Un pirate informatique français affirme que la faille d'Aarogya Setu révèle des personnes malades au PMO, au QG de l'armée, après l'assurance de la sécurité du ministre des TI
Le chercheur français en matière de sécurité, Robert Baptiste (sous le pseudonyme Elliot Alderson, ou @ fs0c131y sur Twitter), a posté que plusieurs responsables du gouvernement indien étaient actuellement malades, et qu'il avait obtenu cette information grâce à une faille dans l'application de suivi des contacts du coronavirus Aarogya Setu qui a été créée. par Niti Aayog avec un certain nombre de bénévoles. Baptiste a affirmé qu'une vulnérabilité dans l'application Aarogya Setu lui permettait de voir qui était infecté, malade et qui avait fait une auto-évaluation COVID-19. Bien qu'il ait été initialement contacté par des agences de cybersécurité indiennes, l'équipe derrière Aarogya Setu a réfuté ses affirmations et mercredi, le ministre des TI Ravi Shankar Prasad a également assuré aux gens que l'application était sécurisée. En réponse, Baptiste a révélé certains des détails qu'il a obtenus grâce à l'application et a ajouté qu'il révélera bientôt des informations détaillées.
Le chercheur, via son compte Twitter Elliot Alderson, a creusé à la récente affirmation du ministre des TI de l'Union, affirmant que l'application Aarogya Setu est «une application absolument robuste en termes de protection de la vie privée et de sécurité, de sécurité des données». Il Souligné qu'il a pu trouver la faille qui lui a permis de voir toute personne qui a signalé une infection, un malaise ou fait une auto-évaluation via l'application Aarogya Setu dans une zone particulière.
Il ajoutée que sur la base des données qu'il a obtenues mardi via l'application, il a pu constater que cinq personnes se sentaient mal au PMO, deux mal au siège de l'armée indienne et une personne était infectée au parlement.
«En gros, j'ai pu voir si quelqu'un était malade au PMO ou au Parlement indien. J'ai pu voir si quelqu'un était malade dans une maison spécifique si je le voulais », a-t-il tweeté. Il a aussi souligné qu'il a pu trouver un défaut au début du mois dernier grâce auquel un attaquant pouvait accéder à n'importe quel fichier interne de l'application à l'aide d'une seule commande, bien que cela ait été corrigé en silence par l'équipe derrière l'application Aarogya Setu.
De plus amples détails sur la faille découverte par les chercheurs doivent encore être annoncés. Il a cependant promis pour publier une explication technique plus tard mercredi.
Mise à jour: Comme promis, Baptiste ajoutée une mise à jour où il a partagé un article de blog détaillant la faille de sécurité dans l'application. Il a expliqué qu'un attaquant peut obtenir des informations sur les personnes malades / les personnes qui ont fait une auto-évaluation près d'eux dans un rayon fixe. En outre, il a constaté qu'en changeant son emplacement à différents endroits, il pouvait voir qui était mal à l'aise – comme trouver des personnes malades à moins de 500 mètres du cœur du Parlement. Il a ajouté que le rayon peut être étendu au-delà des 10 kilomètres maximum dans l'application, pour obtenir des informations sur tous les habitants d'une ville, par exemple. De plus, en triangulant ces informations en choisissant plusieurs emplacements à partir desquels vérifier, Baptiste a déclaré qu'il était en mesure d'obtenir des informations dans un mètre de précision.
Gadgets 360 a contacté l'équipe de l'application Aarogya Setu pour clarifier le problème soulevé par le chercheur et mettra à jour cet espace au fur et à mesure qu'il répondra.
Refus jusqu'à présent
La bagarre entre le chercheur et l'équipe d'Aarogya Setu a commencé mardi soir. Il a affirmé qu'il avait trouvé un «problème de sécurité» dans l'application qui mettait en danger la vie privée de plus de neuf utilisateurs indiens. En réponse, l'équipe a publié une note sur Twitter tôt mercredi qui réfutait l'existence du problème.
«Aucune information personnelle d'un utilisateur n'a été prouvée comme étant à risque par ce pirate éthique. Nous testons et améliorons continuellement nos systèmes. L'équipe Aarogya Setu assure à tout le monde qu'aucune violation de données ou de sécurité n'a été identifiée », a écrit l'équipe dans la note.
Préoccupations dues à sa large adoption
L'Aarogya Setu a déjà été utilisé par un grand nombre d'utilisateurs en Inde – principalement pour limiter la propagation du nouveau coronavirus dans le pays. Il était à l'origine facultatif à utiliser, bien que cette nature ait rapidement évolué et se soit transformée en obligatoire. Il est requis dans divers bureaux privés et gouvernementaux ainsi que par les travailleurs qui livrent de la nourriture et d'autres biens essentiels. Récemment, la police de Noida a également commencé à imposer l'utilisation de l'application. Tout cela a gonflé l'utilisation à de nouveaux niveaux.
Dans un passé récent, la croissance de l'adoption de l'application Aarogya Setu a également poussé certaines critiques de groupes tels que le Software Freedom Law Center, Inde (SFLC.in) et Internet Freedom Foundation (IFF). Une partie de la société s'interroge également sur les efforts qui la rendent obligatoire pour les citoyens.
En 2020, WhatsApp obtiendra-t-il la fonctionnalité de tueur que chaque Indien attend? Samsung Galaxy S20 en Inde? Nous en avons discuté sur Orbital, notre podcast technologique hebdomadaire, auquel vous pouvez vous abonner via Apple Podcasts ou RSS, télécharger l'épisode ou simplement cliquer sur le bouton de lecture ci-dessous.
