacté un vendeur via un groupe Telegram / WhatsApp circulant dans la communauté du carding.
  • A payé 500 roupies (environ 8 USD) via Paytm.
  • A reçu en 10 minutes des identifiants de connexion fonctionnels à un portail de l'UIDAI.
  • A utilisé ces identifiants pour interroger n'importe quel numéro Aadhaar à 12 chiffres et recevoir en réponse : nom, adresse, date de naissance, sexe, numéro de téléphone, e-mail, photographie, ainsi que l'intégralité du profil rattaché à cet identifiant.

Pour 300 roupies supplémentaires (environ 5 USD), le vendeur proposait un logiciel produisant des cartes Aadhaar imprimables à partir des données interrogées.

Le mécanisme semble avoir été un abus d'initié : l'UIDAI avait distribué des identifiants de portail à des milliers d'opérateurs d'enrôlement et d'agents autorisés à travers l'Inde pour les travaux légitimes d'enrôlement biométrique. Certains de ces opérateurs avaient revendu leurs identifiants sur le marché criminel — ce qui signifie que la violation n'était pas un point d'intrusion unique mais un problème distribué d'abus d'initié affectant le modèle de contrôle d'accès lui-même.

Conséquences

La réaction publique initiale de l'UIDAI a consisté à nier la violation et à déposer une plainte pénale (First Information Report) contre Khaira et le journal Tribune pour leur travail journalistique. L'attention de la presse internationale et le tollé éditorial ont forcé un revirement partiel — la FIR a été restreinte au vendeur et aux intermédiaires plutôt qu'aux journalistes, mais la posture de menace contre la presse est devenue partie intégrante de la mémoire publique de l'incident.

Le gouvernement indien et l'UIDAI ont par la suite :

  • Révoqué les identifiants des opérateurs d'enrôlement pour des milliers d'agents.
  • Introduit de nouveaux mécanismes de contrôle d'accès exigeant une authentification biométrique pour chaque requête sur le portail.
  • Imposé une journalisation d'audit sur les requêtes des opérateurs.

L'affaire constitutionnelle Justice K.S. Puttaswamy v. Union of India a culminé en septembre 2018 avec la Cour suprême indienne confirmant la constitutionnalité d'Aadhaar pour les programmes d'aide sociale de l'État mais invalidant le rattachement obligatoire aux services privés (télécoms, banques). L'arrêt rendu à 5 voix contre 0 a explicitement cité la révélation de Tribune et les préoccupations plus larges de sécurité d'Aadhaar comme motivant ces restrictions.

Dossiers exposés

Le périmètre exact est difficile à délimiter, car la violation était une vente d'accès et non une exfiltration de masse unique. Concrètement, n'importe lequel des 1,1 milliard de dossiers Aadhaar pouvait être interrogé moyennant le paiement d'identifiants. L'UIDAI affirme qu'aucune extraction massive de la base de données n'a eu lieu et que les gabarits biométriques d'empreintes digitales / d'iris n'ont pas été exposés — seulement les données démographiques et de contact.

Le chiffre de 1,1 milliard dans cette fiche reflète le périmètre de l'exposition, et non le nombre de dossiers réellement interrogés, qui est inconnaissable.

Pourquoi c'est important

Aadhaar est le cas emblématique des systèmes nationaux d'identité biométrique et du risque d'initié distribué. Il a établi :

  • Que les systèmes d'identité à l'échelle du milliard de dossiers nécessitent une architecture de contrôle d'accès fondamentalement différente de celle des bases de données d'entreprise. Le modèle de distribution d'identifiants qui fonctionnait pour l'enrôlement n'a pas survécu au contact avec les marchés criminels.
  • Que l'abus d'initié par revente d'identifiants à faible valeur peut produire une exposition à l'échelle d'une violation sans aucun « piratage » au sens conventionnel.
  • Que l'interaction entre le rattachement d'identité imposé par l'État et l'exposition nationale aux violations constitue un enjeu de politique publique de premier ordre. La restriction par la Cour suprême du rattachement d'Aadhaar au secteur privé en a été une conséquence directe.
  • Que menacer les journalistes de plaintes pénales pour le signalement de violations est une réponse contre-productive de l'État. L'épisode Tribune-FIR est désormais un cas de référence dans l'analyse de la liberté de la presse appliquée à la divulgation en cybersécurité.

L'incident Aadhaar a catalysé le Digital Personal Data Protection Act (DPDPA) de l'Inde, adopté en 2023, qui fournit le premier cadre complet de protection des données pour les résidents indiens et inclut des dispositions spécifiques relatives aux opérateurs de systèmes d'identité.

Chronologie

  1. Début de l'enrôlement Aadhaar. En 2018, le système couvre environ 1,1 milliard de résidents indiens, devenant la plus grande base de données d'identité biométrique au monde.

  2. La Cour suprême indienne (arrêt Puttaswamy) reconnaît la vie privée comme un droit fondamental garanti par la Constitution, en partie en réponse aux préoccupations croissantes liées à Aadhaar.

  3. Des reporters de Tribune India enquêtent sur des signalements de forums criminels selon lesquels des dossiers Aadhaar peuvent être achetés.

  4. Tribune India publie son enquête : des reporters ont payé 500 roupies (environ 8 $) à un vendeur sur WhatsApp et ont reçu des identifiants fonctionnels donnant accès à un portail de l'UIDAI qui restituait les dossiers complets pour tout numéro Aadhaar interrogé.

  5. L'UIDAI nie la violation et menace de déposer une plainte pénale (FIR) contre les reporters.

  6. L'UIDAI dépose une plainte pénale (FIR) contre la reporter de Tribune Rachna Khaira et le journal.

  7. L'attention de la presse internationale contraint l'UIDAI à revoir sa position ; le périmètre de la FIR est restreint au vendeur et aux intermédiaires plutôt qu'aux journalistes.

  8. La Cour suprême indienne confirme la constitutionnalité d'Aadhaar mais en restreint l'usage aux programmes d'aide sociale de l'État, jugeant que les opérateurs privés (opérateurs télécoms, banques, etc.) ne peuvent pas imposer Aadhaar.

  9. L'UIDAI publie un régime de contrôle d'accès modifié restreignant et auditant les portails des opérateurs.

Sources

  1. tribuneindia.comhttps://www.tribuneindia.com/news/archive/nation/rs-500-10-minutes-and-you-have-access-to-billion-aadhaar-details-523361
  2. scobserver.inhttps://www.scobserver.in/cases/aadhaar-puttaswamy-judgment-summary/
  3. uidai.gov.inhttps://uidai.gov.in/images/news/UIDAI%20Press%20Release_4Jan2018.pdf

Incidents liés

Fuite de donnéesRésolu

Fuite de données RailYatri (2022)

En décembre 2022, l'agence de voyage en ligne RailYatri, approuvée par le gouvernement indien, a subi une fuite de données. L'incident a touché plus de 31 millions de clients et exposé 23 millions d'adresses e-mail uniques. Étaient également concernés les noms, les sexes, les numéros de téléphone et les billets achetés, y compris les informations de voyage et les tarifs.

Victim
RailYatri
Records
23.2M
Fuite de donnéesRésolu

Fuite de données ViewFines (2018)

En mai 2018, le site web sud-africain de consultation en ligne des amendes de circulation connu sous le nom de ViewFines a subi une fuite de données. Plus de 934 000 enregistrements contenant 778 000 adresses e-mail uniques ont été exposés et comprenaient des noms, des numéros de téléphone, des pièces d'identité officielles et des mots de passe stockés en clair.

Victim
ViewFines
Records
777.6K
Fuite de donnéesRésolu

Fuite de données Elanic (2018)

En janvier 2020, la place de marché de mode indienne Elanic a vu 2,8 millions d'enregistrements avec 2,3 millions d'adresses e-mail uniques publiés publiquement sur un forum de piratage populaire. Elanic a confirmé avoir « vérifié les données qui avaient été extraites de l'un de nos serveurs de test où ces données étaient exposées publiquement » et que les…

Victim
Elanic
Records
2.3M