DÉCRYPTAGE – Un hackeur prétend détenir des éléments sur 1 milliard de Chinois. Si l’ampleur reste à confirmer, des informations sensibles ont bien fuité.
«Conformément aux lois, règles et politiques concernées, la page du thème ne peut être affichée.» Voilà ce qu’indique la messagerie Weibo, lorsque les internautes chinois tapent le hashtag #FuiteDeDonnées ces derniers jours. La grande armée des censeurs s’est mise en branle pour étouffer la nouvelle d’une possible fuite massive de données personnelles de 1 milliard de Chinois.
Sous le pseudonyme «ChinaDan», un pirate a affirmé le 30 juin être en possession d’une base de données de 23 téraoctets d’informations privées. Outre des noms, prénoms, dates de naissance, numéros de téléphone, adresses, la base contient des numéros de carte d’identité et des mentions de crimes et délits signalés à police sur une période allant de 1997 à 2019. La base de données est proposée illégalement à la vente pour 10 bitcoins, l’équivalent de 200.000 dollars au cours du 5 juillet.
Si les experts en sécurité restent prudents sur l’ampleur du chiffre annoncé – les pirates ont souvent tendance à exagérer leurs exploits -, plusieurs vérifications faites à partir d’un échantillon de 750.000 entrées mis en ligne par le pirate prouvent qu’elles correspondent bien aux citoyens chinois désignés.
À Pékin, les autorités se murent dans le silence face à cette rumeur embarrassante, à l’heure où le régime multiplie les collectes de données personnelles au nom de la lutte contre la pandémie. La presse, entièrement contrôlée par le pouvoir, ignore délibérément cette affaire, qui suscite de multiples interrogations. «Plusieurs jours après la sortie de la rumeur, toujours pas de déclaration officielle. Mais le cadenassage de l’internet a démarré. C’est donc probablement vrai», ajoute un internaute, dans l’un des rares commentaires encore visibles sur Weibo.
Collecte accrue de data
L’affaire est sensible car, d’après le pirate informatique, ces données proviendraient de la base de données de la police de Shanghaï, hébergée sur Alibaba Cloud, filiale du géant chinois Alibaba. Ce dernier a reconnu auprès du Wall Street Journal l’existence d’un «incident» et affirme investiguer.
Changpeng Zhao, le PDG de la plateforme d’échange de cryptomonnaies Binance, a indiqué le 3 juillet sur son compte Twitter que ses équipes de renseignements sur les menaces cyber avaient détecté sur le dark web des données à vendre sur 1 milliard de résidents d’un seul pays asiatique. «Probablement en raison d’un bug dans un déploiement d’Elastic Search par une agence gouvernementale», écrit-il. Elastic Search est un moteur de recherche utilisé pour analyser de gros volumes de donnée. En réaction, Binance a renforcé ses dispositifs de vérification de l’identité de ses utilisateurs. «Cela semble provenir de sources multiples: certaines viennent de systèmes de reconnaissance faciale, d’autres semblent être des données collectées lors d’un recensement», estime, de son côté, Robert Potter, cofondateur de la société de cybersécurité Internet 2.0. Les experts tentent d’authentifier la fuite, mais cela risque de prendre du temps, en l’absence de coopération chinoise.
Système de crédit social
Depuis plusieurs années, Pékin met en place un système de crédit social basé sur les données personnelles de ses citoyens, et a encore accru sa collecte à l’heure de la pandémie, au nom de la lutte contre le Covid. Dans la capitale, les habitants voient leur «certificat de santé» digital tourner au «jaune» s’ils n’ont pas accompli un test PCR dans les deux derniers jours, leur interdisant accès aux magasins, ou à leur résidence.
Entre 2016 et 2020, l’industrie du big data a enregistré une croissance annuelle de 30 % en Chine, selon l’agence Xinhua. Les fuites de données sont chroniques sur la toile chinoise, touchant par exemple 200 millions de personnes en 2021, et 538 millions de données de comptes Weibo l’année précédente.
Prenez ça les premiers nés légitimes ! Pas de d’existence légale, pas de fuite de données personnelles.
3 comments
DÉCRYPTAGE – Un hackeur prétend détenir des éléments sur 1 milliard de Chinois. Si l’ampleur reste à confirmer, des informations sensibles ont bien fuité.
«Conformément aux lois, règles et politiques concernées, la page du thème ne peut être affichée.» Voilà ce qu’indique la messagerie Weibo, lorsque les internautes chinois tapent le hashtag #FuiteDeDonnées ces derniers jours. La grande armée des censeurs s’est mise en branle pour étouffer la nouvelle d’une possible fuite massive de données personnelles de 1 milliard de Chinois.
Sous le pseudonyme «ChinaDan», un pirate a affirmé le 30 juin être en possession d’une base de données de 23 téraoctets d’informations privées. Outre des noms, prénoms, dates de naissance, numéros de téléphone, adresses, la base contient des numéros de carte d’identité et des mentions de crimes et délits signalés à police sur une période allant de 1997 à 2019. La base de données est proposée illégalement à la vente pour 10 bitcoins, l’équivalent de 200.000 dollars au cours du 5 juillet.
Si les experts en sécurité restent prudents sur l’ampleur du chiffre annoncé – les pirates ont souvent tendance à exagérer leurs exploits -, plusieurs vérifications faites à partir d’un échantillon de 750.000 entrées mis en ligne par le pirate prouvent qu’elles correspondent bien aux citoyens chinois désignés.
À Pékin, les autorités se murent dans le silence face à cette rumeur embarrassante, à l’heure où le régime multiplie les collectes de données personnelles au nom de la lutte contre la pandémie. La presse, entièrement contrôlée par le pouvoir, ignore délibérément cette affaire, qui suscite de multiples interrogations. «Plusieurs jours après la sortie de la rumeur, toujours pas de déclaration officielle. Mais le cadenassage de l’internet a démarré. C’est donc probablement vrai», ajoute un internaute, dans l’un des rares commentaires encore visibles sur Weibo.
Collecte accrue de data
L’affaire est sensible car, d’après le pirate informatique, ces données proviendraient de la base de données de la police de Shanghaï, hébergée sur Alibaba Cloud, filiale du géant chinois Alibaba. Ce dernier a reconnu auprès du Wall Street Journal l’existence d’un «incident» et affirme investiguer.
Changpeng Zhao, le PDG de la plateforme d’échange de cryptomonnaies Binance, a indiqué le 3 juillet sur son compte Twitter que ses équipes de renseignements sur les menaces cyber avaient détecté sur le dark web des données à vendre sur 1 milliard de résidents d’un seul pays asiatique. «Probablement en raison d’un bug dans un déploiement d’Elastic Search par une agence gouvernementale», écrit-il. Elastic Search est un moteur de recherche utilisé pour analyser de gros volumes de donnée. En réaction, Binance a renforcé ses dispositifs de vérification de l’identité de ses utilisateurs. «Cela semble provenir de sources multiples: certaines viennent de systèmes de reconnaissance faciale, d’autres semblent être des données collectées lors d’un recensement», estime, de son côté, Robert Potter, cofondateur de la société de cybersécurité Internet 2.0. Les experts tentent d’authentifier la fuite, mais cela risque de prendre du temps, en l’absence de coopération chinoise.
Système de crédit social
Depuis plusieurs années, Pékin met en place un système de crédit social basé sur les données personnelles de ses citoyens, et a encore accru sa collecte à l’heure de la pandémie, au nom de la lutte contre le Covid. Dans la capitale, les habitants voient leur «certificat de santé» digital tourner au «jaune» s’ils n’ont pas accompli un test PCR dans les deux derniers jours, leur interdisant accès aux magasins, ou à leur résidence.
Entre 2016 et 2020, l’industrie du big data a enregistré une croissance annuelle de 30 % en Chine, selon l’agence Xinhua. Les fuites de données sont chroniques sur la toile chinoise, touchant par exemple 200 millions de personnes en 2021, et 538 millions de données de comptes Weibo l’année précédente.
Prenez ça les premiers nés légitimes ! Pas de d’existence légale, pas de fuite de données personnelles.
Péquins hackés, Pékin à quai…