Les informations divulguées lors d’une prétendue violation de données de l’Organisation de prévoyance des employés (EPFO) en 2018 qui a touché des millions d’Indiens se sont révélées avoir été « reconditionnées » par une agence de cybersécurité chinoise, a rapporté The Indian Express citant une enquête préliminaire menée par l’agence indienne de cybersécurité.
En 2018, cependant, l’EPFO a nié que ses systèmes aient été compromis après que des rapports sur la prétendue violation de données aient fait surface pour la première fois. L’EPFO a déclaré que la vulnérabilité avait été exploitée à partir des systèmes des centres de services communs (CSC).
Réponse et action du gouvernement indien
Un trésor d’informations aurait été divulgué sur Github dans le cadre de documents liés aux cyber-agences chinoises, a déclaré un haut responsable du gouvernement au média. Le responsable a ajouté que cela indique que ces agences étaient soit responsables de la violation initiale, soit qu’elles avaient acquis les données compromises par la suite.
Après cela, l’équipe indienne d’intervention en cas d’urgence informatique (CERT-In) du ministère de l’Électronique et des Technologies de l’information (MeiTY) est entrée en action. CERT-In a lancé une enquête pour déterminer si les données contenues dans ces documents étaient nouvelles ou si elles provenaient de violations passées.
Selon les informations divulguées sur Github, les données divulguées prétendent qu’il s’agit d’informations provenant de diverses institutions gouvernementales et privées indiennes. Il prétend détenir des données non liées à l’EPFO mais également celles des utilisateurs de BSNL et des informations sur des sociétés telles qu’Air India et Reliance Industries, propriété du groupe Tata.
« CERT-In a mené une enquête préliminaire sur les allégations et il semble que les données EPFO présentes dans les documents datent de 2018, lorsque ses systèmes ont été touchés », a déclaré un responsable. Au moment de la violation de données en 2018, un haut responsable de l’EPFO a noté que la fuite de données présumée ne s’était pas produite sur le serveur ou le logiciel géré par l’EPFO mais sur le logiciel du CSC.
Un responsable du CSC a cependant nié ces affirmations et affirmé que l’application concernée se trouvait sur le serveur EPFO et que les CSC n’avaient rien à voir avec l’incident. Malgré le jeu de reproches entre l’EPFO et le CSC en 2018, les conclusions du CERT-In confirment que le système EPFO a été compromis en 2018.
Augmentation des cyberattaques contre l’Inde
Ces révélations surviennent au milieu d’une vague croissante de cyberattaques contre l’Inde, notamment des cyberattaques contre des organisations telles que le Conseil indien de la recherche médicale (ICMR), les hôtels Taj, l’Institut indien des sciences médicales (AIIMS) et BSNL. Les cyberattaques parrainées par l’État contre l’Inde ont connu une augmentation massive de 278 % entre 2021 et septembre 2023, selon un rapport de novembre 2023.