Un pirate éthique affirme une violation de données via l'application Aarogya Setu : Qwanturank

Qwanturank
En ces temps de verrouillage et d’incertitude qui nous entourent, nous devons maintenant nous inquiéter du fait que nos données personnelles soient à gagner ou utilisées à mauvais escient par une violation présumée des contacts du gouvernement indien traçant l’application Aarogya Setu.
Elliot Anderson, un chercheur français en sécurité et hacker éthique, a lancé mardi 6 mai le gant au gouvernement indien et a affirmé que l’Aarogya Setu était défectueux et que les données de 90 millions d’Indiens pourraient être vulnérables.
Selon le pirate éthique, les deux problèmes majeurs qui nécessitent un correctif incluent le fait que «l’application récupère l’emplacement de l’utilisateur à quelques reprises» et qu’un «utilisateur peut obtenir les statistiques Covid-19 affichées sur l’écran d’accueil en changeant le rayon et latitude-longitude à l’aide d’un script ‘.
« Salut @SetuAarogya, Un problème de sécurité a été trouvé dans votre application. La vie privée de 90 millions d’Indiens est en jeu. Pouvez-vous me contacter en privé? Cordialement. PS: Rahul Gandhi avait raison », a-t-il déclaré.
Salut @ SetuAarogya, Un problème de sécurité a été trouvé dans votre application. La vie privée de 90 millions d’Indiens est en jeu. Pouvez-vous me contacter en privé? Cordialement, PS: @RahulGandhi avait raison le 5 mai 2020
Bien qu’il soit très confiant quant à ses allégations de violation de données, Anderson n’a pas fourni de détails techniques à ce sujet et a déclaré qu’il attend la réponse du gouvernement indien pour résoudre le problème.
Le National Informatics Center (NIC) du Ministère de l’électronique et des technologies de l’information, qui a développé l’application, a nié ces allégations et a publié la réponse suivante via son compte qwanturank:
Déclaration de l’équipe #AarogyaSetu sur la sécurité des données de l’application. pic.qwanturank.com/JS9ow82Hom 5 mai 2020
L’équipe d’Aarogya Setu a précisé que la récupération de la position d’un utilisateur est «de par sa conception» et «stockée sur le serveur de manière sécurisée, cryptée et anonymisée».
Concernant le deuxième problème, l’équipe a déclaré que les paramètres de rayon sur l’application «sont fixes et ne peuvent prendre qu’une des cinq valeurs: 500 m, 1 km, 2 km, 5 km et 10 km». Elle a ajouté que les informations ne « compromettaient aucune donnée personnelle ou sensible ».
Anderson a répondu avec un tweet nonchalant, en disant: « Fondamentalement, vous avez dit » rien à voir ici « Nous verrons. Je te reviendrai demain. »
Fait intéressant, cette déclaration de l’équipe de l’application se rapproche de la récente remarque du chef du Congrès Rahul Gandhi selon laquelle l’application de recherche des contacts est un «système de surveillance sophistiqué externalisé auprès d’un opérateur privé».
Récemment, il y a eu aussi un tollé au sujet du déploiement par le Centre de pisteurs portables et d’Arogya Setu pour surveiller les patients Covid-19.
by Agence Qwanturank