Deux hauts fonctionnaires travaillant pour la police antiterroriste au Bangladesh auraient collecté et vendu des informations classifiées et personnelles de citoyens à des criminels sur Telegram, a appris TechCrunch.
Les données prétendument vendues comprenaient des détails d’identité nationale de citoyens, des enregistrements d’appels téléphoniques et d’autres « informations secrètes classifiées », selon une lettre signée par un haut responsable des services de renseignement bangladais, consultée par TechCrunch.
La lettre, datée du 28 avril, a été écrite par le brigadier général Mohammad Baker, directeur du Centre national de surveillance des télécommunications du Bangladesh, ou NTMC, l’agence d’écoute électronique du pays. Baker a confirmé la légitimité de la lettre et de son contenu dans une interview avec TechCrunch.
« L’enquête départementale est en cours pour les deux cas », a déclaré Baker dans un chat en ligne, ajoutant que le ministère bangladais de l’Intérieur avait ordonné aux organisations policières concernées de prendre « les mesures nécessaires contre ces officiers ».
La lettre, qui a été écrite à l’origine en bengali et adressée au secrétaire principal de la division de la Sécurité publique du ministère de l’Intérieur, allègue que les deux agents de police ont accédé et transmis des « informations extrêmement sensibles » de citoyens privés sur Telegram en échange d’argent.
Selon la lettre, les agents de police ont été arrêtés après que les enquêteurs aient analysé les journaux des systèmes du NTMC et la fréquence à laquelle les deux y ont accédé.
La lettre révèle l’identité des fonctionnaires. L’un des accusés est un commissaire de police de l’Unité antiterroriste (ATU). L’autre est un adjoint au surintendant de police adjoint du bataillon d’action rapide, également connu sous le nom de RAB 6, Une unité paramilitaire controversée que le gouvernement américain sanctionné en 2021 sur des allégations selon lesquelles l’unité est liée à des centaines de disparitions et d’exécutions extrajudiciaires. fr.techtribune.netne nomme pas les deux personnes accusées car il n’est pas clair si elles ont été inculpées en vertu du système juridique du pays.
Le NTMC est une agence de renseignement gouvernementale créée sous l’égide du ministère de l’Intérieur du Bangladesh. La tâche principale de l’agence est de surveiller tout le trafic de télécommunications et d’intercepter les communications téléphoniques et Web pour détecter et prévenir les menaces à la sécurité nationale.
Des organisations comme Human Rights Watch et Maison de la liberté ont critiqué le NTMC pour son manque de garanties contre les abus, à la fois contre la liberté d’expression et la vie privée. Au fil des ans, NTMC s’est procuré une technologie sophistiquée auprès de entreprises en Israël, que le Bangladesh ne reconnaît pas officiellement, ainsi que autres pays occidentaux, pour mener une surveillance de masse principalement sur les membres des partis d’opposition, les journalistes, les membres de la société civile et les militants.
Dans le cadre de sa mission, le NTMC gère la National Intelligence Platform, ou NIP, un portail Web interne du gouvernement qui contient des informations classifiées sur les citoyens, telles que les détails d’identification nationale, l’enregistrement des téléphones portables et les enregistrements de données cellulaires, les profils criminels et d’autres informations.
Divers organismes d’application de la loi et de renseignement ont des comptes d’utilisateur sur le portail NIP fourni par le NTMC.
L’enquête de la NTMC a conclu que les agents utilisaient la plateforme NIP plus fréquemment que les autres, et accédaient et collectaient des informations qui ne les concernaient pas.
« Compte tenu du contexte, un tel accès non pertinent et la remise illégale de données classifiées extrêmement sensibles devraient faire l’objet d’une enquête pour identifier toutes les personnes impliquées dans cette affaire et nous demandons également des mesures appropriées contre toutes les personnes identifiées / impliquées », peut-on lire dans la lettre.
Baker a déclaré à fr.techtribune.netqu’il y avait un « certain nombre de canaux Telegram », ajoutant que l’un d’entre eux s’appelait BD CYBER GANG.
fr.techtribune.netn’a pas pu identifier le canal spécifique sur Telegram.
Contactez-nous
Avez-vous plus d’informations sur cet incident ou sur des incidents similaires ? À partir d’un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase and Wire @lorenzofb, ou par e-mail. Vous pouvez également contacter Zulkarnain Saer Khan sur Signal au +36707723819, ou sur X @ZulkarnainSaer. Vous pouvez également contacter fr.techtribune.netvia SecureDrop.
Baker a déclaré à fr.techtribune.netqu’il semble que les deux agents aient envoyé les informations à l’administrateur d’au moins un groupe Telegram, qui a ensuite tenté de les vendre.
Baker a déclaré que les deux agents avaient été informés de l’enquête.
BecausAu cours de l’enquête, tous les utilisateurs du NIP de l’ATU et du RAB 6 ont vu leur accès suspendu « jusqu’à ce que les responsables impliqués soient identifiés et que des mesures appropriées soient prises », selon la lettre.
Baker a confirmé la suspension de l’accès, affirmant que si les agents « ont besoin d’informations à des fins d’enquête, ils peuvent les collecter par l’intermédiaire de la police et du siège du RAB ».
Les porte-parole du ministère de l’Intérieur du Bangladesh et de l’ATU n’ont pas répondu aux multiples demandes de commentaires. Une personne s’identifiant uniquement comme un « officier des opérations » au RAB 6 a déclaré à fr.techtribune.netque l’agence n’avait aucun commentaire.
L’année dernière, un chercheur en sécurité a découvert que le NTMC divulguait les informations personnelles des gens sur un serveur non sécurisé. Les données divulguées comprenaient des noms, numéros de téléphone, adresses e-mail, lieux et résultats d’examens réels, selon Wired. Une autre agence gouvernementale bangladaise, la Bureau du registraire général, Enregistrement des naissances et des décès, a également divulgué des données sensibles de citoyens l’année dernière, comme l’a rapporté fr.techtribune.netà l’époque.
Dans les deux cas, les fuites ont été trouvées par Viktor Markopoulos, un chercheur qui travaille chez Bitcrack Cyber Security.
Bien qu’il s’agisse de cas importants d’exposition de données, cet incident impliquant les agents de l’ATU et du RAB 6 est potentiellement plus dommageable, étant donné que les agents auraient vendu des informations en ligne dans le but de profiter de leur accès privilégié à des informations personnelles classifiées.
Bien que l’incident fasse l’objet d’une enquête, une source bien placée au sein du gouvernement a déclaré à fr.techtribune.netqu’il y avait encore des fonctionnaires qui proposaient de vendre les données des citoyens.
