Une faille de sécurité dans une application gérée par le ministère de l’Éducation de l’Inde a exposé les informations d’identification personnelle de millions d’étudiants et d’enseignants pendant plus d’un an.
Les données ont été stockées par l’application Digital Infrastructure for Knowledge Sharing, ou Diksha, une application d’éducation publique lancée en 2017. Au plus fort de la pandémie de Covid-19, lorsque le gouvernement a été contraint de fermer des écoles à travers le pays, Diksha est devenu un primaire outil permettant aux étudiants d’accéder aux supports et aux cours depuis chez eux.
Mais un serveur cloud stockant les données de Diksha n’a pas été protégé, exposant les données de millions d’individus aux pirates, aux escrocs et à pratiquement tous ceux qui savaient où chercher.
Les fichiers stockés sur le serveur non sécurisé contenaient les noms complets, les numéros de téléphone et les adresses e-mail de plus d’un million d’enseignants. Selon les données des fichiers, vérifiées par WIRED, les enseignants travaillaient pour des centaines de milliers d’écoles situées dans tous les États de l’Inde. Un autre dossier contenait des informations sur près de 600 000 étudiants. Bien que les adresses e-mail et les numéros de téléphone des étudiants aient été partiellement masqués, les données comprenaient les noms complets des étudiants et des informations sur l’endroit où ils sont allés à l’école, le moment où ils se sont inscrits à un cours via l’application et la durée du cours qu’ils ont terminée.
Selon un chercheur en sécurité basé au Royaume-Uni qui a identifié l’exposition, il y avait des milliers de fichiers comme celui-ci sur le serveur. (Le chercheur a demandé à ne pas être nommé car il n’était pas autorisé à parler aux médias.)
Après avoir initialement découvert l’exposition en juin, le chercheur a contacté le courrier électronique d’assistance de Diksha, les alertant de la violation de données, identifiant la source et proposant de partager plus d’informations. Ils n’ont reçu aucune réponse. “Il n’y a aucune chance qu’il n’ait pas été consulté et téléchargé par un groupe d’autres personnes”, déclare l’employé à propos des données exposées.
WIRED a contacté le ministère de l’Éducation et n’a pas reçu de réponse.
Diksha a été développé par EkStep, une fondation cofondée par Nandan Nilekani, qui a aidé à développer Aadhar, le système d’identification national du pays. Selon Deepika Mogilishetty, responsable des politiques et des partenariats chez EkStep, alors que la fondation soutenait Diksha depuis de nombreuses années, le ministère indien de l’Éducation met finalement en œuvre la sécurité et les politiques de gestion des données sur Diksha. Cependant, après que WIRED ait envoyé des liens Mogilishetty au serveur non sécurisé, il a été rapidement mis hors ligne.
Ce n’est pas la première fois que Diksha a potentiellement mal géré des informations sensibles. Un rapport de 2022 de Human Rights Watch a révélé que Diksha était non seulement capable de suivre l’emplacement des étudiants, mais également de partager des données avec Google. Dans de nombreux cas, le gouvernement indien a exigé que les enseignants et les élèves utilisent Diksha, et Hye Jung Han, chercheur à Human Rights Watch qui a rédigé le rapport de 2022, affirme que le gouvernement n’a fourni aucune méthode alternative à ceux qui n’auraient peut-être pas voulu utiliser le Diksha. application.
“Ce qui se passe là-bas du point de vue des droits de l’enfant, c’est que vous remplissez votre responsabilité de fournir une éducation gratuite à chaque enfant, mais le seul type d’éducation publique que vous mettez à disposition est celui qui viole intrinsèquement les droits des enfants”, déclare Han .
