En révélant que les données biométriques de 20 000 citoyens indiens étaient accessibles en quelques clics, un Français de 28 ans a choisi d’enfiler la casquette de lanceur d’alerte plutôt que le chapeau de pirate. C’est sur son compte Twitter qu’Elliot Alderson, référence au héros de la série Mr. Robot, a annoncé en janvier 2018 avoir mis la main sur ces informations. En cause, l’application sur laquelle les Indiens peuvent retrouver les renseignements contenus dans leur passeport biométrique : état civil, adresse, religion mais aussi empreinte digitale et photos du visage.
Hi #Aadhaar ! Can we talk about the #BenefitsOfAadhaar for the #India population?
I quickly check your #android app on the #playstore and you have some security issues…It’s super easy to get the password of the local database for example…♂️https://t.co/acjp6tUjqs
— Elliot Alderson (@fs0c131y) 10 janvier 2018
Constatant que la faille persistait, l’ingénieur s’est fendu deux mois plus tard d’un tweet railleur adressé à l’UIDAI, l’autorité en charge de ce passeport. Il y dévoile dans une vidéo comment obtenir le mot de passe de la base de données en question, le tout “en une minute”.
How to bypass the password protection of the official #Aadhaar #android #app in 1 minute.
For this attack, the attacker need a physical access to the phone, rooted phone is not needed and yes this is the latest version of the app.
cc @uidai @ceo_uidai pic.twitter.com/7aZ0fvr0Wv— Elliot Alderson (@fs0c131y) 13 mars 2018
L’UIDAI a finalement assuré sur le réseau social qu’aucun usage malveillant ne saurait être fait de ces données, ignorant ainsi les fraudes bancaires et le détournement de bons alimentaires auxquelles elles ont pourtant servi en 2018.
Alexandre BERTEAU