Une vulnérabilité dans l'application DigiLocker met en danger les données de millions d'Indiens

Une faille grave trouvée dans l’application DigiLocker du gouvernement indien a mis en danger les données personnelles de plus de 3,8 crores de citoyens. Créée dans le cadre de l'initiative Digital India par le gouvernement fédéral, l'application DigiLocker offre un accès cloud à chaque utilisateur d'Aadhar pour conserver des copies numériques de documents / certificats authentiques tels que le permis de conduire, l'immatriculation des véhicules, la feuille de marque académique, etc.

Le bogue découvert par le chercheur en sécurité Ashish Gehlot le mois dernier a permis à des intrus possédant certaines connaissances techniques de contourner facilement l'authentification à deux facteurs requise pour se connecter à l'application exposant les informations personnelles sensibles.

Selon le Gehlot, il a pu manipuler le processus de connexion à l'aide des informations utilisateur de base comme Aadhar et en interceptant et en modifiant les paramètres de la connexion des applications au serveur. La faille signifiait que les utilisateurs non autorisés pouvaient se connecter, créer une nouvelle épingle et obtenir un accès illimité aux données privées stockées sur le serveur cloud, sans même entrer de mot de passe.

Alors que Gehlot avait identifié et signalé la vulnérabilité le mois dernier, elle a été partiellement corrigée en quelques jours. Cependant, le problème de contournement OTP a été résolu hier seulement. À l'heure actuelle, il n'est pas clair si ces données ont été consultées ou utilisées à mauvais escient par des utilisateurs non autorisés.

Ce n’est pas la première fois que la demande d’un gouvernement indien se révèle vulnérable. Le mois dernier, un chercheur en sécurité a détecté des problèmes dans l'application mobile Aarogya Setu mandatée par le gouvernement et utilisée pour le filtrage de premier niveau et la recherche de contacts contre Covid-19.