Le ministère indien de la Santé a démenti les informations faisant état d’une fuite majeure de données personnelles de sa base de données de vaccination Covid.
Dans un communiqué, il a déclaré que “tous ces rapports sont sans fondement et de nature malveillante”, mais il a ordonné une enquête officielle sur la question.
La base de données CoWin du ministère de la Santé contient les informations personnelles de millions de personnes. Il semble cependant y avoir un certain désaccord au sein du gouvernement indien sur la prétendue violation de données.
Le ministre de l’électronique et de la technologie, Rajeev Chandrasekhar, a publié une déclaration via Twitter indiquant qu’une enquête initiale avait déjà indiqué qu’il y avait eu une fuite de données CoWin.
Il a déclaré qu’un bot, accessible via le service de messagerie Telegram, “affichait les détails de l’application CoWin lors de la saisie des numéros de téléphone”. M. Chandrasekhar a déclaré que les premières enquêtes de l’équipe indienne d’intervention d’urgence informatique (IndianCert) avaient révélé que les données de millions qui avaient été “précédemment piratés ou volés” dans la base de données des vaccins Covid, étaient accessibles.
Y a-t-il eu une fuite ?
Un média indien local a d’abord signalé la fuite présumée dans une vidéo YouTube montrant comment un bot Telegram révélait des informations sur des politiciens bien connus dans l’État du Kerala, dans le sud du pays.
Le média malayalam appelé ‘The Fourth’ a montré comment il était possible d’obtenir des données personnelles telles qu’une date de naissance, le document d’identité utilisé pour enregistrer une vaccination Covid, le lieu où la première dose a été reçue, le sexe et le téléphone numéro d’un individu.
D’autres organes de presse ont ensuite vérifié le bot et vérifié que les détails personnels des personnalités éminentes qu’ils avaient obtenues étaient effectivement exacts.
Il n’est plus possible d’accéder à ce bot.
Un porte-parole de Telegram a déclaré à la BBC que ces robots enfreignaient les conditions de service de la plateforme.
“Les modérateurs de Telegram suppriment régulièrement les données privées publiées sans consentement – comme ce fut le cas pour ce bot.”
Srikanth Lakshman, un expert en identité numérique qui a accédé au bot avant qu’il ne devienne inactif, a déclaré que des informations concernant à la fois les mineurs et les adultes étaient disponibles.
“Seule la base de données CoWin est censée contenir ce genre de détails”, a-t-il déclaré à la BBC.
Plusieurs experts en cybersécurité ont exprimé leurs inquiétudes après le signalement de l’incident et ont souligné qu’aucune alerte de sécurité n’avait été émise par l’équipe indienne d’intervention d’urgence informatique.
Est-ce déjà arrivé?
En juin 2021, il y a eu des allégations selon lesquelles le portail CoWin avait été piraté, entraînant la vente de données relatives à 150 millions d’Indiens. Le gouvernement indien a nié que cela se soit produit.
Puis, en janvier de l’année dernière, lorsque des rapports similaires sur une violation de données ont été signalés, le chef de l’Autorité nationale de la santé, Ram Sewak Sharma, a répondu en disant que la base de données était “sûre et sécurisée”.