En Uruguay, un étudiant découvre une énorme faille de sécurité

En Uruguay, un étudiant de 20 ans a mis en ligne des données personnelles concernant quasiment toute la population. Il a eu accès à ces informations en profitant d’une faille sur des sites gouvernementaux, qu’il avait signalée aux autorités il y a plus d’un an, mais qui existe toujours.

Il s’appelle Ezequiel Pereira, il a 20 ans et il est étudiant en ingénierie informatique. En 2018, il s’était déjà fait remarquer en détectant une faille dans le système de sécurité de Google. L’entreprise américaine l’avait récompensé d’un chèque de 36 000 dollars. Il y a quelques jours, on a appris qu’en 2019, il a eu accès à plus de 4 millions de numéros de carte d’identité, ainsi qu’aux noms complets de leurs propriétaires. 4 millions, c’est plus que l’ensemble de population uruguayenne, qui est d’environ 3 millions et demi d’habitants, simplement parce que ce nombre inclut aussi des données sur des personnes décédées.

Une faille découverte par hasard

Ezequiel Pereira faisait des recherches sur son arbre généalogique. Et il s’est rendu compte que sur les formulaires de certaines pages web gouvernementales, il suffisait d’entrer un numéro de carte d’identité pour obtenir les prénoms, noms et parfois les dates de naissance de leur propriétaire. Une fonctionnalité normalement destinée à faire gagner du temps aux utilisateurs.

Ezequiel Pereira, lui, a développé un programme qui essaye automatiquement tous les numéros possibles. Et c’est comme cela qu’il a pu constituer une immense base de données avec les noms associés à chaque numéro. Il a d’abord utilisé personnellement ces données pour obtenir des informations sur ses ancêtres et constituer son arbre généalogique. À partir de leur numéro de carte d’identité, et en prouvant son lien avec eux, il pouvait accéder aux archives de l’État civil et consulter leur acte de naissance, par exemple.

Un hacker citoyen

En mars 2019, il a officiellement signalé à l’État ce qu’il considérait être une faille de sécurité informatique. Mais devant l’absence de réaction des autorités, il a décidé de mettre ces informations en ligne, pour aider ceux qui comme lui font des recherches généalogiques, selon sa version. Sauf qu’une fois les informations publiées, certains internautes se sont plaints auprès des autorités. En septembre dernier, elles lui ont demandé de retirer sa liste, ce qu’il a fait.

Ezequiel Pereira ne risque pas grand-chose. Certes la divulgation de ces informations a pu faciliter des usurpations d’identité. Mais pour avoir accès à ces données, Ezequiel Pereira n’a hacké aucun système de l’État : il a simplement compilé des informations en libre accès sur des sites gouvernementaux. Et quand on lui a demandé de les retirer, il l’a fait immédiatement.

Malgré le signalement de l’étudiant et les plaintes des internautes, la faille existe toujours, sur le site du ministère du Tourisme par exemple. N’importe qui peut donc encore avoir accès à ces informations.

Share

Sur le même sujet

Leave a Comment