Fuite de données NID intelligentes du Bangladesh via Telegram

En octobre 2023, quelques mois seulement après qu'un site gouvernemental eut laissé fuiter les dossiers de 50 millions de Bangladais, les données d'identité des citoyens réapparaissaient sous une forme encore plus instrumentalisée : un robot Telegram qui renvoyait à la demande le profil complet d'une personne. N'importe qui pouvait lui fournir un numéro d'identité nationale intelligente (NID) à 10 chiffres et recevoir en retour noms, noms des parents, sexe, numéro de téléphone, adresse et photographie.

Ce qui s'est passé

Du 3 au 5 octobre 2023, des journalistes bangladais ont confirmé qu'un canal Telegram faisait fonctionner un robot automatisé connecté à une copie des données NID. Le robot exposait les dossiers des citoyens détenteurs de la carte NID intelligente du Bangladesh. La base nationale NID couvre environ 12 crore (120 millions) d'électeurs, dont environ 5,5 crore (55 millions) détiennent une carte intelligente — la population dont les dossiers étaient récupérables via le canal.

Le NID Wing de la Commission électorale exploite le serveur central, mais l'accès est partagé avec 174 organisations partenaires — banques, opérateurs télécoms, ministères et agences —, chacune constituant un point de fuite potentiel. Les responsables ont conclu que les données avaient fuité via l'un de ces partenaires plutôt que depuis le serveur central lui-même.

Conséquences

• Les dossiers de jusqu'à 55 millions de détenteurs de NID intelligente étaient interrogeables via le robot Telegram.
• Comme le robot fonctionnait à partir du numéro NID immuable, la fuite permettait une usurpation ciblée, l'échange de carte SIM et la fraude financière à grande échelle.
• L'incident s'ajoutait à l'exposition du registre de juin-juillet 2023, ancrant l'idée que les données d'identité du Bangladesh étaient de fait publiques.

Réponse officielle

Mohammad Ashraf Hussain, responsable des systèmes au NID Wing de la Commission, a déclaré avoir eu connaissance du canal Telegram mais ignorer qui en était à l'origine. Le directeur général du NID Wing a d'abord affirmé ne pas être au courant et a soutenu que « le serveur NID est sûr ». La Commission a ouvert une enquête et, en décembre 2023, a déclaré avoir trouvé des preuves initiales impliquant plusieurs institutions disposant d'un accès NID, dont la plateforme de paiement mobile d'une banque publique, une autorité portuaire et des directions gouvernementales. En décembre 2024, la Commission a résilié son contrat de vérification de données d'enregistrement avec le Bangladesh Computer Council pour violation de l'accord d'accès.

Pourquoi c'est important

La fuite Telegram a démontré le défaut central des systèmes d'identité nationale centralisés : la sécurité des données de 120 millions de citoyens n'est aussi solide que la plus faible des 174 organisations connectées. Une fois qu'un numéro NID fuite, il ne peut pas être réémis comme un mot de passe. L'épisode a intensifié les appels au Bangladesh en faveur d'une loi contraignante de protection des données, d'une journalisation granulaire des accès et d'une véritable responsabilisation des tiers à qui sont confiés les dossiers d'identité de la population.