Données de citoyens chinois proposées à la vente
Un inconnu propose à la vente des données personnelles d’un milliard de Chinoises et Chinois sur internet. Ces renseignements proviendraient d’une base de données de la police de Shanghai. Des experts ont vérifié des extraits de la base de données, publiés sous forme d’échantillons, et constaté qu’ils étaient authentiques.
Selon des rapports de médias, une personne avait proposé les données, le 30 juin sur un forum en ligne, pour une somme de bitcoins équivalant à 200 000 euros. Le jeu de données semble dépasser les 20 téraoctets et contenir des informations, telles que noms, adresses, lieux de naissance, numéros de mobile et de carte d’identité ainsi que des renseignements de la police concernant les infractions pénales. Les autorités chinoises n’ont jusqu’ici pas réagi aux questions de plusieurs médias.
Pour prouver l’authenticité des données, l’inconnu avait également publié un échantillon gratuit de 750 000 jeux de données. Depuis, la chaîne d’actualités CNN a pu vérifier deux douzaines d’entrées.
Le New York Times rapporte, lui aussi, qu’il a pu consulter une partie des données. Mais l’envergure de cette fuite de données n’a pas encore pu être déterminée. Si le nombre d’informations contenues concernait réellement un milliard de Chinoises et Chinois, alors la majorité de la population serait touchée – le pays compte en effet 1,4 milliard d’habitants.
Renseignements provenant des dossiers de police
Un des échantillons contient les données personnelles de 250 000 citoyennes et citoyens chinois, dont le nom, le sexe, l’adresse, le numéro national d’identification et l’année de naissance. Dans certains cas sont également fournis des renseignements sur la profession, l’état civil, l’appartenance ethnique et le niveau de formation.
Un autre échantillon examiné par le New York Times contenait également des dossiers de police. Ceux-ci révèleraient des informations comme les infractions signalées, numéros de téléphone et pièces d’identité. Les cas remonteraient aux années 1997 à 2019.
Un journaliste du quotidien a appelé plusieurs personnes dont les données ont été publiées : quatre d’entre elles ont confirmé les informations dont le journal a pris connaissance. Parmi elles se trouve un homme qui a porté plainte pour escroquerie. Quatre autres personnes ont confirmé leurs noms avant de raccrocher.
Le Wall Street Journal a réussi, lui aussi, à parler à des personnes dont les données ont été publiées – elles ont également confirmé les détails figurant dans les dossiers de police. En revanche, plusieurs numéros de téléphone n’étaient plus attribués mais en Chine, il n’est pas rare que les personnes changent de numéros de portable.
CNN a également trouvé des dossiers de police : il s’agit principalement de procédures de droit civil mais aussi de renseignements sur des actions pénales. On y parle par exemple du cas d’un habitant de Shanghai qui a été convoqué en 2018 par la police pour avoir utilisé des services VPN afin d’accéder à Twitter et y aurait partagé des « contenus réactionnaires » sur le parti communiste.
La base de données n’est pas sécurisée depuis un an
Comme CNN le rapporte, les données seraient accessibles sur internet au moins depuis avril 2021.
Le chercheur en sécurité Vinny Troia a raconté à la chaîne de télévision qu’il avait, lui aussi, découvert la base de données en début d’année. « La page sur laquelle je l’ai trouvée est publique. Tout le monde peut y accéder, il suffit d’y créer un compte. » N’importe quelle personne aurait pu télécharger les données. Lui-même a téléchargé des parties de la base de données et y a trouvé des informations concernant près de 970 millions de citoyennes et citoyens chinois.
La Chine collecte des données en masse sur sa population. Dès 2019, Victor Gevers, un chercheur en sécurité informatique hollandais avait découvert une base de données non sécurisée contenant entre autres des noms, dates de naissance et localisations de plus de 2,5 millions d’habitants de la région de Xinjiang. C’est là que vivent les Ouïgours, une minorité ethnique opprimée par le gouvernement.
La fuite actuelle de données pourrait avoir des conséquences massives pour les personnes concernées : l’expert en sécurité informatique Troy Hunt interviewé par CNN met en garde contre le fait que les données puissent servir à faire chanter les personnes concernées. Le gouvernement chinois, en revanche, ne craint aucune poursuite, explique au New York Times Yaqiu Wang, chercheuse sur la Chine pour l’organisation des droits de l’homme Human Rights Watch. Il est vrai qu’il existe de vagues formulations dans les textes légaux sur le devoir des autorités de garantir la sécurité des données. Mais il n’existe aucun mécanisme les rendant responsable d’une fuite de données. (js)