Chine : ce que l'on sait du vol de données privées d'un milliard de personnes revendiqué par un pirate informatique

La base de données que le pirate affirme avoir obtenue serait restée accessible publiquement pendant plus d'un an via un lien spécifique. Il est impossible de vérifier l'ampleur réelle de la fuite. Ce pourrait être la fuite de données la plus massive de l'histoire. Un pirate informatique affirme avoir dérobé les données personnelles d'un milliard de Chinois et propose de les revendre. Son message de revendication a été repéré sur un forum, dimanche 3 juillet. Ces données ont en partie été authentifiées de manière indépendante, mais l'ampleur réelle de la fuite, qui met en lumière la quantité d'informations collectées par le pouvoir chinois sur ses citoyens, reste inconnue. Une base de données de la police de Shanghai au cœur des revendications Le message qui a tout déclenché a été publié sur une plateforme d'échanges entre pirates informatiques baptisée Breach Forums, jeudi 30 juin. Il a été repéré la semaine suivante par des spécialistes en sécurité informatique. Un utilisateur du nom de "ChinaDan" y revendique le vol de plus de 23 téraoctets de données. "En 2022, la base de données de la police nationale de Shanghai a fuité", affirme l'utilisateur cité par Reuters*, qui ajoute qu'elle contient "des informations sur un milliard de citoyens chinois et plusieurs milliards de dossiers, parmi lesquels : nom, adresse, lieu de naissance, numéro national d'identité, numéro de téléphone portable, tous les détails des crimes/détails des faits". L'utilisateur propose enfin de vendre l'ensemble des données pour 10 bitcoins, ce qui représente près de 200 000 dollars au cours affiché mercredi 6 juillet. Une ampleur difficile à évaluer Si les affirmations du pirate sont avérées, "ce serait la plus grande fuite d'informations publiques jamais connue", estime Troy Hunt, directeur régional de Microsoft basé en Australie, à CNN*. Pour prouver ses dires, "ChinaDan" a mis en ligne des échantillons des données qu'il assure posséder. Quelque 750 000 entrées ont été publiées. Des médias et des experts en cybersécurité ont pu en authentifier une infime portion : huit personnes contactées par le New York Times*, et quatre sur les 12 contactées par l'AFP, ont confirmé l'exactitude des informations publiées. Mais "il n'y a pas de vérification quant au nombre total d'entrées et je suis sceptique par rapport au chiffre d'un milliard de citoyens", nuance auprès de l'AFP Robert Potter, cofondateur de la société de cybersécurité Internet 2.0. La gravité de la fuite est également discutée par les spécialistes. La plupart des données sont proches de celles que récolteraient les publicités placées par les entreprises sur des sites internet, assure Chester Wisniewski, directeur de recherche scientifique dans l'entreprise de cybersécurité Sophos, cité par Al Jazeera*. D'autres soulignent cependant la présence d'éléments issus de casiers judiciaires, qui pourraient être utilisés pour faire chanter leurs propriétaires. "On constate souvent de l'extorsion après des fuites de données", rappelle Troy Hunt. L'origine de la fuite reste à déterminer Le pirate n'a pas expliqué la manière dont il a obtenu ces données. Plusieurs scénarios ont été évoqués par des spécialistes. Changpeng Zhao, le directeur général de la plateforme d'échange de cryptomonnaies Binance qui avait alerté sur la fuite le 3 juillet, a affirmé dans un tweet* que la base de données avait été rendue accessible par un développeur du gouvernement. Celui-ci aurait posté les codes d'accès par erreur dans un post sur le blog China Software Developer Network. Le site LeakIX, qui répertorie les bases de données exposées en ligne, affirme que celle-ci était accessible publiquement dès avril 2021, rapporte CNN. Elle pouvait être consultée en trouvant une adresse web qui offrait un accès illimité à ceux qui en avaient connaissance. "Soit ils [les gestionnaires de la base de données] avaient oublié, soit ils l'ont laissée ouverte intentionnellement car c'était plus facile pour eux d'y accéder", suppose Vinny Troia, fondateur de l'entreprise de recherche sur le dark web Shadowbyte, qui dit avoir consulté la base dès janvier. Elle a été verrouillée après le message de ChinaDan. Enfin, d'autres, comme Robert Potter, estiment que les données ont pu être piratées depuis un serveur d'une société informatique chinoise tierce. Le pays compte plusieurs sociétés majeures des services de "cloud" (stockage de données en ligne), comme Alibaba, Tencent ou Huawei. Une fuite facilitée par la surveillance des autorités Si une fuite de données aussi importante a pu se produire, c'est peut-être parce que le gouvernement chinois collecte de plus en plus d'informations sur ses propres citoyens ces dernières années."Certaines [données] viennent de systèmes de reconnaissance faciale", décrit à l'AFP Robert Potter. Les autorités chinoises restent pour le moment silencieuses. Des publications évoquant l'événement sur le réseau social chinois Weibo ont déjà été censurées, selon le New York Times*. La Chine a adopté en 2021 des lois pour encadrer la gestion des données personnelles sur le territoire après des critiques adressées aux géants nationaux du numérique, mais "il n'y a pas de mécanisme pour tenir le gouvernement responsable en cas de fuite", affirme au New York Times Yaqiu Wang, chercheuse sur la Chine au sein de l'ONG Human Rights Watch. * Tous les liens suivis d'un astérisque mènent vers des liens en anglais.