La France va mettre en place dès le mois de novembre prochain un système de reconnaissance faciale afin de se connecter aux sites de services publics. Celui-ci prendra la forme d’une application nommée Alicem. Un projet néanmoins contesté, notamment par l’association La Quadrature du net, qui défend les droits et libertés sur Internet.
La Quadrature du net s’oppose à la reconnaissance faciale. ILLUSTRATION / MAGAN CRANE / AFP
Développée par le ministère de l’Intérieur et l’ANTS (Agence nationale des titres sécurisés), l’application Alicem (pour Authentification en ligne certifiée sur mobile) permettra aux détenteurs d’un passeport ou d’un titre de séjour biométrique de s’identifier aux sites de services publics (impôts, assurance maladie, service de retraite etc.) via un système de reconnaissance faciale. Dès novembre prochain la France sera alors le premier pays européen à déployer un système d’identité numérique unique. Néanmoins, l’association de défense des libertés sur internet La Quadrature du net est farouchement contre ce déploiement. Arthur Messaud juriste de l’association nous explique pourquoi ils s’y opposent.
Journaliste : Pourquoi selon l’association, l’application Alicem pose problème ?
Arthur Messaud : Ce service propose la création d’une identité numérique, qui exige systématiquement pour les utilisateurs de se soumettre à un système de reconnaissance faciale. Ce qui est problématique. Il suffit de lire l’avis rendu par la CNIL (Commission nationale de l’informatique et des libertés) à ce sujet pour s’en rendre compte. Elle a rendu un avis négatif en considérant ce système contraire à la loi. Or, depuis plusieurs années et particulièrement depuis le RGPD (Règlement général pour la protection des données) qui est rentré en application le 25 mai 2018, le consentement n’est pas valide s’il est donné sous la contrainte de ne pas pouvoir accéder à un service. Ici, on a clairement une violation de ce principe-là. Il n’y a pas d’alternative. On ne peut pas juste aller à la mairie pour demander une identité Alicem, il faut se soumettre à la reconnaissance faciale. Or, la reconnaissance faciale c’est quelque chose qui, en droit des données personnelles est reconnue comme quelque chose d’extrêmement sensible. C’est un traitement de données biométriques qui par défaut est interdit et ne peut être levé que sous certaines conditions limitatives et bien strictes, notamment le consentement de la personne concernée. Là le consentement n’est pas valide.
J : Le ministère de l’Intérieur propose tout de même des alternatives à Alicem pour se connecter aux services publics
A.M : Alicem ça permet de se connecter à FranceConnect qui est un réseau d’identification qui est plus grand qu’Alicem et qui existait depuis un moment. On peut arriver sur FranceConnect depuis les impôts ou la sécurité sociale et c’est pour ça qu’Alicem n’est pas non plus le drame de l’année. Il n’empêche que si on regarde juste l’application, ils devraient fournir des moyens alternatifs d’avoir une identité Alicem. La façon dont on accède à FranceConnect ce n’est pas là l’enjeu immédiat, l’enjeu de société immédiat c’est la reconnaissance faciale et la banalisation de ces mesures dystopiques et inadmissibles.
J : Pourquoi vous opposez-vous à la reconnaissance faciale ?
A.M : Ce que l’on craint c’est que le gouvernement l’utilise pour faire rentrer dans la culture l’idée que c’est normal que les personnes s’identifient avec leur visage au travers d’une analyse automatique. En fait, on pense que le gouvernement essaye d’habituer les moeurs à ces nouvelles technologies. Aujourd’hui, les gens voient encore ça comme de la science-fiction dystopique et ça doit rester comme ça. Le gouvernement veut rendre sexy ce qui aujourd’hui est dystopique. Pour à terme, et Christophe Castaner lui même l’a dit, avoir des outils d’identification de toute la population automatisée, notamment pour s’identifier sur internet.
J : Peut-on craindre la fin de l’anonymat sur internet ?
A.M : Non seulement on peut craindre la fin de l’anonymat sur internet (…) mais aussi dans la rue. Parce qu’on a différentes dispositions dans la loi qui sont très floues, qui évoquent la reconnaissance faciale sans définir clairement les contours. Ce qu’on pourrait craindre c’est la fin de l’anonymat en ligne et hors-ligne dans le but de forcer les gens à être constamment responsable vis-à-vis du gouvernement et y compris quand le gouvernement veut abuser de ses pouvoirs pour s’opposer à ses adversaires politiques.
J : Le ministère de l’intérieur explique pourtant que les données ne seront pas transmises à la police ou à d’autres organismes…
A.M : Alicem n’est a priori pas directement une mesure de surveillance de masse. C’est plus une mesure d’acculturation. Des outils de reconnaissance faciale dans les mains de la police ça existe déjà, seulement c’est très peu accepté par la population, heureusement. Ce qu’on craint avec Alicem c’est que ce soit une façon de faire accepter la reconnaissance faciale à la population en présentant la reconnaissance faciale comme un outil qui rend les choses plus pratiques. C’est tellement plus simple de se connecter aux impôts avec son visage plutôt qu’avec sa feuille d’impôts qu’il faut aller retrouver dans ses papiers. A force, les gens qui trouveront ça pratique, accepteront plus facilement de s’y soumettre lors de manifestations ou à l’aéroport.
A Nice et à Marseille, deux lycées vont expérimenter la reconnaissance faciale pour l’entrée des élèves. C’est une autre chose très alarmante pour laquelle on a aussi attaqué devant le tribunal administratif. Ils pensent que ça sera plus sécurisé mais en fait, un humain est largement plus efficace qu’un robot quant à la reconnaissance faciale. C’est juste pour habituer les enfants, la population au fait qu’en fait la technologie c’est chouette et qu’il ne faut pas la redouter.
J : L’association a déposé un recours en juillet dernier devant le Conseil d’Etat, y-a-t-il eu des avancées ?
A.M : Le Conseil d’Etat est plutôt favorable aux volontés sécuritaires de l’Etat, donc il ne faut pas non plus espérer qu’il nous sauve de cette affaire. Après, il y a aussi les juridictions européennes qui pourront se pencher sur la question. L’avis de la CNIL a déclaré le texte illégal, le gouvernement n’a pas changé une virgule. Nous on l’attaque, a priori il ne recule pas. Le gouvernement aurait pu décider d’attendre la décision du conseil de l’Etat avant de se lancer, ça aurait été assez sage de sa part de faire ça, mais a priori ils ne le font pas. (…) Si on gagne, ça serait une façon de mettre un stop aux avancées du gouvernement ou de différentes villes, pour leur dire qu’il faut un débat. Il faut un débat public, il faut arrêter de voir ces expérimentations ou ces applications se multiplier dans le silence.
Dès novembre prochain, le ministère de l’Intérieur va lancer Alicem, une application de reconnaissance faciale pour ses services publics. La France sera ainsi le premier pays européen à déployer un système d’identité numérique unique. Un projet déjà controversé.
Alicem, c’est le nom de l’application de reconnaissance faciale qui sera déployée en novembre. ILLUSTRATION / Fred TANNEAU / AFP)
La France sera le premier pays européen à proposer à ses citoyens de s’authentifier sur différents services en ligne grâce à la reconnaissance faciale. En phase test depuis six mois, ce programme prend la forme d’une application mobile baptisée Alicem (pour Authentification en ligne certifiée sur mobile) qui sera disponible d’ici le mois de novembre, selon les informations du journal Bloomberg. Développée par le ministère de l’Intérieur et l’Agence nationale des titres sécurisés (ANTS), Alicem permettra de s’identifier de manière sécurisée à de nombreuses démarches administratives en ligne et de s’identifier auprès de prestataires privés. Adieu donc les bons vieux identifiants et mots de passe.
Pour pouvoir utiliser le service, il faut détenir un passeport ou titre de séjour avec une puce biométrique. L’application lira alors les informations contenues dans cette puce. Enfin, pour prouver son identité, il faudra enregistrer une vidéo de son visage sous plusieurs angles. Une fois les données comparées avec la puce, l’identité numérique sera créée.
Un projet qui fait débat
Mais si le ministère de l’Intérieur se vante du côté sécuritaire de l’initiative, le caractère obligatoire de l’identification faciale pour prouver son identité numérique pose problème pour les défenseurs de la vie privée et soulève des craintes concernant la sécurité des données. La Quadrature du Net, association de défense des droits et libertés sur Internet, a déposé un recours devant le conseil d’État pour faire annuler le décret du 13 mai 2019 autorisant la création de cette application. L’association affirme qu’Alicem va à l’encontre du Règlement général sur la protection des données (RGPD). La Commission nationale de l’informatique et des libertés (CNIL) quant à elle, avait rendu un avis dans la même veine. Le gouvernement n’a pas suivi les recommandations et le texte n’a pas été modifié.
De plus en plus d’adeptes des cyberattaques choisissent de mettre leurs compétences au service des entreprises, qui le leur rendent bien. En s’introduisant dans un but bienveillant dans leur infrastructure informatique pour en révéler les failles, ces hackers éthiques rendent Internet un peu plus sûr. Quitte à prendre leurs distances avec la loi.
Certains hackers scrutent les lignes de code des entreprises pour en dénicher les failles. Crédits : Christiaan Colen, CC BY-SA 2.0
“Quand j’accorde ma confiance à un site, j’estime que de mon côté, j’ai le droit de vérifier que mes données sont en sécurité en tentant de m’y introduire”. En s’intéressant de près à la cybersécurité de Numericable fin 2017, le hacker qui se fait appeler Kuromatae est tombé sur une faille qui aurait pu coûter cher aux clients du fournisseur d’accès à Internet. “Je me suis permis de tester leur service de messagerie. J’ai remarqué qu’en me débrouillant bien, je pouvais récupérer les mails de tous les clients”, explique le justicier 2.0. Il décide donc d’alerter le département de cybersécurité de l’opérateur, prenant ainsi le risque d’être poursuivi par l’entreprise. Mais la réaction de cette dernière est tout autre. Le soir même, elle contacte l’étudiant en sécurité informatique pour le remercier et l’informer que le webmail est mis en maintenance le temps que le problème soit résolu. “A l’époque j’avais été menacé par plusieurs entreprises, mais maintenant elles sont plus ouvertes”, assure le jeune homme, aujourd’hui employé dans une société de sécurité informatique.
“Je me suis permis de tester leur service de messagerie. J’ai remarqué qu’en me débrouillant bien, je pouvais récupérer les mails de tous les clients.” Kuromatae, hacker éthique.
Kuromatae n’est pas le seul à constater des affinités nouvelles entre les acteurs économiques et les hackers. Il faut dire que les entreprises ont compris que, plutôt qu’une menace, ces experts de l’intrusion pouvaient s’avérer être une aide bienvenue pour améliorer la sécurité de leur infrastructure informatique. Depuis quelques années, des plateformes en ligne leur permettent même de mettre leur cyberdéfense à l’épreuve d’une kyrielle de chasseurs de failles. Sur ces sites de « bug bounty », comme on les appelle, celui qui parvient à détecter une vulnérabilité se voit rétribuer d’une prime pouvant atteindre plusieurs milliers d’euros. ”L’intérêt pour les entreprises, c’est de se soumettre aux conditions réelles, analyse Guillaume Vassault-Houlière, PDG de Yes We Hack, la première plateforme européenne de bug bounty, qui revendique 200 nouveaux hackers inscrits chaque mois. Au lieu d’un test d’intrusion mené habituellement par un ou deux ingénieurs, c’est potentiellement 4 000 personnes qui peuvent chercher une faille de sécurité en même temps.”
Chasseurs de primes 2.0
Et l’enjeu est bien réel. Pour ces sociétés, combler les brèches avant qu’elles ne soient exploitées criminellement leur évite des fuites de données de leurs utilisateurs, mais aussi d’informations hautement stratégiques. Les responsables de Yahoo! peuvent en témoigner. En 2013, les données des trois milliards d’utilisateurs du géant américain du web sont tombées entre les mains de pirates informatiques, ce qui pourrait constituer la plus grande cyberattaque connue à ce jour. Autant dire que pour s’éviter de tels déboires, les entreprises sont prêtes à en payer le prix. En 2017, pas moins de 300 000 euros de primes ont ainsi été distribués aux hackers de Yes We Hack. Outre-Atlantique, le seul Google a dépensé 2,9 millions de dollars en bug bounty sur la même année. Mais au delà de la pure motivation financière, c’est aussi un combat d’égo que se livrent ces génies de l’informatique. Sur le site, un classement officiel distingue ainsi les hackers en fonction du nombre de failles qu’ils ont révélées depuis leur inscription. “Le score compte beaucoup dans notre communauté”, confie Mehmet Ince, un chasseur de faille turc figurant à la 12e place du palmarès. Et Guillaume Vassault-Houlière d’abonder : “Cela permet d’être reconnu par ses pairs, c’est hyper important dans le milieu. Il y a toujours cette histoire d’égo chez les hackers”.
Hacker, un métier comme un autre
Signe de la confiance croissante accordée par les entreprises à de telles plateformes en Europe, la startup de covoiturage Blablacar a ouvert en avril dernier son programme de bug bounty au public. Aux Etats-Unis, cette pratique est devenue quasiment systématique, des géants tels que Google, Spotify ou Airbnb y recourant régulièrement. La plateforme américaine HackerOne, leader mondial du marché, revendique une communauté de plus de 100 000 chasseurs de faille à travers le monde. Son équivalente européenne Yes We Hack, jeune et plus modeste, parvient aujourd’hui à attirer des acteurs comme le moteur de recherche Qwant ou l’opérateur Orange. Eric Dupuis, responsable de la sécurité des systèmes d’information (RSSI) de la filiale Orange Cyberdéfense, précise qu’il y a “deux façons de rechercher des failles. Nous faisons des tests d’intrusion en interne avec nos hackers éthiques salariés, mais Orange recourt aussi à du bug bounty. C’est quand même du test d’intrusion, mais d’une manière différente”. Du reste, certains revêtent les deux costumes. Adeptes du bug bounty sur leur temps libre, ils peuvent aussi être embauchés par des entreprises en tant qu’auditeurs en cybersécurité par exemple. Une dénomination moins vendeuse que “hacker éthique”, mais qui correspond peu ou prou au même métier.
L’Agence nationale de la sécurité des systèmes d’information (ANSSI), place forte de la cyberdéfense étatique française, préfère quant à elle parler d’expert des tests d’intrusion. Sur son site, elle en donne la définition suivante : “l’expert des tests d’intrusion, ou « hacker éthique », est en mesure de pénétrer le système d’information et d’identifier les divers chemins d’intrusions, les techniques utilisées, traçant ainsi le profil des attaquants, leurs habitudes et méthodes de travail.” Parmi la communauté des hackers, c’est plutôt sous le nom de “white hat” (chapeau blanc) que l’on désigne ces ingénieurs et ces chercheurs.
La cybersécurité comme “argument marketing”
De l’avis des professionnels du secteur, ces auditeurs demeurent le premier rempart contre les cybermenaces, malgré le succès de ces nouvelles plateformes. “Pour qu’un bug bounty soit efficace, il faut que l’entreprise ait fait un audit approfondi au préalable, de sorte que les potentielles failles qui persistent soient difficiles à trouver”, rappelle Eric Dupuis. De fait, les hackers étant rétribués pour chaque vulnérabilité décelée, une telle démarche peut se révéler coûteuse pour les structures les moins préparées. Mais selon certains observateurs, cet investissement est souvent mûrement réfléchi : “C’est utilisé par des entreprises comme un argument marketing pour montrer qu’elles ont une protection opérationnelle. La cybersécurité est devenue un enjeu commercial”, juge un ingénieur en sécurité informatique se présentant sous le pseudonyme de SwitHak. Comprendre : certaines entreprises se tournent parfois vers le bug bounty par souci de crédibilité plus que d’efficacité. L’initiative peut même se révéler contre-productive. Ouvrir les portes de ses serveurs informatiques à des milliers d’inconnus dans le cadre d’un bug bounty n’a rien d’anodin : grands groupes et administrations publiques s’exposent à des risques d’espionnage industriel ou étatique. “Il ne faut pas négliger ces questions de propriété intellectuelle et d’intelligence économique. L’an passé, des développeurs chinois ont réutilisé une partie du code informatique d’une entreprise sur leur propre site. Certains groupes qui s’étaient lancés dans le bug bounty ont dû faire marche arrière pour ces raisons”, souligne Eric Dupuis, rappelant qu’Orange passe toujours par sa filiale de cyberdéfense pour les questions les plus sensibles.
Entre éthique et légalité, “la limite est parfois difficile à définir”
Que ce soit en tant qu’auditeur ou en tant que chasseur de faille, on observe une professionnalisation croissante au sein des hackers éthiques. Peu à peu, ceux-ci se mettent en conformité avec la loi. Mais certains refusent toujours d’entrer dans les clous. Faut-il tout de même voir une démarche éthique dans leurs pratiques ? Le débat divise, car l’éthique est une notion subjective. Pour Gabrielle, une trentenaire qui se revendique du hacking responsable, il ne faut pas franchir la barrière de l’illégalité. “Beaucoup de personnes continuent de pénétrer dans des systèmes sans avoir l’autorisation préalable. C’est dangereux”, déplore-t-elle, tout en reconnaissant que cela dépend beaucoup de la manière dont c’est fait. “Il y aura toujours des problèmes moraux dans ce milieu, la limite est parfois difficile à définir.” SwitHak est lui aussi très critique envers ce type de pratiques. Selon ce dernier, c’est la méthode qui permet de distinguer le lanceur d’alerte du cybercriminel. Il en donne un exemple concret : “Imaginons qu’un hacker trouve une vulnérabilité dans le site d’une entreprise. Il entre en contact avec cette dernière et lui communique les détails de la vulnérabilité mais lui donne un ultimatum de 15 jours, de manière arbitraire, pour corriger la faille avant qu’il ne la divulgue en public. Sauf que parfois, ce délai n’est pas gérable”. Une façon de faire que ce professionnel de la cybersécurité dit ne pas approuver. “Pour moi, le hacker éthique doit agir sans but financier, avec une démarche responsable. Et il ne doit pas chercher à se mettre en avant”, conclut-il. Le modèle qui se rapproche finalement le plus d’une pratique éthique est celui de la divulgation responsable. Dans ce cas, le chercheur de faille doit laisser suffisamment de temps à l’entreprise pour qu’elle répare l’erreur découverte, et il ne doit pas attendre d’argent en retour, sous peine de se voir accuser de tentative d’extorsion.
Faire du web son terrain de jeu numérique
Parallèlement aux lanceurs d’alerte, certains hackers n’ont en effet pas nécessairement un objectif politique derrière la tête. C’est le cas de DIDIx13, un étudiant en informatique de 18 ans qui voit avant tout le cyberespace comme une immense aire de jeu et un terrain d’entraînement. “Pour moi le hacking c’est vraiment un passe temps, une passion. Il y a une barrière devant toi, tu dois trouver un moyen de la franchir. Le fait de réussir après tant d’effort, de puiser dans toutes les connaissances que tu as apprises jusqu’ici, c’est une sacrée satisfaction”, glisse-t-il.
“Nous les grey hats, on ne propose pas nos services à des entreprises. On les attaque directement sans leur permission. » DIDIx13, un chapeau gris.
A terme, le jeune homme envisage de travailler au service d’entreprises. Mais en attendant, il avoue ne pas se préoccuper des questionnements juridiques. Et pour cause : il fait partie des “grey hats” (chapeaux gris), cette catégorie de hackers qui agissent illégalement sans avoir pour autant la volonté de nuire. Au contraire des “black hats” (chapeaux noir), qui peuvent demander une rançon ou subtiliser des données sensibles. “Nous les grey hats, on ne propose pas nos services à des entreprises. On les attaque directement sans leur permission. C’est pour ça qu’on nous considère comme non éthique. Mais si on trouve des failles, on les contacte pour les aider à les fixer”, assure le surnommé DIDIx13.
Vers une reconnaissance institutionnelle du hack
Preuve que les pouvoirs publics reconnaissent un intérêt pour ce type de profil malgré les distances que ces hackers prennent avec la loi, la législation évolue. En France, dans le sillage de la Loi pour une République numérique votée en octobre 2016, un dispositif permet aux chapeaux gris de bonne foi de déclarer une faille de sécurité informatique à l’Anssi. L’agence étatique se charge ensuite de prévenir l’entreprise ou l’administration concernée, tout en garantissant au lanceur d’alerte son anonymat. Une évolution majeure : elle était jusqu’ici tenue de le dénoncer, en vertu de l’article 40 du Code de procédure pénale qui oblige tout employé de l’Etat ayant connaissance d’un délit à alerter la justice.
Rien que sur les trois derniers mois de 2016, une soixantaine de déclarations ont été adressées à l’Anssi. Pour autant, ce dispositif reste imparfait. D’une part, il peine à protéger entièrement les hackers ayant révélé des vulnérabilités. Rien n’empêche en effet les entreprises dans lesquelles ils se sont introduits de remonter jusqu’à eux afin de les poursuivre en justice. Un risque que plusieurs députés avaient pointé du doigt lors de l’examen du texte, appelant en vain à la création d’un véritable statut du chasseur de faille.
Par ailleurs, même si les relations qu’entretiennent les hackers avec le secteur privé tendent à se réchauffer, celles avec l’Etat demeurent délicates. Guillaume Vassault-Houlière, PDG de Yes We Hack, estime que “la communauté a encore un peu de mal à remonter des vulnérabilités à une entité étatique”. Même son de cloche du côté du hacker Kuromatae, qui avait préféré alerter directement Numericable après son intrusion : “Je pars du principe que l’entreprise préfère qu’on la prévienne directement. Surtout que l’Anssi risque de lui taper sur les doigts”.
“La communauté a encore un peu de mal à remonter des vulnérabilités à une entité étatique.” Guillaume Vassault-Houlière, PDG de Yes We Hack.
Nul doute qu’Internet continuera encore longtemps d’être le terrain de jeu privilégié d’esprits malintentionnés. Mais ces signes d’ouverture venus des entreprises, des pouvoirs publics et de l’enseignement supérieur laissent à penser qu’ils seront de plus en plus isolés. Nombre de hackers se rangent aujourd’hui du côté de la légalité, et cela n’a rien d’étonnant pour Mehmet Ince. “Plus jeunes, des gens comme moi agissaient comme des black hats sans même s’en rendre compte”, confie-t-il. Sans moyen légal de gagner de l’argent en testant la sécurité informatique des entreprises lorsqu’il a commencé à s’intéresser à ce domaine, il n’a eu d’autre choix que d’agir dans l’illégalité. “A l’époque, il n’y avait pas de plateformes de bug bounty par exemple. Mais aujourd’hui, on peut hacker des entreprises pour améliorer leur sécurité, tout en étant payé pour le faire. C’est une bonne opportunité pour les plus jeunes”, poursuit-il. À l’avenir, l’ingénieur turc pronostique même que de plus en plus de hackers troqueront leur chapeau gris pour un blanc. “C’est un processus que nous devons accompagner en encourageant le développement de ce type de plateformes”. Et le Stambouliote de mettre en garde : “Malheureusement, il y aura toujours des chapeaux noirs”.
Le Français ayant révélé une faille dans une base de données biométriques indienne se fait surnommer Elliot Alderson, en référence au héros de la série Mr. Robot, membre du groupuscule « Fsociety ».
En révélant que les données biométriques de 20 000 citoyens indiens étaient accessibles en quelques clics, un Français de 28 ans a choisi d’enfiler la casquette de lanceur d’alerte plutôt que le chapeau de pirate. C’est sur son compte Twitter qu’Elliot Alderson, référence au héros de la série Mr. Robot, a annoncé en janvier 2018 avoir mis la main sur ces informations. En cause, l’application sur laquelle les Indiens peuvent retrouver les renseignements contenus dans leur passeport biométrique : état civil, adresse, religion mais aussi empreinte digitale et photos du visage.
I quickly check your #android app on the #playstore and you have some security issues…It’s super easy to get the password of the local database for example…♂️https://t.co/acjp6tUjqs
« Bonjour Aadhaar (le nom du programme de passeports biométriques indiens, NDLR) (…) J’ai vérifié votre application Android et vous avez des problèmes de sécurité… C’est super facile d’obtenir le mot de passe de la base de donnée par exemple… », a tweeté le Français après sa découverte.
Constatant que la faille persistait, l’ingénieur s’est fendu deux mois plus tard d’un tweet railleur adressé à l’UIDAI, l’autorité en charge de ce passeport. Il y dévoile dans une vidéo comment obtenir le mot de passe de la base de données en question, le tout “en une minute”.
How to bypass the password protection of the official #Aadhaar#android#app in 1 minute.
For this attack, the attacker need a physical access to the phone, rooted phone is not needed and yes this is the latest version of the app.
cc @uidai@ceo_uidaipic.twitter.com/7aZ0fvr0Wv
Dans une capture d’écran vidéo posté sur son compte Twitter, Elliot Alderson détaille « comment craquer le mot de passe de l’application officielle de Aadhaar en une minute »
