Exposition des données d'identité nationale (NIN) du Nigeria
Des sites web non autorisés comme XpressVerify et AnyVerify ont été surpris en train de vendre les numéros d'identification nationale, numéros de vérification bancaire, passeports et autres données personnelles des Nigérians pour aussi peu que 100 NGN — exploitant un accès API mal encadré à la base de données d'identité de la NIMC.
- Victime
- National Identity Management Commission (NIMC)
À partir de fin 2023 et éclatant publiquement en mars 2024, un ensemble de sites web de « vérification » non autorisés a été surpris en train de vendre les données personnelles de millions de Nigérians — issues de la base de données d'identité de la National Identity Management Commission (NIMC) — pour aussi peu que 100 NGN (environ 0,07 $) par dossier.
Ce qui s'est passé
Des sites tels que XpressVerify.com et AnyVerify.com.ng proposaient des recherches instantanées des numéros d'identification nationale (NIN), numéros de vérification bancaire (BVN), NIN virtuels, permis de conduire, passeports, identifiants fiscaux, cartes d'électeur et numéros de téléphone des citoyens. Un rapport de la Foundation for Investigative Journalism (FIJ) du 16 mars 2024 a démontré que XpressVerify pouvait restituer un profil NIN complet pour une somme dérisoire ; le site a été mis hors ligne peu après.
L'ampleur était considérable : AnyVerify à elle seule a enregistré environ 567 990 visites en février 2024. Surtout, les experts en sécurité et le régulateur ont conclu qu'il ne s'agissait pas d'un piratage direct de la base de données de la NIMC. Les sites exploitaient plutôt un accès mal encadré — probablement des connexions API accordées à des agents de vérification agréés, puis revendues ou détournées hors des règles réglementaires. Comme l'a résumé un intervenant : « ils n'ont pas piraté la base de données ; ils ont plutôt exploité une forme d'accès non conforme à la réglementation ».
Réponse
La NIMC a publiquement nié toute compromission de sa base de données, invoquant sa certification ISO 27001:2013 et sa conformité à la loi nigériane sur la protection des données de 2023, et a signalé le 25 juin 2024 cinq sites fautifs : idfinder.com.ng, verify.ng, championtech.com.ng, trustyonline.com et anyverify.com. La Nigeria Data Protection Commission (NDPC) a ouvert une enquête sur le traitement et la monétisation non autorisés des données des citoyens. L'organisation de la société civile Paradigm Initiative a adressé des mises en demeure à huit organismes fédéraux — dont la NIMC, la NDPC, le service de l'immigration, l'administration fiscale, la banque centrale et l'INEC — exigeant une enquête, une indemnisation et un renforcement de l'application de la loi.
Impact
Comme le NIN et le BVN sont à la base des services bancaires, de l'enregistrement des cartes SIM et de l'accès aux services publics au Nigeria, la disponibilité à bas prix de ces identifiants a créé une large exposition à la fraude par échange de carte SIM, à la prise de contrôle de comptes et à l'usurpation d'identité. L'épisode a également intensifié les inquiétudes concernant la sécurité des systèmes d'identité nationale centralisés, où une seule couche d'accès revendu peut suffire à divulguer les données d'identité de toute une population sans que la base de données centrale ne soit jamais piratée.
Pourquoi c'est important
Le cas de la NIMC est un exemple type de défaillance de gouvernance des tiers et des API plutôt qu'une intrusion classique. Il a démontré qu'un système d'identité nationale n'est aussi sûr que l'écosystème d'agents et d'intégrateurs autorisés à l'interroger, et il est devenu un test déterminant de la jeune loi nigériane sur la protection des données de 2023 et de la volonté de la NDPC de la faire appliquer.
Chronologie
AnyVerify.com.ng commence à opérer, commercialisant la récupération des NIN, BVN et autres données personnelles des Nigérians.
AnyVerify reçoit environ 567 990 visites en un seul mois, soulignant l'ampleur de la demande de recherches d'identité à bas prix.
Un rapport de la Foundation for Investigative Journalism (FIJ) révèle que XpressVerify.com vend des dossiers NIN complets ; le site est fermé peu après.
La NIMC et la Nigeria Data Protection Commission (NDPC) ouvrent une enquête ; les experts concluent à l'absence de piratage direct de la base de données mais à un accès non autorisé de type API.
La NIMC signale publiquement cinq sites de collecte de données — idfinder.com.ng, verify.ng, championtech.com.ng, trustyonline.com et anyverify.com — et nie toute compromission de sa base de données.
Paradigm Initiative adresse des mises en demeure à huit agences fédérales, réclamant une enquête et une indemnisation des citoyens concernés.
Sources
- biometricupdate.comhttps://www.biometricupdate.com/202406/nigerias-nimc-fights-off-data-breach-accusations-flags-5-data-harvesting-websites
- punchng.comhttps://punchng.com/nimc-facing-multiple-unauthorised-accesses-to-nin-data-stakeholders/
- paradigmhq.orghttps://paradigmhq.org/major-data-breach-sensitive-government-data-of-nigerian-citizens-available-online-for-just-100-naira/