Danemark : les identifiants de 1,26 millions de citoyens exposés

Danemark : les identifiants de 1,26 millions de citoyens exposés

Une erreur de logiciel dans le portail fiscal du gouvernement danois a accidentellement exposé les numéros d’identification personnelle de 1,26 million de citoyens danois, soit un cinquième de la population totale du pays. Cette faille a été découverte au bout de cinq ans (elle a eu lieu entre le 2 février 2015 et le 24 janvier 2020) d’après les médias locaux.

L’erreur logicielle et la fuite qui s’en est suivie ont été découvertes suite à un audit de l’Agence danoise pour le développement et la simplification (Udviklings-og Forenklingsstyrelsen, ou UFST). Selon l’UFST, l’erreur s’est produite sur TastSelv Borger, le portail officiel de l’administration fiscale danoise, où les citoyens se connectent pour déclarer et payer leurs impôts en ligne.

Les responsables gouvernementaux ont déclaré que le portail contenait un bug logiciel faisant que chaque fois qu’un utilisateur mettait à jour les détails de son compte dans la section “paramètres” du portail, son numéro d’identification était ajouté à l’URL. L’URL était alors collectée par les services d’analyse du site, en l’occurrence Adobe et Google. Selon l’UFST, plus de 1,2 million de contribuables danois ont été exposés à ce bug et leurs données ont été collectées par inadvertance par ces fournisseurs.

publicité

Un numéro essentiel pour les citoyens danois

Les numéros d’identification sont importants au Danemark. Ils sont obligatoires pour l’ouverture d’un compte bancaire, l’obtention d’un numéro de téléphone et de nombreuses autres opérations de la vie quotidienne. Ils permettent également d’obtenir des informations sur un citoyen : sa date de naissance (les dix premiers chiffres) et son sexe (si le dernier chiffre est impair, il s’agit d’un homme et si le dernier chiffre est pair, d’une femme) notamment.

Malgré cette importante et inquiétante fuite de données, l’UFST a exhorté les citoyens au calme, car il est probable que les données n’aient été recueillies que par les sociétés d’analyse, écartant donc tout danger immédiat de fraude pour les personnes concernées. Mais en dépit de l’appel au calme, plusieurs experts locaux de la protection de la vie privée ont exigé un audit plus large du code source du portail de l’agence fiscale, craignant d’autres erreurs flagrantes.

DXC (anciennement CSC), la société de logiciels qui a construit le portail en libre-service, a déclaré avoir corrigé le bug juste après que les autorités aient signalé le problème.

Le Danemark est le troisième gouvernement scandinave à subir un incident de sécurité au cours des dernières années. En 2015, l’Agence suédoise des transports (STA) a permis à plusieurs bases de données sensibles d’être téléchargées sur le Cloud et accessibles à des professionnels serbes des technologies de l’information non contrôlés. En 2018, un groupe de pirates informatiques a volé les données de santé de plus de la moitié de la population norvégienne. Ce problème de sécurité gouvernemental fait également écho à la fuite de données qui s’est produite récemment en Israël.
Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *