Un pirate informatique propose de vendre une base de données de la police chinoise en cas de violation potentielle

Dans ce qui pourrait être l’une des plus importantes violations connues de données personnelles chinoises, un pirate informatique a proposé de vendre une base de données de la police de Shanghai qui pourrait contenir des informations sur peut-être un milliard de citoyens chinois.

Le pirate informatique non identifié, qui s’appelle ChinaDan, a publié la semaine dernière sur un forum en ligne que la base de données à vendre comprenait des téraoctets d’informations sur un milliard de Chinois. L’ampleur de la fuite n’a pas pu être vérifiée. Le New York Times a confirmé des parties d’un échantillon de 750 000 enregistrements que le pirate a publiés pour prouver l’authenticité des données.

Le pirate, qui a rejoint le forum en ligne le mois dernier, vend les données pour 10 Bitcoins, soit environ 200 000 dollars. L’individu ou le groupe n’a pas fourni de détails sur la façon dont les données ont été obtenues. Le Times a contacté le pirate via un e-mail sur le poste, bien qu’il n’ait pas pu être livré car l’adresse semblait être incorrecte.

L’offre du pirate de la base de données de la police de Shanghai met en évidence une dichotomie en Chine : bien que le pays ait été à l’avant-garde de la collecte de masses d’informations sur ses citoyens, il a moins bien réussi à sécuriser et à protéger ces données.

Au fil des ans, les autorités chinoises sont devenues expertes dans la collecte d’informations numériques et biologiques sur les activités quotidiennes et les relations sociales des gens. Ils analysent les publications sur les réseaux sociaux, collectent des données biométriques, suivent les téléphones, enregistrent des vidéos à l’aide de caméras de police et passent au crible ce qu’ils obtiennent pour trouver des modèles et des aberrations. Une enquête du Times le mois dernier a révélé que l’appétit des autorités chinoises pour l’information des citoyens ordinaires n’a fait que s’accroître ces dernières années.

Lire aussi  La pression pour que le chemin de fer emblématique de Tassie obtienne le statut de patrimoine national

Mais alors même que l’appétit de Pékin pour la surveillance s’est intensifié, les autorités ont semblé laisser les bases de données résultantes ouvertes au public ou les ont laissées vulnérables avec des garanties relativement faibles. Ces dernières années, le Times a passé en revue d’autres bases de données utilisées par la police en Chine.

Le gouvernement chinois s’est efforcé de renforcer les contrôles sur une industrie des données qui fuit et qui a alimenté la fraude sur Internet. Pourtant, l’application de la loi s’est souvent concentrée sur les entreprises technologiques, tandis que les autorités semblent exemptées des règles et sanctions strictes visant à sécuriser les informations des entreprises Internet.

Yaqiu Wang, chercheur principal sur la Chine à Human Rights Watch, a déclaré que si le gouvernement ne protège pas les données de ses citoyens, il n’y a aucune conséquence. Dans la loi chinoise, “il y a un langage vague sur les gestionnaires de données de l’État ayant la responsabilité d’assurer la sécurité des données. Mais en fin de compte, il n’y a aucun mécanisme pour tenir les agences gouvernementales responsables d’une fuite de données », a-t-elle déclaré.

L’année dernière, par exemple, Pékin a réprimé Didi, l’équivalent chinois d’Uber, après son effort d’inscription à la Bourse de New York, invoquant le risque que des informations personnelles sensibles puissent être exposées. Mais lorsque les autorités locales de la province chinoise du Henan ont utilisé à mauvais escient les données d’une application Covid-19 pour bloquer les manifestants le mois dernier, les responsables ont été largement épargnés de sanctions sévères.

Lire aussi  Les gros titres d'aujourd'hui du Telegraph

Lorsque de petites fuites ont été signalées par des soi-disant pirates informatiques, qui recherchent et signalent des vulnérabilités, les régulateurs chinois ont averti les autorités locales de mieux protéger les données. Même ainsi, assurer la discipline a été difficile, la responsabilité de protéger les données incombant souvent aux responsables locaux qui ont peu d’expérience en matière de supervision de la sécurité des données.

Malgré cela, le public chinois exprime souvent sa confiance dans le traitement des données par les autorités et considère généralement les entreprises privées comme moins dignes de confiance. Les fuites gouvernementales sont souvent censurées. Les informations sur la violation de la police de Shanghai ont également été pour la plupart censurées, les médias d’État chinois ne l’ayant pas signalée.

« Dans cette affaire de la police de Shanghai, qui est censé enquêter ? » a déclaré Mme Wang de Human Rights Watch. “C’est la police de Shanghai elle-même.”

Dans la publication en ligne du pirate informatique, des échantillons de la base de données de Shanghai ont été fournis. Dans un échantillon, les informations personnelles de 250 000 citoyens chinois – telles que le nom, le sexe, l’adresse, le numéro d’identification émis par le gouvernement et l’année de naissance – ont été incluses. Dans certains cas, la profession, l’état matrimonial, l’ethnicité et le niveau d’éducation des individus, ainsi que le fait que la personne ait été qualifiée de « personne clé » par le ministère de la sécurité publique du pays, ont également pu être trouvés.

Lorsqu’un journaliste du Times a appelé les numéros de téléphone de personnes dont les informations figuraient dans l’échantillon de données des dossiers de police, quatre personnes ont confirmé les détails. Quatre autres ont confirmé leurs noms avant de raccrocher. Aucune des personnes contactées n’a déclaré avoir eu connaissance de la fuite de données.

Dans un cas, les données ont fourni le nom d’un homme et ont indiqué qu’en 2019, il avait signalé à la police une escroquerie dans laquelle il avait payé environ 400 $ pour des cigarettes qui se sont avérées moisies. L’individu, joint par téléphone, a confirmé les détails décrits dans les données divulguées.

Le bureau de la sécurité publique de Shanghai a refusé de répondre aux questions sur la plainte du pirate. Les appels à l’Administration de la cybersécurité de Chine sont restés sans réponse mardi.

Sur les plateformes de médias sociaux chinois, comme Weibo et l’application de communication WeChat, les publications, articles et hashtags concernant la fuite de données ont été supprimés. Sur Weibo, les comptes d’utilisateurs qui ont publié ou partagé des informations connexes ont été suspendus, et d’autres qui en ont parlé ont déclaré en ligne qu’on leur avait demandé de se rendre au poste de police pour discuter.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Recent News

Editor's Pick