Nitish (Ish) Sookun, le geek ayant décelé des vulnérabilités de sécurité et de protection des données sur les sites gouvernementaux, notamment sur le site web du MNIC, se dit prêt à se présenter devant la justice afin de fournir les preuves pour étayer ses dires. Irrité après les propos du ministre Tassarajen Pillay Chedumbrum selon lesquels il appartiendrait à un mouvement politique, le jeune homme décide de réagir. Il sera présent aux côtés des opposants à la carte d’identité biométrique ce vendredi lors d’une conférence de presse.
Dans une lettre ouverte signée par le Dr Rajah Madhewoo (qui intente un procès à l’État et au ministère des TIC dans l’affaire de carte d’identité biométrique), le jeune « geek », qui avait fait le buzz en rapportant son expérience du site internet MNIC dans son blog, réclame un débat télévisé avec le directeur du projet du MNIS, Rao Ramah et le ministre des TIC, Tassarajen Pillay Chedumbrum. Un ultimatum de deux semaines est lancé, en vue de discuter de la sécurité du projet MNIS en lui-même et des préoccupations que dégage celui-ci, vu qu’il s’agit d’un projet à intérêt national.
La plateforme idéale, pour les auteurs de la lettre, serait la chaîne de télévision nationale. Un débat est réclamé afin d’éclairer le public sur plusieurs points concernant la carte d’identité biométrique. Dans cette lettre ouverte, les auteurs parlent d’ « anxiété nationale ».
Ish Sookun, qui se décrit comme un passionné d’informatique, a fait parler de lui après avoir découvert une faille de vulnérabilité sur le site du MNIC. En voulant vérifier la qualité de l’encodage et des informations techniques du site, il est tombé sur une liste de personnes ayant fait des doléances/demandes d’informations liées au projet, sans compter des informations qui ne sont pas censées être disponibles comme leurs numéros de téléphone, adresses et numéros de carte d’identité.
L’équipe du MNIS a vite fait de répliquer que la faille découverte sur le site web ne compromettait pas la base de données du projet MNIS et que le Customer Service fonctionnait indépendamment de l’exercice d’enregistrement de la carte d’identité et n’était pas relié à la base de données des citoyens déjà enregistrés pour la nouvelle carte d’identité. Le ministère des TIC, à travers le National Computer Board (NCB), a rectifié le tir en corrigeant les erreurs et supprimant la section doléances et demandes d’informations du site.
Dans un article publié le 22 mai dernier dans la rubrique Forum du Mauricien, Ish Sookun explique en détail les circonstances, tout à fait anodines, dans lesquelles il a découvert ces failles de sécurité. Il était à la recherche d’informations concernant le deadline pour l’enregistrement de la nouvelle carte d’identité sur le site internet et sa curiosité d’informaticien l’a amené à s’enquérir sur le protocole de sécurité et l’encodage du système utilisé pour les questions de feedback— des informations accessibles à travers de simples manoeuvres et qui ne nécessitent aucune intrusion/accès illégal dans un système quelconque.La suite de l’histoire, qu’il décrit comme une « horreur » , est la découverte des précédentes questions adressées par les internautes avec les noms, numéros de carte d’identité nationale, genres, numéros de téléphone, entre autres détails. Les messages de certains étaient accessibles publiquement, ce qui a fait douter le jeune geek de l’aspect sécuritaire et la protection de la vie privée et des informations. Il s’interroge par la même occasion sur la qualité de l’encodage du site, qu’il décrit même comme relevant du niveau d’un projet scolaire au secondaire. « Everything is based on mere observation and analysis of code that is publicly viewable » , tient-il d’ailleurs à préciser dans son article. Toute faiblesse dans un système informatique peut offrir l’occasion à une personne malveillante de porter atteinte à l’intégrité d’un système, la confidentialité des données et dans le cas présent, les données des personnes ayant fait des requêtes sur le site du MNIC.
Soutien de la plateforme No to Biometric Data
À la découverte de ces failles de sécurité avec des données censées être mieux protégées, et en dépit du fait qu’il s’agit d’un autre type de sécurité que pour les données cryptées de la carte d’identité biométrique, toutes les spéculations sont permises quant à la fiabilité de la protection des données, qu’il s’agisse de la carte d’identité ou la base de données alors que l’équipe du MNIS est en pleine phase de conversion et que deux tiers des citoyens se seraient déjà enregistrés. La plateforme No to Biometric Data on ID Card, dont un des membres phares est Jeff Lingaya, accorde son soutien à Ish Sookun, dont elle a salué l’action citoyenne lors d’une conférence de presse au Centre social Marie Reine de la Paix.
Pour ajouter à cela, dimanche dernier, le geek a décelé des failles sur le site web de la Tourism Authority et sur le portail du gouvernement. Ce qui renforce sa thèse que la sécurité des sites internet du gouvernement est à revoir et qu’en matière de sécurité, ils devraient garantir la confidentialité des informations, de manière à protéger la vie privée.
Mais la déclaration du ministre Tassarajen Pillay Chedumbrum mardi sur les ondes d’une radio privée a mis Ish Sookun hors de lui, alors qu’il voulait garder profil bas. Le ministre a soutenu que la démarche du jeune homme était imprégnée d’
« insolence »
et lui a attribué des motivations politiques. Ce que réfute catégoriquement Ish Sookun, qui sera aux côtés du Dr Rajah Madhewoo, de Me Sanjeev Teeluckdharry, Me Rama Valayden et probablement Me Roshi Badhain ce vendredi lors d’une conférence de presse prévue au siège du Regroupement Travayer Sosyal (RTS) sur la question de la carte d’identité. Tous défendent les intérêts de contestataires de la constitutionnalité de la carte d’identité biométrique dans des procès en Cour suprême.
« La déclaration du ministre selon laquelle j’appartiens à un mouvement politique m’a vraiment agacé. Je ne vais pas rester tranquille devant pareille accusation. Qu’il vérifie avant de parler » , dit Ish Sookun. Le jeune homme se dit d’ailleurs prêt à présenter ses preuves en Cour relatives à ses « naked eye observations » concernant les failles de sécurité sur des sites du gouvernement et des autorités locales. Affaire à suivre…