PROCÈS MADHEWOO/ETAT : Selon Ish Sookun, un lecteur spécialisé peut copier des données biométriques de la carte d’identité nationale

La deuxième audience dans le procès qu’intente Rajah Madhewoo à l’État et au ministère des Technologies de l’information et de la communication (TIC) dans lequel il conteste la constitutionnalité de la nouvelle carte d’identité biométrique – lequel a débuté jeudi –, a permis de savoir que le portail de informatique de l’État, le www.gov.mu, est en fait la propriété privée d’une société britannique, l’Internet Direct Ltd. (IDL). Ish Sookun, un jeune expert en informatique assigné par le plaignant, l’a indiqué en cour. C’est elle qui l’a créé et qui le gère, soutient-il. D’autre part, le témoin a montré à la cour un lecteur spécialisé qui, dit-il, permet de copier les données biométriques sur la carte d’identité. Ish Sookun a précisé qu’il s’est procuré ce lecteur à l’étranger, mais les Mauriciens peuvent le commander sur E-bay ou encore Amazon.
Compte tenu des différentes étapes restantes du procès, avec notamment les interrogatoires des témoins, leur contre-interrogatoire par les avocats de la partie adverse, les soumissions écrites, les argumentaires et les réfutations, il était peu probable que le procès soit bouclé d’ici lundi 8 septembre. Le calendrier a par conséquent été prolongé après que les juges ont consulté le Chef Juge, Keshoe Parsad Matadeen. L’audience d’hier matin qui avait déjà commencé avec 30 minutes de retard a été levée peu de temps après pour permettre aux juges de s’entretenir avec le Chef Juge. Lors de la reprise de la séance, le SPJ Eddy Balancy a fait savoir aux parties concernées que le Chef Juge a déclaré que priorité sera donnée à cette affaire.
Le SPJ s’est par la suite montré ferme en établissant le délai que les avocats des deux parties comptent avoir pour l’interrogatoire principal de leurs témoins respectifs et pour les contre-interrogatoires de ces derniers par les avocats de la partie adverse. Le calendrier fixé à hier est que les avocats du plaignant devront soumettre leurs soumissions écrites jeudi 11 septembre au courant de l’après-midi; et à ceux du défendeur de le faire le lundi 15 septembre. Une session se tiendra le mercredi 17 en vue de permettre les plaidoiries des avocats, après quoi la Cour réservera son jugement.
L’interrogatoire d’Ish Sookun, commencé jeudi, a repris hier matin. Il a été interrogé par Me Erickson Mooneapillay, avocat paraissant comme Junior Lawyer de Me Sanjeev Teeluckdharry pour le plaignant. Ish Sookun a relaté son expérience concernant le site du MNIC en voulant chercher des informations sur la date butoir pour l’enregistrement concernant la nouvelle carte d’identité biométrique. Il a expliqué n’avoir pas vu sur le site en question l’information qu’il recherchait. Il a par la suite décidé d’écrire aux administrateurs de la page à travers le « Feedback & Query Form ». Il explique avoir été interpellé par une option qui permettrait à n’importe qui d’éditer le formulaire en ligne. En voulant s’enquérir davantage, il a découvert que le formulaire en ligne avait été créé grâce à Google Drive, un service Cloud de stockage et de partage de fichiers en ligne de Google ; ce qui a surpris le jeune ingénieur en informatique qui a pris le soin d’effectuer des captures d’écran de chaque étape. Ce dernier a par la suite rédigé un article sur son blog qui a été vu par plusieurs personnes, et l’information a été relayée dans les médias.
Poursuivant son témoignage, Ish Sookun a raconté comment il est tombé sur une liste de 67 autres personnes ayant déjà, comme lui, soumis précédemment un commentaire à travers le « Feedback & Query Form », ce en voulant vérifier le message qu’il venait d’envoyer aux administrateurs de la page. Les noms de ces personnes, leurs adresses, numéros de téléphone et numéros de carte d’identité étaient visibles publiquement. « Je me suis dit qu’il ne devrait pas avoir fuite de ce genre d’informations », a déclaré le témoin.
Me Erickson Mooneapillay : « Est-il correct pour le gouvernement d’avoir recours à Google Drive ? »
Ish Sookun : « Tous les gouvernements du monde ont une certaine appréhension des services Cloud ».
Me Erickson Mooneapillay : « C’est quoi un service Cloud ? »
Ish Sookun : « Il s’agit d’un service qui vous permet de stocker des données, images, fichiers en ligne sur un serveur et d’accéder à ces informations n’importe où dans le monde… Tous ces services contiennent un avertissement qu’une fois que vous placez vos données, celles-ci tombent sous la responsabilité du propriétaire du service Cloud… »
Ish Sookun relate par la suite comment il a accidentellement appuyé sur une touche sur son clavier et une fiche est apparue avec des informations concernant la base de données utilisée pour le site web du MNIC, en gros l’encodage de celui-ci. Ish Sookun a fait comprendre à la Cour que pour une personne lambda, ces informations n’ont aucune valeur mais que pour un cybercriminel, cela l’inciterait à commettre des actes illégaux et préjudiciables et qu’à travers une manoeuvre, le criminel peut obtenir des informations confidentielles comme des mots de passe.
Me Erickson Mooneapillay : « Comment décrirez-vous la qualité de l’encodage du site du MNIC ? »
Ish Sookun : « It’s of very poor quality. En tant que professionnel, je dirais que l’encodage du site équivaut à un niveau d’un projet scolaire au secondaire. Des étudiants de l’Université écrivent de meilleurs codes que celui du MNIC. Cela génère des inquiétudes concernant la qualité du site. »
Ish Sookun fait état d’un test de vulnérabilité du portail du Gouvernement, www.gov.mu effectué grace à un outil légal, et le site a recueilli le grade F soit le dernier grade en termes de sécurité. Le test en question a conclu que le portail du GM est vulnérable au bug « Heartbleed ». Il s’agit d’un bug annoncé en avril dernier qui permet aux cybercriminels d’entrer en infraction dans un réseau sécurisé et plusieurs sites web ont dû prendre des mesures nécessaires afin de protéger contre toute faille, y compris les banques mauriciennes. Ces derniers ont mis sur pied un patch et d’après les procédures, ces derniers sont tenus d’informer leurs utilisateurs du changement effectué et de les conseiller de changer de mots de passe comme mesure de sécurité. Or dans le cas du portail du gouvernement, www.gov.mu, cela n’a pas été fait, a déclaré Ish Sookun qui a souligné être un utilisateur du portail du GM.
Le témoin a par la suite relaté son vécu concernant le site de la Tourism Authority où il a pu accéder à une liste contenant 9000 noms, qui constitue selon lui un « data privacy breach ». Il a fait état de deux scénarios de comment ces données auraient pu être utilisées de façon malveillante en prenant les informations de ces 9000 personnes afin d’en créer 9000 comptes sur le site du gouvernement. L’autre scénario peut être celui où une personne malintentionnée utilise les informations de celle-ci afin de créer un compte sur le portail, puis en l’enregistrant à un e-service et soumettant (upload) de faux documents.
Me Erickson Mooneapillay revenant sur le portail du GM : « Comment évaluez-vous la sécurité du nom de domaine du portail du GM ? Est-il sécurisé selon votre opinion d’expert ? »
Ish Sookun : Non
Me Erickson Mooneapillay : « Pourquoi ? »
Ish Sookun : « Le site a échoué à tous les tests de sécurité. »
L’avocat du plaignant a par la suite dirigé l’interrogatoire sur le nom du domaine du portail du GM qui n’appartient pas à l’État mais à la société privée Internet Direct Ltd.
Me Erickson Mooneapillay : « Quel est le danger d’avoir un nom de domaine n’appartenant pas à l’État mais au privé ? »
Ish Sookun entre dans des explications techniques pour expliquer qu’un cybercriminel peut explorer les vulnérabilités du site et peut par exemple cloner le portail du GM, l’héberger sur un autre serveur et se servir la vulnérabilité du portail pour rediriger l’utilisateur vers le faux site.
Après d’autres questions posées par Me Mooneapillay à Ish Sookun, Me Shah Nawaz Namdarkhan, avec Mes Aruna Narain-Ramloll, Parliamentary Counsel, et Kumari Domah, a contre-interrogé brièvement le témoin. Celui-ci a maintenu la version qu’il a donnée en réponse aux questions de Me Mooneapillay.