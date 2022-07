Ce pourrait être le plus gros vol de données de l’histoire… si et seulement si ce très mystérieux piratage est attesté. Depuis fin juin, sur un forum spécialisé, un utilisateur a mis en vente des données personnelles dérobées. Des données dont on ne sait pas grand-chose… et même pas si elles existent vraiment.

De quoi est-il question ?

Sur le forum Breach Forum, spécialisé dans les fuites de données et autres failles de sécurité, un utilisateur, du nom de "ChinaDan", a annoncé avoir mis en vente un fichier de plus de 23 Téraoctets de données, pour la somme de 10 bitcoins (ce qui représente un peu moins de 200 000 euros). Sa publication a été abondamment commentée sur les réseaux sociaux, notamment sur Weibo (l’équivalent de Twitter), où la tendance "Fuites de données" a été bloquée dimanche.

Ce fichier contiendrait les données personnelles d’un milliard de chinois. "Il est assez évident que cela figurerait parmi les plus importants et les pires piratages de l’Histoire", si cette fuite était authentifiée, d’après Kendra Schaefer, directrice de recherche au sein d'un cabinet de conseil spécialisé.

De quelles données s’agit-il ?

Dans sa publication, "ChinaDan" explique : "En 2022, la base de données de la police nationale de Shanghaï a fuité (…) Elle contient des informations sur un milliard de résidents chinois, et plusieurs milliards d’éléments qui incluent nom, adresse, lieu de naissance, numéro national d’identité, numéro de téléphone portable et précisions sur les crimes et délits".

Mais selon d’autres observateurs, "cela semble provenir de sources multiples : certaines viennent de systèmes de reconnaissance faciale, d’autres semblent être des données collectées lors d’un recensement", selon Robert Potter, de la société de cybersécurité Internet 2.0. D'après les constatations de l'AFP sur un échantillon fourni par le pirate, il y aurait aussi des extraits d'historiques dérobés à des entreprises de livraison.

Pourquoi peut-on avoir des doutes ?

Une telle fuite serait inédite. Mais pour l’heure, il n’existe aucune preuve du fait que le fichier compte bien les données d’un milliard de personnes. "Il n’y a pas de vérification quant au nombre total d’entrées et je suis sceptique par rapport au chiffre d’un milliard d’entrées", nuance Robert Potter.

Par ailleurs, selon le site américain Gizmodo , il semble exagéré que le fichier de la police nationale de Shanghai compte un milliard de noms, étant donné que l'intégralité de la Chine compte 1,4 milliard d'habitants.

En effet, pour l’heure, le pirate n’a fourni qu’un échantillon de 750 000 entrées, c’est-à-dire moins d’un millième de ce qu’est censé contenir le fichier. Or, il est fréquent, notamment dans le cas des "rançongiciels", que des hackers exercent un chantage basé sur une forme de bluff, avec des données manquantes ou inoffensives.

Pourquoi peut-on tout de même craindre que cela soit vrai ?

Plusieurs indices laissent supposer que le piratage pourrait être bel et bien réel : une plateforme de crypto-actifs nommée Binance a annoncé lundi avoir "renforcé ses dispositifs de vérification de l’identité de ses utilisateurs" après avoir détecté la vente de données concernant un milliard de résidents "d’un pays asiatique", mais cette fois vendues sur le "dark web", cette partie immergée d’Internet, difficile d’accès et souvent dédiée aux trafics illicites.

Par ailleurs, pour l’heure, aucune institution chinoise ni entreprise soupçonnée de s’être fait voler des données n’a démenti le piratage - même si aucune ne l’a non plus confirmée, aucun commentaire officiel n’ayant été émis. Selon les experts, la fuite de données pourrait venir d'une faille de sécurité sur un serveur de la société informatique chinoise Alibaba Cloud (l'équivalent chinois des hébergements Amazon).

Enfin, l’AFP a tenté de vérifier que les données des fragments disséminés par le hacker présumé étaient exactes : sur les 12 personnes contactées par l’Agence France Presse, quatre ont confirmé l’exactitude des informations contenues dans le fichier, notamment leur nom et leur adresse. Une vérification très parcellaire mais qui permet de déterminer qu’il y a au moins, dans ce fichier dont on ignore la portée réelle, de véritables informations. Le New York Times assure qu'un premier fichier partiel, qui compte 250 000 noms, est bien authentique – les passés judiciaires des personnes contactées étaient notamment corrects.