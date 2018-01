Un journaliste indien a pu, moyennant 7 euros, acheter à un groupe anonyme l'intégralité de la base de données nationale contenant les informations privées d'un milliard de citoyens. Un fiasco de plus pour ce projet gouvernemental controversé.

BrècheC’est la plus grande base de données biométrique au monde. L’ambition d’Aadhaar (« la base », dans la plupart des langues indiennes) est en effet sans précédent : assigner à chacun du 1,3 milliard de citoyens indiens un numéro à douze chiffres auquel tout serait lié. Carte d’identité, compte en banque, numéro de téléphone, factures, logement, réservations de train, et même paiement par empreinte digitale — Aadhaar serait au monde physique en Inde ce que l’e-mail est au monde numérique. Un identifiant omniprésent, indispensable, et qu’il ne faut absolument pas se faire pirater.

Or, depuis son lancement en 2009, ce gigantesque projet du gouvernement indien multiplie les ratés : mal implémenté, faisant craindre des dérives à la Big Brother ou encore victime de fuites. Cette fois-ci, c’est un journaliste du quotidien The Tribune qui a pu, en s’adressant à un membre d’un groupe Whatsapp, obtenir un accès aux entrailles d’Aadhaar et aux informations personnelles de tout un pays.

Le reporter a simplement déboursé 500 roupies (7 euros) via l’application Paytm, le leader indien du paiement mobile. En échange, il a pu se créer le même genre de compte que ceux utilisés par l’UIDAI (Unique Identification Authority of India), l’autorité chargée de gérer Aadhaar, pour naviguer dans la base de données. Il suffit alors de taper n’importe quel numéro Aadhaar pour obtenir toutes les informations que le citoyen associé aurait envoyées : nom, adresse, code postal, photo, numéro de téléphone et e-mail y passent, et ce pour un milliard de personnes.

Aucune mention n’est faite des données biométriques incluses dans Aadhaar (les empreintes des dix doigts et le scan de l’iris), mais il y a là suffisamment d’informations pour créer de fausses cartes d’identité, permettant par exemple de retirer de l’argent du compte en banque de quelqu’un d’autre. Pour 300 roupies (4 euros) supplémentaires, le journaliste pouvait également obtenir temporairement les logiciels d’impression nécessaires à cet effet.

L’individu ayant donné l’accès à The Tribune a déclaré à Buzzfeed News avoir fourni le même service à sept autres personnes, clamant qu’il ignorait violer la loi ou la vie privée de la population. « J’ai payé 6 000 roupies [80 euros] à un anonyme dans un groupe Whatsapp sur lequel j’étais pour pouvoir me créer un nom d’utilisateur et un mot de passe sur la base de données Aadhaar », explique-t-il. Or, disposer d’un tel compte administrateur suffit pour pouvoir inviter n’importe quel individu dans la base.

Tribune's report suggesting the data breach at @UIDAI is fake news ! pic.twitter.com/qtOzNIq7zH — BJP (@BJP4India) January 4, 2018

Le parti BJP au pouvoir a accusé The Tribune de « fake news », soutenant l’UIDAI qui a, comme pour de précédentes brèches, fermement démenti tout manquement. « Les allégations de contournement ou de tromperie du système d’inscription Aadhaar sont totalement infondées, assure l’agence. Les données Aadhaar sont pleinement sûres et disposent d’une sécurité robuste et non compromise ». Si on espère que la base Aadhaar réponde aux standards en vigueur d’un point de vue informatique, la faille de sécurité semble ici être à chercher, comme le dit l’adage, entre le clavier et la chaise de bureau.

Cette fuite pourrait être la pire de l’histoire d’Aadhaar, mais ce n’en est qu’une parmi les nombreuses qui ont égrené l’année 2017. La plupart semblent également être dues à des failles humaines. En avril, la caisse des retraites de l’État himalayen du Jharkhand avait accidentellement révélé les noms, adresses, numéros Aadhaar et informations bancaires de plus d’un million de bénéficiaires ; bien que le site web concerné ait été promptement fermé par l’UIDAI, quatre nouvelles fuites ont été déclarées dans les jours suivants. En août, un site gouvernemental du Punjab (nord-ouest du pays) a diffusé par erreur les numéros Aadhaar de plus de 20 000 personnes ayant déposé des demandes de logement dans des HLM.

Au-delà de toute malveillance potentielle, comme cela semble être le cas dans l’enquête de The Tribune, la négligence semble être épidémique. La présence indésirable d’informations personnelles Aadhaar a été détectée sur pas moins de 210 sites web gouvernementaux, bien que la publication de numéros Aadhaar soit prohibée par la loi indienne.

Visant l’ubiquité tant dans le public que dans le privé, Aadhaar s’expose à des attaques sur tous types d’acteurs, comme quand une brèche sur l’opérateur télécom Reliance Jio a exposé les numéros Aadhaar, noms, numéros de téléphone et adresse e-mail de 120 millions de clients en mai dernier. En août 2017, un informaticien à Bangalore du nom d’Abhinav Shrivastava s’est fait arrêter après avoir développé une application mobile d’authentification de numéros Aadhaar qui, pour accéder aux données de l’UIDAI, se faisait passer pour le service national e-Hospital préalablement piraté à cet effet.

Le projet Aadhaar Modernisation « à l’échelle de Google »

Entre l’Inde et la tech, la relation est ambiguë. Un voyageur à Delhi peut avoir l’impression que les jeunes urbains de classe moyenne travaillent tous comme programmeurs, tellement l’informatique est une carrière en vogue. Et pourtant, le code made in India est l’équivalent du produit made in China d’antan : le pays s’engouffre tout entier dans la sous-traitance dans des firmes comme le géant Infosys — équivalent indien d’un Capgemini. Difficile donc de ne pas sentir de message subliminal dans les mots prononcés en 2009 par le milliardaire Nandan Nilekani, cofondateur d’Infosys, pour parler du futur Aadhaar : « Nous allons construire quelque chose de l’échelle de Google, et cette chose changera le pays ».

L’initiative gouvernementale, née de l’imagination du magnat bangalorien de la tech, s’inscrit dans un grand mouvement de modernisation de l’Inde enclenché ces dernières années. Peuplé comme l’Occident tout entier, mais loin derrière la Chine en standards de vie, le pays cherche à rattraper son retard. À commencer par la création d’une carte d’identité unique pour remplacer le fouillis en vigueur de cartes électorales et de rationnement alimentaire.

L’inscription sur Aadhaar est en principe « volontaire » — adjectif répété à l’envi par la communication de l’État –, mais il est aujourd’hui de facto intenable pour un Indien de vivre sans Aadhaar, tant celui-ci s’est imposé pour faire des démarches administratives, avoir un téléphone, ou simplement recevoir de l’aide en nourriture. « Vous voulez conduire sur la route, il vous faut un permis », martèle Nandan Nilekani.

Le 28 septembre 2017, une fillette de 11 ans nommée Santoshi Kumari est morte dans le Jharkhand après que la carte de rationnement alimentaire de sa famille ait été annulée — en cause, l’absence de numéro Aadhaar. Malgré les circonstances troubles de son décès (est-elle morte de faim ou plutôt de paludisme, comme le suggèrent les autorités ?), il est clair que des cas moins tragiques sont monnaie courante. D’après l’activiste Nikhil Dey, environ 1 million de personnes se sont ainsi retrouvées privées de rations rien qu’au Rajasthan (ouest du pays).

« Vous voulez conduire sur la route, il vous faut un permis »

Ce genre de drame relance la question autour des effets réels d’Aadhaar, censé amener à l’inclusion des plus pauvres. En effet, pour s’inscrire sur Aadhaar — qui est une base de données centralisée, donc accessible uniquement par Internet — il faut, surprise, un accès à Internet. Les zones rurales ne disposent que de 14 connexions au réseau pour 100 personnes, et de plus ne bénéficient souvent que d’une liaison satellite très aléatoire. Les personnes âgées ou malades peuvent rarement se permettre de se déplacer jusqu’à un centre d’inscription.

Parfois, c’est l’implémentation de la biométrie elle-même qui pose problème. Ceux qui ont déjà eu les doigts qui pèlent savent que ce désagrément tend à rendre inutilisable la reconnaissance d’empreintes digitales de son smartphone. La peau se détériorant naturellement chez les personnes âgées, celles-ci peuvent se retrouver incapables de faire valoir leur identité dans le système Aadhaar, telle la mère d’un député BJP qui n’a pas pu s’acheter de nouvelle carte SIM car le lecteur d’empreinte du vendeur ne la reconnaissait pas. De quoi imaginer que des milliers de retraités se retrouvent ainsi privés de pensions.

Vie privée Big Brother à New Delhi

Nandan Nilekani, qui a présidé l’UIDAI jusqu’en 2014, a bien affirmé en mai 2017 que « l’Inde a besoin d’une loi moderne sur la vie privée et la protection des données ». (Le 24 août 2017, la Cour suprême indienne statuera que le droit à la vie privée fait partie des droits fondamentaux.) Mais sur les inquiétudes de surveillance de masse que soulève la base de données, Nilekani s’exclame : « Pourquoi pointer du doigt Aadhaar ? Le plus gros risque pour votre vie privée est votre smartphone.

Aadhaar est par nature épisodique. J’ouvre un compte bancaire une fois de temps en temps. J’achète une carte SIM une fois de temps en temps. […] Par définition, la surveillance collecte des données sur vous. Le système Aadhaar n’en récolte pas. » Les géants de la tech possèdent eux aussi en effet des quantités considérables de données personnelles, chacun à leur manière. Si Google sait grâce au GPS de votre téléphone où vous êtes et où vous habitez, Amazon est mieux informé sur votre carte bleue, tandis qu’Airbnb connaît tous les détails de votre passeport.

Néanmoins, aucune de ces trois firmes ne peut vider votre compte en banque ou voter à votre place. Tout simplement parce que ce sont des entreprises privées, séparées des administrations publiques et tombant sous le coup de la loi. Quand les données personnelles concernées appartiennent à un État, le seul garde-fou est celui de la démocratie ; et si l’Inde est peut-être la plus grande démocratie au monde, c’est aussi une des plus corrompues. Sans parler de Big Brother organisé, on peut craindre par exemple que des employés de l’UIDAI puissent revendre des données pour leur profit personnel. Enfin, il est plus aisé de boycotter une startup malhonnête que de renoncer à sa nationalité.

« Si l’objection est sur la centralisation, alors vous ne devriez pas avoir de clouds, raisonne Nilekani. Tout est centralisé aujourd’hui — sinon, c’est retour au papier et au crayon. » Dans la Silicon Valley, le titanesque piratage de Yahoo en 2013 avait déjà déversé dans la nature les e-mails et les mots de passe de milliards de personnes. Mais alors que changer de mot de passe ne prend que quelques minutes, et qu’on peut à tout moment se créer une nouvelle adresse mail, on peut difficilement faire de même avec son état civil ou son domicile. Sans parler des empreintes digitales et des scans d’iris.

Bien que Nilekani estime que « toutes les bases de données, qu’elles soient publiques ou privées, qu’elles contiennent ou non des numéros Aadhaar, doivent être sécurisées » et que c’est une problématique générale, tous les acteurs de la tech ne s’accordent pas à dire que c’est suffisant. Pour certains, de tels répertoires centralisés ne devraient simplement pas exister. Par exemple en biométrie, Apple veille à ce que les empreintes digitales (pour Touch ID) et les scanners faciaux (pour Face ID) soient stockés dans le Secure Enclave de chaque téléphone, et surtout pas dans une base de données unique.

Pendant ce temps, des entreprises de la tech comme Uber ou Airbnb s’intéressent fortement à Aadhaar pour valider les identités de leurs usagers. Déjà en février 2017, Microsoft avait relié à Aadhaar son Skype Lite marketé pour l’Inde, sous le feu des critiques.