En marge du débat sur le respect du droit fondamental sur la vie privée concernant les empreintes digitales imposées pour l’obtention de la Biometric Identity Card, une nouvelle controverse portant sur des failles à la sécurité informatique des sites web du gouvernement, dont celui du Mauritius National Identity Card Scheme, alimente de manière crescendo la chronique. Cette initiative revient à un ingénieur informatique (Linux System Engineer), Ishwon Sookun, 29 ans, habitant Providence, Quartier-Militaire. Les lacunes inquiétantes ne concernent pas seulement le site du MNIC, mais également l’accès à des informations de nature confidentielle de la Tourism Authority, entre autres. Poursuivant ses recherches, il promet d’autres révélations dans les jours à venir et balaie d’un revers de la main les allégations de political motive que lui attribue le ministre des Technologies de la communication, Tassarajen Chedumbrum-Pillay.
La découverte de ces failles à la sécurité dans les différents systèmes informatiques est le fruit d’un concours de circonstances. Ishwon Sookun rappelle qu’il était à la recherche de la date limite pour l’enregistrement en vue d’obtenir la nouvelle carte d’identité biométrique. En tant que spécialiste de l’informatique, ce voyage sur le site web du Mauritius National Identity Card (MNIC), de la Tourism Authority (TA) mais également celui du gov.mu est effarant et révélateur à plus d’un titre.
« N’ayant rien trouvé comme information quant à la date limite de l’enregistrement, j’ai décidé de transmettre une plainte via le contact form. It was quite a lenghty exercise requiring name, address and phone number. etc. C’est dans un deuxième temps que j’ai eu des frissons devant ce que j’avais pu constater. After I submitted my query I’m given a notice that my query has been recorded followed by a link about See previous responses and what’s the horror ! Every person who submitted queries so far, their names, National Identity numbers, phone numbers, age, email addresses, including the queries and complaints they made were all published ! Devant ces données de nature personnelle et confidentielle, je n’en croyais pas mes yeux, d’autant  que les autorités se vantent de manière systématique quant au caractère foolproof du système », proteste l’ingénieur-informaticien.
Si après la publication des premiers commentaires sur son blog hacklog.in intitulés Mauritius National ID Card Website — Your privacy compromised ! cette anomalie a été corrigée, Ish Sookun s’interroge sur divers autres aspects de sécurité intrinsèque et se pose plusieurs autres questions, notamment : « To whom belongs that Google Drive account ? Are Government officers allowed to keep public information on the Cloud ? If yes, are they not supposed to abide to minimum level of security ? »
L’ingénieur enquiquineur approfondit ses recherches en décryptant cette fois la code quality du site qu’il nommera ghost tags en raison du nombre de « JavaScripts at places you shouldn’t. You find HTML tags closing without even opening at first. » Ce qui le poussera à dire sur un ton des plus moqueurs que le site du MNIC relève davantage d’un « good project for students who wish to learn about website flaws and vulnerabilities » qu’autre chose.
Face à cette série de dénonciations basées sur des faits, les autorités, qui mettent à exécution ce projet au coût de Rs 1,5 milliard, tenteront une riposte en donnant l’assurance qu’il n’y a aucun problème car les données du site www.mnic.mu ne font pas partie de la MNIS Database.
Informations confidentielles pouvant être monayées
Ish Sookun reviendra à la charge en mettant en exergue les données qui sont toujours exploitables sur le site, alors même que les « responses des contact forms ne le sont plus. » Pour mieux s’expliquer sur la code quality, il cite un exemple simple : « On the MNIC website there is a search box on the top-right corner. Your first reflex usually is if you can’t find some information on the published pages, you will search it using that search box. But, if someone types mnis since that person’s single-quote button is next to the Enter key just like on my keyboard, and the person accidentally hits the single-quote before hitting enter, il y aura toute une série d’erreurs qui ne peuvent être décelées que par des spécialistes et qui ne voudront rien dire au commun des mortels. »
Pour un professionnel en informatique, ce précieux sésame ouvrira des portes qui auraient dû être hermétiquement scellées, notamment « table names from the MySQL database that should not have been shown at any cost. This mere error shows a blueprint of the website’s security. A person with enough of SQL kung-fu can retrieve data from the database or insert data into the database by exploiting this security loophole. »
Pour la cerise sur le gâteau de la Biometric ID Card, l’ingénieur informaticien aura la confirmation que le site mnic.mu n’est pas hébergé sur le territoire mauricien mais bien en Angleterre. « Isn’t MNIC.mu a property of the Government of Mauritius ? Shouldn’t it be on the local servers where all government services are running ? » se demande-t-il, visiblement outré. Le serveur du site serait géré par eUKhost, une firme basée à Londres.
Se passionnant de plus en plus pour les failles de sécurité ou encore les loopholes sur les sites gouvernementaux, Ish Sookun révélera une première fois que des données de plus de 9 000 personnes sont leaked sur le site www.gov.mu. « The URL would lead to several documents revealing names, addresses, phone numbers etc. One particular URL has a list of more than 9,000 people’s names, addresses, identity numbers, phone numbers and other details. All these are PUBLIC. No security mechanism. The pages are even indexed by search engines, thus risking the data to be accessible to a greater audience », s’appesantit-il.
L’informaticien étendra ses constats sur d’autres sites web dans le domaine public, avec l’accès à des documents officiels de la Tourism Authority (TA), notamment des informations personnelles sur des skippers et des Beach Hawkers. Pour démontrer que ces informations confidentielles sont exploitables et peuvent être monnayées, il cite en exemple un scénario selon lequel un hacker pourrait le vendre contre paiement à un investisseur étranger. « Is it such a small issue ? » dit-il à l’égard du ministre des TIC. Et bien que l’erreur a été corrigée, selon les déclarations dudit ministre, le jeune homme soutient que non. Il cite en exemple que « removal of links do not mean files are removed from the server or they are secured. If the persons cared to read my previous blog posts regarding this privacy blunder, I highlighted that their pages are indexed by search engines. Consequently, their files are indexed too. It’s too obvious. So, a mere Google search and …. Voilà, the files are still on the government servers. »
Pire, un autre fichier contenant les données personnelles de 600 personnes y est toujours sur le site. De ce fait, il dénonce un « travail bâclé et imprudent » de la part des autorités. Se disant « très agacé » par les propos du ministre, il réclame un open debate avec le directeur du projet du MNIS, Rao Ramah, et le ministre des TIC en vue de mieux rassurer la population sur la sécurité informatique des données personnelles et pour renforcer le système en place. « Si le ministre Tassarajen Pillay veut la guerre, il l’aura », a-t-il dit.
Un ultimatum de deux semaines est lancé aux autorités en vue de discuter de la sécurité de la base des données du projet Mauritius National Identity Card Scheme. Affaire à suivre…