Diffusion de données personnelles « User Friendly », le début d’une nouvelle tendance ?

Diffusion de données personnelles « User Friendly », le début d’une nouvelle tendance ?

Depuis plusieurs années, les vols de données personnelles se multiplient. Ainsi, entre 2020 et 2021, les fuites de données rapportées ont augmenté de 68% selon un rapport de l’Identity Theft Resource Center.[1]

Les fuites de données : un risque toujours très important

Qu’elles soient obtenues par l’installation d’une application malveillante sur smartphone, par la compromission d’une base de données d’entreprise ou via des campagnes de phishing, la majorité d’entre elles se retrouvent mises en vente ou simplement publiées sur différents espaces d’internet.

Ces données permettent à ceux qui les récupèrent de réaliser des usurpations d’identité, d’envoyer des mails de phishing plus ciblés ou d’accéder aux comptes des victimes sur différents sites.

Bien que ces données soient publiquement accessibles, leur format n’est pas toujours exploitable par le grand public. Il faut souvent procéder à un travail de tri et de valorisation des données brutes avant de pouvoir en tirer quelque chose. Sans compter que dans certains cas, les bases de données sont certes accessibles gratuitement, mais à des endroits bien spécifiques du web (parfois sur le dark web), inconnus de l’utilisateur lambda.

Saverudata : la face visible de l’iceberg ?

Cet état de fait n’est probablement pas définitif. En effet, le 22 mars 2022, le site saverudata.online a été créé[2]. Il a rassemblé une grande quantité de données appartenant à plusieurs millions de personnes résidant en Russie depuis différentes sources. Les données diffusées sont sensibles. Il s’agit des numéros de téléphone, noms, adresses postales, adresses email et parfois numéros de passeport.

La particularité de cette diffusion de données personnelles est que ces données sont mises à disposition via une interface facile à prendre en main pour tout un chacun. Il est possible d’effectuer une recherche par numéro de téléphone, email ou nom de famille. La visualisation des données sur une carte est aussi possible. Il est ainsi très facile de consulter les données disponibles sur ses voisins, ou sur toute personne dont le nom, le numéro de téléphone ou l’adresse email est connue.

Carte affichée sur le site
Exemple d’informations disponibles pour une personne

Ces données sont issues de cyberattaques connues, soupçonnées ou de la collecte automatisée de données disponibles publiquement (scraping). L’information la plus sensible dans ce cas semble être l’adresse postale d’une personne. Il est en effet plus difficile de changer d’adresse postale que de numéro de téléphone.

Le créateur du site n’a pas été identifié publiquement. Sa motivation réelle est difficilement discernable. Un texte explicatif[3] présent sur le site laisse penser que ses intentions sont bienveillantes et liées à la prévention sur l’usage des informations personnelles ; mais le fait de rendre accessibles aussi facilement des données sans les masquer apparaît plutôt malveillant car elles peuvent être vues par tous les visiteurs du site et pas seulement les personnes concernées. Le site a été bloqué en Russie par le régulateur (Roskomnadzor) car il a été jugé illégal.[4]


Une multitude d’entreprises et d’informations ciblées

La liste des sources dont sont issues les informations disponibles est longue et contient même des services publics.

Contexte et informations disponibles par source

Le site étant régulièrement approvisionné en nouvelles informations, ces bases de données seront probablement complétées par de nouvelles, à mesure que le créateur les obtient. Par exemple, une base de données appartenant aux laboratoires pharmaceutiques Gemotest (гемотест) a fuité début mai.[16] Cette base de données contient 30 millions de lignes d’informations médicales extrêmement sensibles, comme des résultats de tests VIH, ou autres examens médicaux.

Cette base de données n’est pour le moment pas présente sur le site, mais pourrait y être ajoutée dans le futur.

Recommandations :

Cette fuite de données a très majoritairement impacté des citoyens russes. Cependant, les citoyens français ne sont pas à l’abri de ce type de diffusion à l’avenir. Si vous êtes amenés à figurer dans ce type de fuite et de diffusion de données personnelles, les recommandations sont les suivantes :

  • Tout message se réclamant des entreprises concernées doit être considéré comme une potentielle tentative d’escroquerie.
  • Le changement des identifiants des différents comptes est également recommandé.
  • Il est recommandé de demander le changement du digicode permettant d’accéder à son immeuble, s’il a été divulgué par l’un des résidents au service de livraison.
  • Commencer à opérer depuis une nouvelle adresse email personnelle, voir un nouveau numéro de téléphone, semble également pertinent au vu de la popularité des sites qui diffusent ce type d’informations et des risques accrus de phishing par des attaquants détenant des informations précises.

Conclusion :

C’est la première fois qu’une interface accessible aussi facilement et « user friendly » est utilisée pour diffuser des données personnelles.

D’autres acteurs et groupes hacktivistes, cybercriminels ou liés à des états pourraient trouver un intérêt à créer ce type de plateforme de diffusion dans le futur.

Par exemple :

  • Un groupe hacktiviste pourrait publier les adresses physiques de personnes désignées comme hostiles et inciter le grand public à les agresser, à l’image des nombreuses fuites de données liées à la guerre en Ukraine.
  • Un acteur cybercriminel pourrait proposer à la vente des informations personnelles à l’unité en permettant une recherche par nom de famille ou sur une carte.
  • Un acteur étatique pourrait cibler les élites d’un pays en diffusant ou menaçant de diffuser massivement leurs informations personnelles afin de les atteindre.

Sources

[1] https://www.idtheftcenter.org/post/identity-theft-resource-center-2021-annual-data-breach-report-sets-new-record-for-number-of-compromises/

[2] https://www.forbes.ru/tekhnologii/465853-v-seti-poavilas-karta-s-uteksimi-dannymi-gibdd-andeks-edy-i-sdek

[3] « Depuis le début de l’opération militaire spéciale de la Russie en Ukraine, des cyberattaques massives contre les ressources web russes ont entraîné la mise en ligne illégale de nombreuses données personnelles. Nous avons constaté à quel point notre vie privée n’était pas appréciée et avons décidé de lancer une nouvelle version du site web. Le tribunal a condamné Yandex.Edu à une amende de 60 000 roubles pour la fuite de données sur les clients, c’est-à-dire les adresses de livraison et les données personnelles coûtant 0,009 rouble par utilisateur(6397035 utilisateurs). De plus en plus d’informations tombent entre les mains de criminels qui peuvent les utiliser pour vous intimider ou vous tromper. Pour comprendre les risques, vous pouvez vérifier quelles sont les informations personnelles dont disposent les fraudeurs et les criminels. » (En russe sur le site, traduit avec www.DeepL.com)

[4] https://www.forbes.ru/tekhnologii/459941-v-seti-poavilas-karta-s-uteksimi-dannymi-pol-zovatelej-andeks-edy

[5] https://www.securitylab.ru/news/530855.php

[6] https://www.rbc.ru/technology_and_media/15/09/2021/6141a7db9a79470ed99ad5ff

[7] https://www.rbc.ru/technology_and_media/20/05/2022/628743c29a794739ae553a0f

[8] https://t.me/s/data1eaks

[9] https://www.kommersant.ru/doc/4441300

[10] https://www.kommersant.ru/doc/5041801

[11] https://www.vice.com/en/article/d7yyqv/another-day-another-hack-100-million-accounts-for-vk-russias-facebook

[12] https://www.kommersant.ru/doc/5258826

[13] https://ria.ru/20220518/dannye-1789185297.html

[14] https://yandex.ru/company/services_news/2022/01-03-2022

[15] https://yandex.ru/blog/company/dannye-kotorye-my-ne-uberegli-i-uroki-kotorye-my-izvlekli

[16] https://www.forbes.ru/tekhnologii/464697-v-set-utekla-baza-dannyh-klientov-gemotesta


Arthur Gautier

Analyste CERT