On dénombre déjà 12 blessés grave suites aux manifestations. /Harsha K R – Flickr – Creative Commons
Des manifestations ont éclaté lundi dans la région du Cachemire indien en représailles du viol d’un enfant de trois ans. Ils étaient des milliers à défiler dans les rues de Srinagar. Plusieurs blessés graves sont à dénombrer. Selon les premières informations, l’accusé est majeur et a déjà été appréhendé par les forces de l’ordre. La colère des manifestants a éclaté quand les premiers éléments de l’enquête ont révélé que le proviseur d’une école voisine aurait délivré un faux certificat d’étude censé prouver que l’accusé était mineur.
Le Français ayant révélé une faille dans une base de données biométriques indienne se fait surnommer Elliot Alderson, en référence au héros de la série Mr. Robot, membre du groupuscule « Fsociety ».
En révélant que les données biométriques de 20 000 citoyens indiens étaient accessibles en quelques clics, un Français de 28 ans a choisi d’enfiler la casquette de lanceur d’alerte plutôt que le chapeau de pirate. C’est sur son compte Twitter qu’Elliot Alderson, référence au héros de la série Mr. Robot, a annoncé en janvier 2018 avoir mis la main sur ces informations. En cause, l’application sur laquelle les Indiens peuvent retrouver les renseignements contenus dans leur passeport biométrique : état civil, adresse, religion mais aussi empreinte digitale et photos du visage.
I quickly check your #android app on the #playstore and you have some security issues…It’s super easy to get the password of the local database for example…♂️https://t.co/acjp6tUjqs
« Bonjour Aadhaar (le nom du programme de passeports biométriques indiens, NDLR) (…) J’ai vérifié votre application Android et vous avez des problèmes de sécurité… C’est super facile d’obtenir le mot de passe de la base de donnée par exemple… », a tweeté le Français après sa découverte.
Constatant que la faille persistait, l’ingénieur s’est fendu deux mois plus tard d’un tweet railleur adressé à l’UIDAI, l’autorité en charge de ce passeport. Il y dévoile dans une vidéo comment obtenir le mot de passe de la base de données en question, le tout “en une minute”.
How to bypass the password protection of the official #Aadhaar#android#app in 1 minute.
For this attack, the attacker need a physical access to the phone, rooted phone is not needed and yes this is the latest version of the app.
cc @uidai@ceo_uidaipic.twitter.com/7aZ0fvr0Wv
Dans une capture d’écran vidéo posté sur son compte Twitter, Elliot Alderson détaille « comment craquer le mot de passe de l’application officielle de Aadhaar en une minute »
