Tech&Co
Données personnelles

Un hacker assure avoir dérobé les données personnelles d'un milliard de Chinois

Une cyberattaque auprès de la police de Shanghai a engendré la plus grande fuite de données chinoise.

Une cyberattaque auprès de la police de Shanghai a engendré la plus grande fuite de données chinoise. - Blogtrepreneur - Flickr - CC

Les données auraient été subtilisées auprès de la police de Shanghai. Il s’agirait du plus grand vol informatique jamais opéré en Chine.

La Chine est reconnue comme un territoire favorable à la cybercriminalité. Mais cette fois, l’ampleur est historique. La semaine dernière, les données personnelles de plus d’un milliard de résidents chinois ont été mises en vente. Il s’agirait de la plus grande fuite de données jamais subie dans le pays.

Le vol a été opéré auprès de la base de données de la police de Shanghai. Le hacker non-identifié, dont le pseudo est ChinaDan, a subtilisé plus de 23 terabytes de données volées. Elles ont été mises en vente, jeudi 30 juin, pour 10 bitcoins, soit plus de 192 000 euros.

Les données volées confirmées

Parmi les informations subtilisées figurent des noms, des adresses, des dates de naissances, des cartes d'identité ou des numéros de téléphone, liste Bloomberg. Cette fuite inclut également des casiers judiciaires remontant jusqu’à 1995.

Un extrait des données volées ont été diffusées par le hacker pour authentifier son vol. Les reporters du Wall Street Journal ont confirmé la véracité des données publiées, notamment en appelant les numéros divulgués.

Yi Fu-Xian, chercheur à l’université de Wisconsin-Madison, a également téléchargé les extraits de bases de données mis à disposition par le hacker. Il indique y avoir trouvé sa propre adresse dans le comté de Hunan.

“Les données contenaient des informations sur presque tous les comtés de Chine, et j'ai même découvert des données relatives à un comté éloigné au Tibet, où il n'y a que quelques milliers de résidents”, a-t-il confié à The Guardian.

Un vol depuis une filiale d'Alibaba

Pour l’heure, la méthode utilisée pour infiltrer la base de données de la police de Shanghai n’est pas connue. Néanmoins, les premières pistes se portent sur Aliyun, une entreprise du groupe Alibaba, spécialisé dans le “cloud” (service de stockage en ligne), indique Engadget.

Le malfaiteur aurait lui-même indiqué avoir utilisé Aliyun pour opérer son vol massif, comme l’explique Zeyi Yang, journaliste en Chine pour le MIT Technology review, sur Twitter.

Zhao Changpeng, le fondateur et PDG de Binance, une plateforme d’échange de cryptomonnaies, a expliqué que son entreprise a repéré une mise en vente massive de données. Les procédés de vérification de ses utilisateurs ont donc été relevés.

En 2016, une fuite avait propagé sur Twitter des informations sensibles sur des personnalités chinoises puissantes. Jack Ma, le fondateur d’Alibab en faisait notamment partie.

L’an dernier, le pays a adopté une loi régissant le traitement des informations et données personnelles de ses citoyens. Une enquête du New York Times avait montré l’objectif final du Parti communiste chinois (PCC): la collecte de toutes les informations liées à sa population. Cette fuite relance donc des inquiétudes récurrentes dans le pays.

Pierre Monnier