Les données de 220 millions de Brésiliens ont été volées
Le Brésil est confronté à la plus grosse fuite de données de son histoire : sur Internet, des personnes non identifiées proposent à la vente une banque de données gigantesque. Elle comporterait des informations sur plus de 220 millions d’habitants : notamment des noms, des dates de naissance et le numéro d’identification fiscale CPF, valable à vie. Ce dernier est par exemple nécessaire pour conclure des contrats de téléphone mobile ou pour acheter des tickets pour les transports publics.
Comme le nombre d’habitants au Brésil ne s’élève qu’à environ 212 millions, il pourrait y avoir dans la banque de données des éléments sur des personnes décédées ou sur des inscrits vivant à l’étranger. En plus de ces données concernant les personnes, les personnes non identifiées en question proposent des informations sur 104 millions de véhicules. Dans cette base de données se trouvent notamment les numéros de série, les numéros d’immatriculation, les modèles, les capacités de moteur et les types de carburant. Une troisième banque de données contient des données sur 40 millions d’entreprises, y compris le numéro d’identification unique (CNPJ), le nom de l’entreprise et la date de création.
La base d’une fraude massive
Les données ont été découvertes via le laboratoire de cybersécurité dfndr (en portugais). D’après l’entreprise, elles sont proposées ouvertement à la vente sur des forums. Le directeur du laboratoire Emilio Simoni prévient que ces informations pourraient être utilisées à des fins de fraude de type hameçonnage. Par exemple, les victimes pourraient être contactées sous un faux prétexte afin d’obtenir d’elles des informations supplémentaires, comme des données d’accès ou des coordonnées bancaires. Il serait également possible que de l’argent soit exigé par ce biais.
La véracité des données a pu être vérifiée par les experts car les criminels mettent à disposition une partie des informations gratuitement. Ceci est ainsi censé démontrer leur authenticité et leur valeur.
On ne sait pas encore d’où proviennent ces données et comment elles ont été dérobées. Le quotidien brésilien Estadão rapporte qu’il ressort d’éléments de la banque de données que les informations proviendraient de la société d’évaluation de crédit Seresa Experian. Sa fonction est similaire à la société allemande Schufa. Cette entreprise collecte des données sur les personnes et les entreprises afin de donner une estimation de solvabilité à de potentiels créanciers ou partenaires contractuels. Seresa Excperian a jusqu’à présent nié tout lien avec cette affaire et a l’intention d’enquêter sur la question.
Si le soupçon est confirmé, cette affaire rappellerait le désastre en termes de protection des données lié à la société d’évaluation de crédit Equifax (en allemand) de l’année 2017. À l’époque, les cyberagresseurs s’étaient emparé des données de 143 millions d’Américains. Les données comprenaient notamment des numéros de sécurité sociale valables à vie, des adresses et des numéros de permis de conduire.
Les conséquences ne sont pas claires
Il reste à évaluer si le vol aura des conséquences sur la source des données. Le Brésil a certes voté une loi de protection des données en 2018, prévoyant une sanction s’élevant à 50 millions de réaux brésiliens maximum (environ 7,7 millions d’euros) pour l’entreprise. Cependant, ce type de sanctions ne devrait pas avoir cours avant août 2021.
En Allemagne également, les sociétés d’évaluation de crédit telles que la Schufa sont régulièrement critiquées par les défenseurs de la protection des données et des droits civils. Ils collectent de grandes quantités de données personnelles, ce qui fait de leurs bases de données une cible attrayante pour les criminels informatiques. (hcz)