Dix bitcoins, soit l’équivalent d’environ 200 000 dollars. Voilà ce que réclame « ChinaDan », un mystérieux hacker en échange d’une base de données contenant des informations détaillées… sur un milliard de citoyens chinois. Jeudi dernier, il a posté une annonce sans équivoque sur un forum fréquenté par des cybercriminels. « En 2022, la police nationale de Shanghai a été hackée. Cette base de données contient de nombreux téraoctatets de données et des informations sur des milliards de citoyens chinois ».
L’ensemble des données est en effet ahurissant par sa taille : au total, elle s’approche des 23 téraoctets, soit un peu plus que l’ensemble des textes de la Librairie du Congrès américain ! Il faut dire qu’elle est particulièrement complète, puisqu’elle comprendrait le nom, adresse, lieu de naissance, numéro d’identité et numéro de mobile de plus d’un Chinois sur deux… Mais aussi toute leur activité criminelle passée, le cas échéant.
Une bourde aux conséquences dévastatrices
L’un des premiers à avoir rapporté ce gigantesque leak n’est autre que Changpeng Zhao, alias CZ, le très médiatique patron de Binance. Dans un tweet, il explique que la fuite serait le fruit d’une vulgaire maladresse d’un développeur au service du gouvernement. Il aurait simplement écrit un article technique sur CSDN (une plate-forme Web très populaire chez les développeurs chinois) et malencontreusement publié les données de connexion à la base de données sur laquelle il travaillait.
Apparently, this exploit happened because the gov developer wrote a tech blog on CSDN and accidentally included the credentials.
1 billion records of private citizens' data. 😭 https://t.co/vPISm534Tn pic.twitter.com/FpMCGrpx08
— CZ 🔶 Binance (@cz_binance) July 4, 2022
Une bourde aux conséquences potentiellement dévastatrices tant les données sont précises. Car il y a là de quoi aisément dérober l’identité des individus concernés, les faire chanter, les cibler avec une précision diabolique à l’occasion d’une campagne de phishing, etc.
Reste à savoir si le hacker responsable de cette publication inédite est bel et bien en possession de ces données. Ce n’est pas encore certain, mais de nombreux faits concordants tendent à le prouver. D’abord parce qu’il a -comme le font de nombreux cybercriminels- fourni un échantillon des données en libre accès. Soit pas moins de 750 000 entrées piochées dans la base.
刚听说这事还半信半疑,不料竟然是真的。只能做好自我防范了。 pic.twitter.com/7iZWjqTLhi
— Tuomas Lin Li (@TuomasLinLi) July 3, 2022
La journaliste Karen Hao du Washington Post a ainsi pu vérifier les coordonnées d’une douzaine de citoyens recensés dans l’échantillon. Elle a pu confirmer auprès d’eux les informations de la base dans neuf cas sur douze. Parmi ceux-ci, plusieurs individus ont aussi confirmé les informations sur des crimes et délits, « des données qui auraient été difficiles à obtenir par une autre source que la police », précise-t-elle.
La censure tourne à plein
Les autorités chinoises sont en tout cas sur les dents. La police de Shanghai s’est bien gardée de tout commentaire. Mais la machine à censurer tourne déjà à plein régime. D’après le Financial Times, des dizaines de milliers de messages concernant la fuite auraient été supprimés des réseaux sociaux tels que WeChat ou Weibo, et plusieurs mots-dièse liés à l’affaire effacés. Baidu, le « Google » local, aurait aussi supprimé l’accès à des articles qui évoquaient le piratage.
Si cette fuite est bel et bien confirmée, il s’agirait évidemment d’une des plus graves jamais enregistrées. Il n’y a guère que la compromission de la base de données biométrique indienne Aadhaar pour lui tenir tête. Pour rappel, en 2018, une faille avait été découverte dans ce système qui recense une bonne partie des citoyens indiens. Elle permettait d’accéder aux informations personnelles de près de 1,2 milliard de personnes !
Bien que tragique, cette fuite de données a tout même le mérite de pointer du doigt un problème encore plus grave : l’étendue des informations personnelles contenues par le pouvoir chinois. Et de rappeler qu’il collecte, traite et utilise une quantité démesurée de données, avec le plus grand mépris pour les libertés individuelles.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : WSJ