Deux hauts responsables travaillant pour la police antiterroriste au Bangladesh auraient collecté et vendu des informations classifiées et personnelles de citoyens à des criminels sur Telegram, a appris TechCrunch.
Les données qui auraient été vendues comprenaient des détails sur l’identité nationale des citoyens, des enregistrements d’appels téléphoniques portables et d’autres « informations secrètes classifiées », selon une lettre signée par un haut responsable des renseignements bangladais, consultée par TechCrunch.
La lettre, datée du 28 avril, a été rédigée par le général de brigade Mohammad Baker, directeur du Centre national de surveillance des télécommunications du Bangladesh, ou NTMC, l’agence d’écoute électronique du pays. Baker a confirmé la légitimité de la lettre et son contenu dans une interview avec TechCrunch.
« Une enquête départementale est en cours pour les deux cas », a déclaré Baker dans une conversation en ligne, ajoutant que le ministère bangladais de l’Intérieur a ordonné aux organisations de police concernées de prendre « les mesures nécessaires contre ces agents ».
La lettre, initialement écrite en bengali et adressée au secrétaire principal de la Division de la sécurité publique du ministère de l’Intérieur, allègue que les deux agents de police ont accédé et transmis des « informations extrêmement sensibles » de citoyens privés sur Telegram en échange d’argent.
Selon la lettre, les agents de police ont été arrêtés après que les enquêteurs ont analysé les journaux des systèmes de la NTMC et la fréquence à laquelle ils y ont accédé.
La lettre révèle l’identité des responsables. L’un des accusés est un commissaire de police affecté à l’Unité antiterroriste (ATU). L’autre est commissaire adjoint de la police au bataillon d’action rapide, également connu sous le nom de RAB 6, une unité paramilitaire controversée que le gouvernement américain sanctionné en 2021 suite à des allégations selon lesquelles l’unité serait liée à des centaines de disparitions et d’exécutions extrajudiciaires. TechCrunch ne nomme pas les deux personnes accusées car il n’est pas clair si elles ont été inculpées en vertu du système judiciaire du pays.
Le NTMC est une agence de renseignement gouvernementale créée sous l’égide du ministère de l’Intérieur du Bangladesh. La tâche principale de l’agence est de surveiller tout le trafic de télécommunications et d’intercepter les communications téléphoniques et Web afin de détecter et de prévenir les menaces à la sécurité nationale.
Des organisations comme Human Rights Watch et Maison de la liberté ont critiqué le NTMC pour son manque de garanties contre les abus, tant contre la liberté d’expression que contre la vie privée. Au fil des années, NTMC a acquis une technologie sophistiquée auprès de entreprises en Israëlque le Bangladesh ne reconnaît pas officiellement, ainsi que d’autres pays occidentauxpour mener une surveillance de masse en grande partie sur les membres des partis d’opposition, les journalistes, les membres de la société civile et les militants.
Dans le cadre de sa mission, le NTMC gère la National Intelligence Platform, ou NIP, un portail Web interne du gouvernement qui contient des informations classifiées sur les citoyens, telles que des détails d’identification nationale, l’enregistrement des téléphones portables et les enregistrements de données cellulaires, des profils criminels et d’autres informations.
Diverses agences d’application de la loi et de renseignement disposent de comptes d’utilisateurs sur le portail NIP fourni par le NTMC.
La propre enquête de NTMC a conclu que les agents utilisaient la plateforme NIP plus fréquemment que les autres, et accédaient et collectaient des informations qui ne les concernaient pas.
« Compte tenu du contexte, un tel accès non pertinent et un tel transfert illégal de données classifiées extrêmement sensibles devraient faire l’objet d’une enquête afin d’identifier toutes les personnes impliquées dans cela et nous demandons également des mesures appropriées contre toutes les personnes identifiées/impliquées », indique la lettre.
Baker a déclaré à TechCrunch qu’il existait un « nombre de chaînes Telegram », ajoutant que l’une d’entre elles s’appelait BD CYBER GANG.
TechCrunch n’a pas pu identifier la chaîne spécifique sur Telegram.
Contactez-nous
Avez-vous plus d’informations sur cet incident ou sur des incidents similaires ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou e-mail. Vous pouvez également contacter Zulkarnain Saer Khan sur Signal au +36707723819, ou sur X. @ZulkarnainSaer. Vous pouvez également contacter TechCrunch via SecureDrop.
Baker a déclaré à TechCrunch qu’il semble que les deux agents aient envoyé les informations à l’administrateur d’au moins un groupe Telegram, qui a ensuite tenté de les vendre.
Baker a déclaré que les deux agents avaient été informés de l’enquête.
En raison de l’enquête, tous les utilisateurs du NIP de l’ATU et du RAB 6 ont vu leur accès suspendu « jusqu’à ce que les responsables impliqués soient identifiés et que des mesures appropriées soient prises », selon la lettre.
Baker a confirmé l’accès suspendu, affirmant que si les agents « ont besoin d’informations à des fins d’enquête, ils peuvent les collecter via la police et le siège du RAB ».
Les porte-parole du ministère de l’Intérieur du Bangladesh et de l’ATU n’ont pas répondu aux multiples demandes de commentaires. Une personne s’identifiant uniquement comme un « officier des opérations » au RAB 6 a déclaré à TechCrunch que l’agence n’avait aucun commentaire.
L’année dernière, un chercheur en sécurité a découvert que la NTMC divulguait des informations personnelles sur un serveur non sécurisé. Les données divulguées comprenaient noms, numéros de téléphone, adresses e-mail, lieux et résultats d’examens réels, selon Wired. Une autre agence gouvernementale bangladaise, la Bureau du registraire général, enregistrement des naissances et des décèsaussi fuite de données sensibles des citoyens l’année dernière, comme TechCrunch le rapportait à l’époque.
Dans les deux cas, les fuites ont été découvertes par Viktor Markopoulos, un chercheur qui travaille chez Bitcrack Cyber Security.
Bien qu’il s’agisse de cas importants d’exposition de données, cet incident impliquant prétendument les agents de l’ATU et du RAB 6 est potentiellement plus dommageable, étant donné que les agents auraient vendu des informations en ligne dans le but de profiter de leur accès privilégié à des informations personnelles classifiées.
Bien que l’incident fasse l’objet d’une enquête, une source bien placée au sein du gouvernement a déclaré à TechCrunch qu’il y avait encore des responsables qui proposaient de vendre les données des citoyens.