Un pirate informatique vend des données personnelles des citoyens chinois
On parle aujourd’hui de l’une des fuites et de donner les plus importantes de l’histoire de la sécurité informatique.
Cela fait cas depuis le début de cette semaine. En effet, un pirate informatique affirme détenir plusieurs données personnelles appartenant à près de 1 milliard de citoyens chinois. Ces derniers ont mis en vente sur un ensemble de données personnelles au plus offrant et à temps patiemment ses acquéreurs. Effectivement, quand on parle de données personnelles, il est clair qu’il y aura énormément de personnes intéressées pour détenir ce type de données. Il peut bien s’agir d’escroc standard mais aussi d’organismes gouvernementaux comme la CIA américaine.
Cet article va aussi vous intéresser : Un nouveau programme malveillant d’origine chinoise serait impliqué dans une campagne de cyberespionnage
Celui-ci est connu sous l’appellation de « ChinaDan ». D’une manière ou d’une autre, il vient certainement d’entrer dans l’histoire de la sécurité informatique mondiale. Pour le moment personne ne connaît réellement cet individu. Ce pseudo reste un mystère pour tout le monde. Depuis le 4 juillet, il se fait connaître du monde informatique en mettant en vente des milliards de données personnelles de citoyens chinois.
On peut considérer à juste titre, que cet incident de sécurité informatique se constitue comme étant l’un des plus importants et graves au monde. Particulièrement pour l’État Chinois, qui est assez regardant sur la manière dont sont générées les données de ses citoyens.
Cet incident rappelle vaguement celui qui a été causé par le piratage de près de 3 milliards de comptes Yahoo en 2013. On peut estimer que les conséquences pourraient bien être similaires. Mais à cette époque, les cybers criminels n’avaient pu obtenir que des données assez classiques comme les adresses électroniques, les identifiants de connexion ainsi que les noms et prénoms. Mais cette fois-ci, ça semble plus important que ça. Disons tout simplement que le pirate informatique a eu des données beaucoup plus importantes.
Apparemment ce sont des informations qui auraient été volées dans le serveur de la police de Shanghai. Le volume de ces données a été évalué à hauteur de 22 to, soit 22 000 go. Environ la capacité de stockage de près de 170 smartphones de type iPhone de dernière génération
« Vu son poids, cette base de données contient sûrement plus que seulement les noms et identifiants d’un milliard de Chinois », souligne Bastien Bobe, un spécialiste de sécurité informatique pour Lookout, une société américaine de sécurité informatique.
L’annonce a été faite sur un forum pour pirate informatique. Selon le hacker qui lui-même aurait réalisé l’attaque, il déclare détenir plusieurs types d’informations autre que les classiques noms et prénoms, adresses physiques, numéros de téléphone, l’intégralité du casier judiciaire des victimes de cette fuite. Il affirme mettre cela en vente pour la somme de 200 000 dollars américains en bitcoins soit 10 bitcoins.
« C’est peu vu la quantité de données, mais on peut penser qu’il espère ainsi la vendre plusieurs fois », note Bastien Bobe.
Et ce n’est pas tout, le pirate mentionne même de tenir les dossiers médicaux d’une partie de ces victimes qu’il met à disposition de celui qui voudra bien acquérir cette base de données. Ce dernier point a été confirmé par le Wall Street Journal qui aurait accès à des échantillons de ces données volées par ChinaDan.
Les experts disent même qu’il se pourrait qu’il y ait plus que des fichiers ou encore du texte dans cette base de données. « Il y a sûrement aussi les photos et scans des pièces d’identité » déclare Benoît Grunemwald, un expert en cybersécurité pour ESET France. Par ailleurs, « la police chinoise associe les enregistrements des caméras de surveillance au dossier de tous les individus fichés. Il y a également un mélange entre les dossiers judiciaires et policiers afin d’avoir un maximum d’informations qui peuvent être rapidement utilisables contre une personne si les autorités ont besoin de faire pression sur elle », souligne Frans Imbert Vier, le PDG d’Ubcom, une agence de conseil spécialisé dans la protection des données.
Dans le contexte actuel, détenir une base de données de citoyens chinois est comme avoir gagné le jackpot. Et justement pour cette raison que les gens affirment de ne pas trop se précipiter sur l’existence réelle de telle base de données piratée par un potentiel hacker. Il peut être question de données qui auraient été dérobées mais pas avec autant d’importance comme l’affirme ce dernier. Surtout que dans l’univers du piratage informatique ce type d’information est très recherchée.
« Afin de vérifier la validité des affirmations de « ChinaDan », il faudrait avoir accès à un échantillon représentatif » a déclaré Benoît Ferault, le responsable produit pour Quarkslab, une firme française spécialisée dans la protection des données.
Apparemment le média américain aurait pu vérifier l’authenticité de ces données en menant l’enquête auprès d’une dizaine de personnes qui apparaissent dans la base de données.
« Les informations étaient tellement précises qu’une femme appelée a demandé si elles provenaient de son smartphone qu’elle venait de perdre », a expliqué le Wall Street journal.
Si quelques données ont été confirmées comme étant véritablement utilisables dans le contexte, effectivement rien de garantit que le hacker possède bel et bien des données appartenant à près de 1 milliard de Chinois. Ce qui constitue quand même les deux tiers de la population totale de l’État.
« Cela me semble peu probable car, en théorie, les données collectées au niveau national sont centralisées à Pékin et les autorités policières de chaque ville sont censées n’avoir accès qu’à des fichiers concernant la population locale ou régionale », explique Frans Imbert Vier.
Accédez maintenant à un nombre illimité de mot de passe :
