L’affaire est incroyable mais (peut-être) vraie. Le 30 juin, un pirate prénommé « ChinaDan » a affirmé sur un forum du dark web (cf photo) être en possession des données personnelles d’un milliard de Chinois volées sur un serveur de la police de Shanghai resté accessible à quiconque possédant un minimum de connaissances informatiques pendant plus d’un an ! Cette fuite de données est d’ores et déjà présentée comme l’une des plus massives de l’histoire de la cybersécurité.
En dehors des informations classiques (noms, numéro de téléphone, adresse, date et lieu de naissance, ethnie, profession, statut marital…), la base de données contiendrait aussi l’intégralité du casier judiciaire des individus. Et vu le poids du fichier (23 To), il pourrait également contenir des scans des pièces d’identité et des photos provenant de caméras de surveillance.
Si les fuites de données personnelles sont un problème chronique sur la toile chinoise, jamais des données aussi sensibles n’avaient été concernées (sauf lors des « Xinjiang Police Files » en mai dernier).
Plusieurs vérifications faites à partir d’un échantillon de 750 000 entrées gracieusement mis à disposition par le mystérieux hacker, prouvent qu’elles correspondent bien aux citoyens chinois désignés. Néanmoins, les experts en cybersécurité restent prudents quant à l’ampleur du chiffre annoncé (1 milliard de citoyens), les pirates ayant tendance à survendre la qualité de leur butin.
Véritablement représentative des deux tiers de la population chinoise ou non, cette base de données pourrait bien contenir des informations confidentielles sur des célébrités, des hommes d’affaires, voire des dirigeants politiques et leurs familles – autant de cibles potentielles de tentatives de chantage. Il n’en fallait pas plus pour que certains soupçonnent un lien avec le prochain 20ème Congrès du Parti ou avec la chute l’an passé du chef du Bureau de la Sécurité Publique de Shanghai, Gong Daoan.
Quoi qu’il en soit, le pirate vend cette véritable mine d’informations pour la modique somme de 10 bitcoins (près de 200 000 $), espérant ainsi attirer un maximum d’acheteurs, du simple cyber-escroc aux agences de renseignements du monde entier.
Inutile de préciser que la fuite est très embarrassante pour l’Etat chinois, raison pour laquelle les conversations sur le sujet n’ont pas tardé à être supprimées sur les réseaux sociaux. « Plusieurs jours après le début de la rumeur, toujours pas de déclaration officielle. Mais la censure de l’internet a démarré. C’est donc probablement vrai », écrit un internaute.
Sans faire directement allusion à ce hackage, le Premier ministre Li Keqiang a souligné lors d’une réunion du Conseil d’État le 6 juillet, « l’importance de la protection des données personnelles » – signe que Zhongnanhai a bien eu vent de l’affaire. Mais il est bien peu probable que Pékin reconnaisse publiquement un tel incident, car cela reviendrait à admettre aux citoyens que leurs données privées n’ont pas été suffisamment protégées par le gouvernement. Un comble pour l’État chinois qui vient de faire passer en novembre 2021 une loi pour mieux sécuriser ce type d’informations et mettre fin aux abus des entreprises privées en ce domaine.
Pendant ce temps, le gouvernement poursuit sa collecte massive des données personnelles de ses concitoyens, notamment au nom de la lutte contre la Covid, de manière à exercer un contrôle toujours plus important sur sa population. Jusqu’à présent, les citoyens ont accepté de se prêter au jeu en échange de davantage de sécurité. Cependant, le fait que cette fuite intervienne suite à une apparente négligence des autorités pourrait venir ébranler la confiance de la population et la rendre réticente à la poursuite de ce programme intrusif fait en leur nom. Le scandale des codes QR de santé détournés par les autorités locales du Henan en a déjà donné un avant-goût.
Sommaire N° 26-27 (2022)