Aarogya Setu, l'application indienne de traçage Covid-19 qui a recueilli plus de 100 millions de téléchargements depuis son lancement, fait face à des problèmes de crédibilité les uns après les autres. À peine un jour après que le gouvernement fédéral a annoncé des protocoles de partage de données et de connaissances pour l'application pour apaiser les tremblements de sécurité des utilisateurs, un pirate prétend maintenant qu'il y a violé.
Un ingénieur logiciel de Bangalore, connu sous le nom de Jay, prétend avoir piraté l'application en contournant la page demandant des informations personnelles sur un utilisateur telles que l'âge, le sexe, le vérificateur de symptômes et l'historique des voyages. Il Raconté Buzzfeed qu'il avait également réussi à accéder à l'application sans donner les autorisations nécessaires.
C'est la deuxième fois que de sérieuses questions concernant la sécurité et la confidentialité des données sont soulevées autour de l'application indienne de suivi des coronavirus, qui a également reçu sa part d'éloges de la part du directeur général de l'OMS, Tedros Adhanom, de la Banque mondiale et du fondateur de Microsoft, Bill Gates.
Le gouvernement fédéral a rapidement réfuté les allégations d'un pirate informatique éthique français Elliot Alderson qui avait utilisé ses poignées de médias sociaux pour atteindre les développeurs de l'application. Le ministère de l'électronique et des technologies de l'information (MEIT), le département nodal au sein de l'administration centrale, avait alors affirmé qu'il était impossible de pirater l'application Aarogya Setu, une affirmation qui semble être tombée à plat maintenant.
Il y a 2 jours, l'Inde a lancé une application mobile "pour lutter contre le # COVID19" J'ai installé l'application et j'ai 1 heure devant moi, voyons ce que je peux trouver. https://t.co/KAJ6RjkQMf3 avril 2020
Le pirate informatique de Bangalore a déclaré qu'il avait poursuivi le Aarogya Setu parce qu'il s'opposait à la décision du gouvernement fédéral de le rendre obligatoire, plus particulièrement pour les avions et les trains. Voyage. Certaines régions comme NOIDA, adjacente à la capitale nationale de New Delhi, ont infligé des amendes et même menacé d'arrestation pour ne pas avoir l'application sur le téléphone.
La couverture de la téléphonie mobile en Inde s'élève actuellement à 1,15 milliard sur une population de 1,3 milliard, ce qui signifie qu'environ 15% de ses citoyens ne font pas partie du réseau cellulaire, sans compter qu'une part substantielle parmi ceux qui possèdent des téléphones cellulaires ne peut se permettre que les services de base appareils et au mieux des téléphones bas de gamme.
Sommaire
Quelques questions difficiles
Des questions autour de la sécurité et de la confidentialité des données est apparu sporadiquement alors que les avocats cherchaient à savoir qui aurait accès aux données et si Aarogya Setu serait endormi une fois que la pandémie Covid-19 s'atténuera à l'avenir. Lundi, le gouvernement a proposé des protocoles de partage de données et de connaissances pour l'application.
Le décret exécutif émis par le MEIT a présenté des lignes directrices pour le partage des données d'Aarogya Setu avec des agences gouvernementales et des tiers. L'ordonnance a remplacé la politique de confidentialité de l'application qui, selon les experts juridiques, était le seul bouclier pour protéger les citoyens contre l'utilisation non autorisée de leurs données personnelles.
Cependant, les experts juridiques et de sécurité n'étaient que partiellement convaincus que la dernière ordonnance nécessitait le soutien d'une loi sur la protection des données personnelles qui attend actuellement l'approbation des législateurs au Parlement. Ils ont également affirmé que le protocole était libellé de manière vague, ce qui soulevait certaines préoccupations.
Le vrai problème est ailleurs
Le problème du déficit de confiance est ce que le gouvernement fédéral cherche à résoudre, étant donné que moins d'un dixième des abonnés mobiles indiens ont téléchargé l'Aarogya Setu. La raison n'est pas difficile à comprendre, car le nœud du succès de l'application à contenir Covid-19 dépend de l'acquisition d'une masse critique d'utilisateurs comme TechRadar avait dit il y a un mois.
Et c'est à cette fin que le gouvernement fédéral a tenté de dissiper les inquiétudes des experts juridiques et de la sécurité avec le décret qui définit les protocoles sur qui pourrait accéder aux données, pour combien de temps et dans quelles circonstances.
Conformément à l'ordre signé par le secrétaire informatique Ajay Prakash Sawhney, Aarogya Setu peut collecter quatre catégories de données – démographiques, de contact, d'auto-évaluation et de localisation, qui ensemble ont été appelées données de réponse. Outre le nom, le numéro de mobile, l'âge, le sexe, la profession et l'historique des voyages, l'application suit également avec qui tous les utilisateurs sont venus à proximité, y compris la durée, la distance et la géolocalisation.
Le gouvernement introduit des garanties
Maintenant, le protocole définit que les développeurs de l'application, National Informatics Center, peuvent partager des données personnelles avec les départements de la santé des administrations centrales et étatiques, les autorités nationales et nationales de gestion des catastrophes, d'autres ministères des gouvernements central et des États, et institutions de santé publique.
La ligne à laquelle les experts juridiques s'opposent car formulée de manière lâche est la suivante: "lorsqu'un tel partage est strictement nécessaire pour formuler directement ou mettre en œuvre une réponse sanitaire appropriée."
Le protocole garde les choses vaguement définies même dans le cas où et comment les données pourraient être partagées avec des tiers. Il dit que cela pourrait être fait «lorsque cela est strictement nécessaire pour formuler directement ou mettre en œuvre des réponses sanitaires appropriées».
Il existe cependant des freins et contrepoids. Le protocole indique que les données de réponse ne peuvent être partagées que sous une forme dépersonnalisée, ce qui signifie qu'à l'exception des données démographiques, elles sont supprimées de toutes les informations d'un individu et se voient attribuer un ID généré de manière aléatoire.
Mais est-ce suffisant?
Le ministère exhorte également le NIC à documenter toutes ces données partagées et à maintenir une liste des agences qui les ont en leur possession. De plus, il stipule qu'aucune entité ne peut conserver les données partagées au-delà de 180 jours à compter du jour où elles ont été collectées. Il cite le Disaster Management Act de 2005 pour établir des sanctions en cas de violation du protocole.
Et juste au moment où il semblait que l'administration fédérale n'aurait plus besoin de tordre les bras pour augmenter les téléchargements, vient ce rapport d'un autre pirate éthique. Le pirate informatique basé à Bangalore a affirmé qu'il avait créé sa propre version d'Aarogya Setu et l'avait partagée avec 15 de ses amis et a suggéré qu'elle fonctionnait mal par rapport à celles développées par Apple et Google car celles-ci ne stockent pas de données personnelles.
Il y a peut-être une leçon que le National Informatics Center pourrait imbiber de cet épisode, car il n'en demeure pas moins qu'Aarogya Setu peut fournir des données précieuses une fois qu'il atteint une masse critique de téléchargements, en particulier dans les zones rouge et ambre.