Application : Plus d’un million de personnes ont vu les résultats de leurs tests à la Covid-19, ainsi que d’autres informations personnelles, exposées sur un serveur ouvert.
Les chercheurs de vpnMentor ont découvert une violation de données sur l’application de contact tracing de la Covid-19 créée par le gouvernement indonésien pour les personnes voyageant dans le pays.
L’application electronic Health Alert Card (eHAC), créée en 2021 par le ministère indonésien de la santé, ne disposait pas des protocoles de confidentialité des données adéquats, selon l’équipe de vpnMentor. Elle a ainsi exposé les données sensibles de plus d’un million de personnes via un serveur ouvert.
L’application a été conçue pour conserver les résultats des tests des personnes voyageant dans le pays, afin de s’assurer qu’elles ne sont pas porteuses de la Covid-19. Son téléchargement est obligatoire pour toute personne arrivant en Indonésie depuis un autre pays. Les étrangers comme les citoyens indonésiens doivent télécharger l’application, même pour voyager à l’intérieur du pays. Elle contient l’état de santé d’une personne, ses informations personnelles, ses coordonnées, et les résultats de ses tests à la Covid-19.
Des données exposées non protégées
Noam Rotem and Ran Locar, qui ont dirigés les recherches chez vpnMentor, expliquent que leur équipe a découvert la base de données exposée « dans le cadre d’une recherche gloable visant à réduire le nombre de fuites de données provenant de sites web et d’applications dans le monde entier ».
« Notre équipe a découvert les informations de l’application eHAC sans aucun obstacle, en raison de l’absence de protocoles mis en place par les développeurs de l’application. Une fois qu’ils ont enquêté sur la base de données et confirmé que les données étaient authentiques, nous avons contacté le ministère indonésien de la Santé et présenté nos conclusions », raconte vpnMentor.
« Après quelques jours sans réponse du ministère, nous avons contacté l’agence indonésienne Computer Emergency Response Team et, finalement, Google – l’hébergeur d’eHAC. Début août, nous n’avions toujours pas reçu de réponse des parties concernées. Nous avons essayé d’entrer en contact avec d’autres agences gouvernementales, l’une d’entre elles étant le BSSN (Badan Siber dan Sandi Negara), qui a été créé pour mener des activités dans le domaine de la cybersécurité. Nous les avons contactés le 22 août et ils nous ont répondu le jour même. Deux jours plus tard, le 24 août, le serveur a été mis hors service. »
1,4 million de données non sécurisées
Dans leur rapport, les chercheurs expliquent que les créateurs de l’application ont utilisé une « base de données Elasticsearch non sécurisée pour stocker plus de 1,4 million d’enregistrements provenant d’environ 1,3 million d’utilisateurs d’eHAC ».
En plus de la fuite de données sensibles des utilisateurs, les chercheurs ont constaté que toute l’infrastructure autour d’eHAC était exposée, notamment des informations privées sur les hôpitaux locaux indonésiens, ainsi que sur des membres du gouvernement utilisant l’application.
Parmi les données concernées, il y a des identifiants utilisateur – qui vont du passeport au numéro d’identification national indonésien – ainsi que les résultats et les données des tests Covid-19, les identifiants des hôpitaux, les adresses, les numéros de téléphone, le numéro d’identification URN et le numéro d’identification URN de l’hôpital. Concernant les Indonésiens, les données comprenaient leur nom complet, leur numéro, leur date de naissance, leur nationalité, leur emploi et leur photo.
Des données sensibles qui concernent aussi les hôpitaux
Les chercheurs ont également trouvé des données provenant de 226 hôpitaux et cliniques en Indonésie, comme le nom des personnes chargées de tester les voyageurs, les médecins ayant effectué les tests, des informations sur le nombre de tests effectués chaque jour et des données sur les types de voyageurs autorisés dans l’hôpital. La base de données exposée contenait même des informations personnelles sur les parents ou les proches des voyageurs, ainsi que les coordonnées de leur hôtel, et d’autres informations récoltées lors de la création du compte eHAC. Les noms, numéros d’identification, noms de compte, adresses électroniques et mots de passe des membres du personnel de l’eHAC sont également concernées.
« Si ces données avaient été découvertes par des hackers malveillants ou criminels, et si on les avait laissées s’accumuler sur un plus grand nombre de personnes, les effets auraient pu être dévastateurs, au niveau individuel et sociétal », notent les chercheurs.
« La quantité massive de données collectées et exposées pour chaque individu utilisant eHAC aurait pu rendre les utilisateurs de l’application incroyablement vulnérables à un large éventail d’attaques et d’escroqueries. En ayant accès aux informations du passeport d’une personne, à sa date de naissance, à ses antécédents de voyage, etc., de potentiels attaquants auraient pu la cibler dans le cadre de stratagèmes pour usurper son identité, la retrouver, l’escroquer et lui soutirer des milliers de dollars. En outre, si ces données n’avaient pas été suffisantes, les potentiels attaquants auraient pu les utiliser pour cibler une victime dans des campagnes de phishing par courriel, texte ou appels téléphoniques. »
Des « scanners web à grande échelle »
L’équipe de recherche de vpnMentor utilise des « scanners web à grande échelle » pour rechercher des bases de données non sécurisées contenant des informations qui ne devraient pas être exposées.
« Notre équipe a pu accéder à cette base de données parce qu’elle était complètement non sécurisée et non chiffrée. eHAC utilisait une base de données Elasticsearch, qui n’est habituellement pas conçue pour une utilisation URL », ont ajouté les chercheurs. « Cependant, nous avons pu y accéder via un navigateur et manipuler les critères de recherche d’URL pour exposer à tout moment les schémas d’un seul index. Chaque fois que nous constatons une violation de données, nous utilisons des techniques expertes pour vérifier le propriétaire de la base de données, généralement une entreprise commerciale. »
Le rapport note qu’avec toutes ces données, il aurait été facile pour de potentiels cyberattaquants de se faire passer pour un organe officiel de santé et de réaliser un certain nombre d’escroqueries sur les 1,3 million de personnes dont les informations ont été divulguées.
Un enjeu national de santé
Des cyberattaquants auraient également pu modifier les données de la plateforme eHAC, entravant les efforts du pays dans la lutte contre la pandémie de Covid-19. C’est d’ailleurs la raison pour laquelle les chercheurs n’ont pas voulu tester ces attaques potentielles, par crainte de perturber les efforts déployés par le pays pour combattre la Covid-19, qui sont peut-être déjà compromis par la gestion désordonnée de la base de données par le gouvernement.
L’équipe du vpnMentor ajoute qu’un piratage ou une attaque par ransomware impliquant la base de données aurait pu conduire à la méfiance des citoyens, voire à de la désinformation et à des théories de conspiration, comme celles qui ont cours dans de nombreux pays dans le monde actuellement.
« Si les Indonésiens avaient appris que leur gouvernement a exposé plus d’un million de personnes à des attaques et à des fraudes par le biais d’une application conçue pour combattre le virus, ils pourraient être réticents à suivre les directives pour combattre le virus, notamment les campagnes de vaccination », expliquent les chercheurs.
Sécuriser le système
Selon les chercheurs, les concepteurs du système eHAC doivent sécuriser les serveurs, mettre en place des règles d’accès appropriées et veiller à ne jamais laisser le système, qui ne nécessitait pas d’authentification, ouvert sur internet. Ils exhortent aussi les personnes qui pensent que leurs informations ont été affectées à contacter directement le ministère indonésien de la santé, afin de déterminer les prochaines mesures à prendre.
eHAC est loin d’être la seule application de lutte contre la Covid-19 à être confrontée à ce type de problèmes. Depuis le début de la pandémie, l’émergence d’applications de contact tracing a suscité l’inquiétude des chercheurs en cybersécurité, qui ont à plusieurs reprises montré à quel point ces outils pouvaient être défectueux.
Pas plus tard que la semaine dernière, Microsoft a dû faire face à d’importantes critiques, lorsqu’on a découvert que ses Power Apps avaient exposé 38 millions de données en ligne, et notamment des informations de santé liées à la Covid-19.
ZDNet a contacté les ministères indonésiens de la Santé et des Affaires étrangères mais ils n’ont pas souhaité répondre pour le moment.
Source : ZDNet.com