Aarogya Setu, l’application indienne de suivi du Covid-19 qui a recueilli plus de 100 millions de téléchargements depuis son lancement, est confrontée les unes après les autres à des problèmes de crédibilité. Juste un jour après que le gouvernement fédéral a annoncé des protocoles de partage de données et de connaissances pour l'application afin de calmer les tremblements de sécurité des utilisateurs, un pirate informatique prétend maintenant l'avoir violé. Un ingénieur logiciel de Bengaluru, connu sous le nom de Jay, affirme avoir piraté l'application en contournant la page qui demande des informations personnelles sur un utilisateur telles que son âge, son sexe, son vérificateur de symptômes et son historique de voyage. Il a déclaré à Buzzfeed qu'il avait également réussi à accéder à l'application sans accorder les autorisations nécessaires. C'est la deuxième fois que de sérieuses questions sur la sécurité et la confidentialité des données sont soulevées autour de l'application indienne de suivi des coronavirus, qui a également reçu les éloges du directeur général de l'OMS. , Tedros Adhanom, de la Banque mondiale et fondateur de Microsoft Bill Gates. Le gouvernement fédéral a rapidement réfuté les allégations d'un hacker éthique français, Elliot Alderson, qui aurait utilisé ses réseaux sociaux pour contacter les développeurs de l'application. Le ministère de l'Électronique et des Technologies de l'information (MEIT), le département central de l'administration centrale, a déclaré qu'il était impossible de pirater l'application Aarogya Setu, une affirmation qui semble avoir échoué. à plat maintenant.
Il y a 2 jours, l'Inde a lancé une application mobile « pour lutter contre le #COVID19 ». J'ai installé l'application et il me reste 1 heure, voyons ce que je peux trouver. https://t.co/KAJ6RjkQMf3 avril 2020 Le hacker basé à Bangalore a déclaré qu'il avait poursuivi Aarogya Setu pour s'être opposé à la décision du gouvernement fédéral de le rendre obligatoire, notamment pour les voyages en avion et en train. Certaines régions comme NOIDA, adjacente à la capitale nationale New Delhi, ont imposé des amendes et ont même menacé d'être arrêtées pour ne pas avoir l'application sur leur téléphone. La couverture de téléphonie mobile en Inde s'élève actuellement à 1.15 milliard sur une population de 1.3 milliard, ce qui signifie qu'environ 15 % de ses citoyens ne font pas partie du réseau cellulaire, en plus d'une part importante parmi ceux qui possèdent seuls un téléphone portable. peuvent se permettre des appareils de base et, au mieux, des téléphones bas de gamme.
quelques questions difficiles
Des questions sur la sécurité et la confidentialité des données ont surgi sporadiquement alors que les avocats cherchaient à déterminer qui aurait accès aux données et si Aarogya Setu serait en sommeil une fois la pandémie de Covid-19 calmée. Lundi, le gouvernement a proposé des protocoles de partage de données et de connaissances pour l'application. Le décret émis par le MEIT établit des lignes directrices pour le partage des données d'Aarogya Setu avec des agences gouvernementales et des tiers. L'ordonnance a remplacé la politique de confidentialité de l'application qui, selon les experts juridiques, était le seul bouclier permettant de protéger les citoyens contre toute utilisation non autorisée de leurs données personnelles. Cependant, les experts juridiques et en sécurité n'étaient que partiellement convaincus que la dernière ordonnance nécessitait le soutien d'une loi sur la protection des données personnelles qui attend actuellement l'approbation des législateurs au Parlement. Ils ont également déclaré que le protocole était rédigé en termes généraux, ce qui a suscité des inquiétudes.
Le vrai problème est ailleurs
Le gouvernement fédéral tente de résoudre le problème du déficit de confiance, car moins d’un dixième des abonnés mobiles indiens ont téléchargé Aarogya Setu. La raison n'est pas difficile à comprendre, puisque le succès de l'application pour contenir le Covid-19 dépend de l'acquisition d'une masse critique d'utilisateurs, comme le disait LaComparacion il y a un mois. Et c'est dans ce but que le gouvernement fédéral a tenté d'apaiser les inquiétudes des experts juridiques et sécuritaires avec le décret qui définit les protocoles permettant d'accéder aux données, pendant combien de temps et dans quelles circonstances. Selon l'ordonnance signée par le secrétaire informatique Ajay Prakash Sawhney, Aarogya Setu peut collecter quatre catégories de données : démographiques, de contact, d'auto-évaluation et de localisation, qui ensemble ont été appelées données de réponse. En plus du nom, du numéro de téléphone portable, de l'âge, du sexe, de la profession et de l'historique des voyages, l'application suit également les personnes que tous les utilisateurs ont approchées, y compris la durée, la distance et la géolocalisation. .
Le gouvernement présente des garanties
Désormais, le protocole définit que les développeurs de l'application, le Centre national d'informatique, peuvent partager des données personnelles avec les services de santé des administrations centrales et étatiques, les autorités nationales et nationales de gestion des catastrophes, et d'autres ministères gouvernementaux. institutions de santé centrales, étatiques et publiques. La ligne à laquelle les juristes s'opposent parce qu'elle est formulée de manière vague est la suivante : « lorsqu'un tel échange est strictement nécessaire pour formuler ou mettre en œuvre directement une réponse sanitaire appropriée ». Le protocole définit les choses de manière vague, notamment quand et comment les données peuvent être partagées avec des tiers. Selon lui, cela pourrait être fait "quand il est strictement nécessaire de formuler ou de mettre en œuvre directement des réponses sanitaires appropriées". Cependant, il existe des freins et contrepoids. Le protocole stipule que les données de réponse ne peuvent être partagées que sous une forme dépersonnalisée, ce qui signifie qu'à l'exception des données démographiques, elles sont supprimées de toutes les informations sur un individu et se voient attribuer un identifiant généré à partir de données aléatoires.
Mais est-ce suffisant ?
Le ministère exhorte également le NIC à documenter toutes ces données partagées et à maintenir une liste des agences qui en disposent. Il stipule en outre qu'aucune entité ne peut conserver des données partagées au-delà de 180 jours à compter du jour où elles ont été collectées. Il cite la loi sur la gestion des catastrophes de 2005 pour établir des sanctions en cas de violation du protocole. Et juste au moment où il semblait que le gouvernement fédéral n’aurait plus à se tordre les bras pour augmenter les téléchargements, voici le rapport d’un autre hacker éthique. Le pirate informatique basé à Bangalore a affirmé qu'il avait créé sa propre version d'Aarogya Setu et l'avait partagée avec 15 de ses amis et a suggéré qu'elle ne fonctionnait pas bien par rapport à celles développées par Apple et Google car celles-ci ne stockaient pas de données personnelles. Il y a peut-être une leçon à tirer selon laquelle le Centre national d'informatique pourrait digérer cet épisode, mais il n'en demeure pas moins qu'Aarogya Setu peut fournir des données précieuses une fois qu'elle atteint une masse critique de téléchargements, notamment dans les zones rouge et orange.