TLe gouvernement indien a reconnu que le service de porte-documents sécurisé «Digilocker» aurait pu permettre aux pirates de contourner l’OTP mobile et de se connecter en tant qu’autres utilisateurs sans exiger de mot de passe. Cela aurait pu permettre un accès facile et non autorisé aux documents sensibles téléchargés par les Indiens sur la plate-forme gérée par le gouvernement.
Clarification sur la vulnérabilité signalée sur DigiLocker? pic.twitter.com/hEz19QJDsj
– DigiLocker (@digilocker_ind) 2 juin 2020
Pour ceux qui ne le savent pas, DigiLocker est un portefeuille de documents géré par le gouvernement qui enregistre vos documents / certificats sensibles comme le permis de conduire, l’immatriculation du véhicule, la feuille de marque académique, etc., sur le cloud.
La vulnérabilité critique de DigiLocker a été signalée séparément par deux chercheurs indépendants sur les primes aux bogues, Mohesh Mohan et Ashish Gahlot.
La faille a essentiellement permis aux acteurs malveillants possédant un certain savoir-faire technique de contourner facilement le 2FA requis pour se connecter à l’application.
Le processus de connexion pourrait être manipulé à l’aide des informations utilisateur de base de la carte Aadhar et en interceptant et en modifiant les paramètres de la connexion de l’application au serveur.
Cela signifie que les utilisateurs non autorisés peuvent se connecter, créer une nouvelle épingle et obtenir un accès illimité aux données personnelles sensibles stockées sur le serveur cloud de DigiLocker sans même entrer un mot de passe.
La vulnérabilité dans DigiLocker a été identifiée et signalée le mois dernier et a été partiellement corrigée en quelques jours. Mais le problème de contournement OTP a été résolu hier seulement. Jusqu’à présent, il n’y a aucun rapport d’accès non autorisé ou d’utilisation abusive des données utilisateur.