Fuite de données : il affirme mettre en vente la vie privée des deux tiers des Chinois

HOLD-UP NUMÉRIQUE C’est l’une des fuites de données les plus massives de l’histoire de la cybersécurité : un pirate informatique affirme être en possession des données personnelles précises d’un milliard de Chinois. Il a mis en vente cette mine d’information qui peut intéresser un large éventail d’acquéreurs, du simple cyber-escroc à l’agent de la CIA. De quoi mettre Pékin dans l’embarras. "ChinaDan" vient peut-être de marquer l’histoire de la cybersécurité. Personne ne sait encore qui se cache derrière ce pseudo, mais ce pirate informatique vend sur Internet, depuis le 4 juillet, ce qu’il affirme être les données personnelles d’un milliard de Chinois. Ce piratage constituerait le plus grave incident de sécurité informatique à affecter les informations personnelles en Chine et l’une des plus importantes fuites de données de l’histoire au niveau mondial. Le casier judiciaire, le dossier médical et plus encore Le seul scandale d’une ampleur similaire remonte à 2013 lorsque les données liées aux trois milliards de comptes Yahoo avaient été compromises. Mais à l’époque, les cybercriminels avaient mis la main seulement sur le ba.b.a des données personnelles, comme le nom, l’adresse électronique et les identifiants de connexion. Rien à voir avec le casse numérique qui vient d’avoir lieu. Les données auraient été dérobées sur un serveur de la police de Shanghai et pèsent plus de 22 teraoctets, soit 22 000 gigaoctets, ce qui correspond à peu près à la capacité de stockage de plus de 170 iPhone de dernière génération. "Vu son poids, cette base de données contient sûrement plus que seulement les noms et identifiants d’un milliard de Chinois", affirme Bastien Bobe, spécialiste de cybersécurité pour la société américaine de sécurité informatique Lookout. Dans son annonce publiée sur un forum consacré à la cybercriminalité, "ChinaDan" précise d’ailleurs qu’en dehors des informations classiques - noms, numéro de téléphone, adresse physique - cette base de données contient aussi l’intégralité du casier judiciaire des individus. Et il vend cela pour la modique somme de 10 bitcoins (près de 200 000 dollars). "C’est peu vu la quantité de données, mais on peut penser qu’il espère ainsi la vendre plusieurs fois", estime Bastien Bobe. L’éventuel acquéreur de cette mine d’or numérique pourra aussi consulter les dossiers médicaux d’une partie au moins des victimes de cette fuite de données,a pu confirmer le Wall Street Journalqui a eu accès à un échantillon des informations subtilisées afin de vérifier la véracité de ce hold-up numérique.  Il y a, en outre, probablement bien plus que du texte dans ces fichiers. "Il y a sûrement aussi les photos et scans des pièces d’identité", note Benoît Grunemwald, expert en cybersécurité pour ESET France. En outre, "la police chinoise associe les enregistrements des caméras de surveillance au dossier de tous les individus fichés. Il y a également un mélange entre les dossiers judiciaires et policiers afin d’avoir un maximum d’informations qui peuvent être rapidement utilisables contre une personne si les autorités ont besoin de faire pression sur elle", précise Frans Imbert Vier, PDG d'Ubcom, agence de conseil spécialisé dans la protection des données. Jackpot pour tout cybercriminel Les bases de données chinoises représentent donc le jackpot assuré pour tout cybercriminel qui peut mettre la main dessus. C’est pourquoi les affirmations de "ChinaDan" sur l’étendue de son e-caverne d’Ali Baba doivent être prises avec des pincettes. Il peut être tenté de survendre la qualité de son butin sachant que ce type de base de données est très recherché. "Afin de vérifier la validité des affirmations de "ChinaDan", il faudrait avoir accès à un échantillon représentatif", assure Benoît Ferault, responsable produit pour Quarkslab, une société française spécialisée dans la protection des données. Le Wall Street Journal a pu confirmer la véracité des informations auprès d’une dizaine d’individus apparaissant dans cette base de données. "Les informations étaient tellement précises qu’une femme appelée a demandé si elles provenaient de son smartphone qu’elle venait de perdre", raconte le quotidien américain. Mais cela ne veut pas dire qu’il y a bien un milliard de Chinois - soit deux tiers de la population totale du pays - dans ce fichier. "Cela me semble peu probable car, en théorie, les données collectées au niveau national sont centralisées à Pékin et les autorités policières de chaque ville sont censées n’avoir accès qu’à des fichiers concernant la population locale ou régionale", note Frans Imbert Vier. Pour une ville de l’importance de Shanghai, cela peut facilement concerner plusieurs centaines de millions d’individus, d’après les différents experts interrogés par France 24. Et avec les éventuels doublons - comme, par exemple, dans le cas de femmes inscrites une fois sous leur nom de jeune fille puis de nouveau en tant que femme mariée -, la barre du milliard d’entrées peut vite être atteinte. Mais même avec "seulement" plusieurs centaines de millions de Chinois fichés, cette base de données à de quoi aiguiser l’appétit d’un vaste éventail d’acquéreurs potentiels. "Les premiers acheteurs seront probablement les groupes spécialisés dans la criminalité financière, comme la fraude aux prestations sociales", assure Benoît Grunemwald. Il y a tout ce qu’il faut dans cette base de données - informations personnelles et scans des documents d’identité - pour réaliser l’usurpation d’identité parfaite et tenter de détourner des aides sociales. Des infos sur des VIP chinois ? Des laboratoires pharmaceutiques et des compagnies d’assurance à la moralité douteuse peuvent aussi y trouver leur compte. L’accès au dossier médical complet des citoyens fichés "peut leur permettre de mieux cibler des campagnes de promotion de certains médicaments ou ajuster les tarifs de leurs contrats d’assurance", estime Frans Imbert Vier. L’historique des démêlés avec la justice ou la police peut se révéler aussi très alléchant pour un maître chanteur. Surtout que parmi les centaines de millions de citoyens répertoriés, "il y a sûrement des VIP  - que ce soit des stars du show-biz ou des riches hommes d’affaires - qui sont autant de cible potentiel pour des tentatives de chantage", note Gérôme Billois, expert en cybersécurité du cabinet de conseil Wavestone. Dans le lot des VIP, il doit aussi y avoir des édiles locaux et leurs familles. "C’est potentiellement une mine d’or pour les services de renseignement du monde entier qui peuvent s’en servir pour compléter leur propre fichier sur les responsables politiques chinois", note Bastien Bobe, l’expert de Lookout. Si la CIA, par exemple, peut y dénicher de quoi faire pression sur un haut responsable du Parti communiste chinois, cette fuite de données deviendrait alors un danger pour la sécurité nationale chinoise. Mais avant d’en arriver là, "encore faudrait-il être sûr de la qualité des informations qui sont ainsi à vendre", note Gérôme Billois. Une sérieuse brèche dans le contrat social chinois Ce scandale est une très mauvaise publicité pour les pays qui mettent ainsi en place des immenses bases de données rassemblant autant de renseignements sensibles sur leur population, estiment les experts interrogés. "Ce qui vient de se produire en Chine peut survenir n’importe où", souligne Bastien Bobe. Et c’est un mauvais coup tout spécialement pour la Chine qui a fait de la surveillance numérique et de la collecte de données personnelles l’un des piliers de son système politique. "On savait qu’ils étaient très bons pour la collecte de données et la création de large base de données, on a la confirmation qu’ils sont bien moins doués pour sécuriser ces informations", résume Frans Imbert Vier. En effet, les premiers éléments sur le modus operandi de l’attaquant démontrent qu’il y a "eu des manquements très graves aux règles de sécurité", note Benoît Ferault. L’un des développeurs en charge de cette base de données a, ainsi, laisser trainer par mégarde ses identifiants sur un forum de discussion pour informaticien en Chine. C’est aussi une sérieuse brèche dans le contrat social qui lie l’État chinois à sa population qui accepte d’importante limite à sa liberté individuelle en échange d’une certaine sécurité. Un tel scandale pourrait remettre ce postulat en question…. "à condition que les Chinois soient mis au courant", précise Frans Imbert Vier. Pékin a bien compris le danger et, dès mardi matin, toute mention de cette attaque étaient censurée sur les réseaux sociaux.