Les données du président Alberto Fernández et des superstars du football Lionel Messi et Sergio Aguero piratées
Un cybercriminel a piraté le système d’information du gouvernement argentin. Le pirate informatique a pénétré le Registre National des Personnes (RENAPER) et a volé les détails des cartes d’identité de toute la population du pays, parmi ces données figuraient celles du président argentin Alberto Fernández, de plusieurs journalistes et des superstars du football Lionel Messi et Sergio Aguero
Le RENAPER délivre, à titre exclusif, la Carte Nationale d’Identité (CNI), les passeports et tous ces rapports (certificats ou témoignages conformément à la loi) aux Argentins. Il s’agit d’un organe autarcique et décentralisé, dépendant du ministère de l’Intérieur par le biais du Secrétariat de l’Intérieur. Pour l’accomplissement de sa mission, le RENAPER exerce sa compétence sur l’ensemble du territoire de la Nation.
La première preuve que quelqu’un a violé RENAPER est apparue au début du mois sur Twitter, lorsqu’un compte nouvellement enregistré, nommé @AnibalLeaks, a publié les photos des cartes d’identité et les données personnelles de 44 célébrités argentines. Parmi ces données figuraient celles du président argentin Alberto Fernández, de plusieurs journalistes et personnalités politiques, et même celles des superstars du football Lionel Messi et Sergio Aguero. Un jour après la publication des images et des données personnelles sur Twitter, le pirate a également publié une annonce sur un forum de piratage bien connu, proposant de rechercher les données personnelles de tout utilisateur argentin.
Confronté à un repli médiatique après les fuites sur Twitter, le gouvernement argentin a confirmé une faille de sécurité trois jours plus tard. Dans un communiqué de presse publié le 13 octobre, le ministère de l’Intérieur a déclaré que son équipe de sécurité avait découvert qu’un compte VPN attribué au ministère de la Santé avait été utilisé pour interroger la base de données RENAPER. Les responsables ont ajouté que « la base de données RENAPER n’a subi aucune violation ou fuite de données », et les autorités enquêtent actuellement sur huit employés du gouvernement qui pourraient avoir joué un rôle dans cette fuite.
« Le Renaper a formulé hier une plainte devant le Tribunal pénal fédéral et après avoir constaté que, par l’utilisation de mots de passe accordés à des organismes publics, en l’occurrence le ministère de la Santé, des images ont été divulguées sur Internet. L’agence du ministère de l’Intérieur confirme qu’il s’agissait d’un cas de mauvaise utilisation ou de vol du mot de passe de l’utilisateur, et que la base de données n’avait fait l’objet d’aucune violation ou fuite », déclare le gouvernement argentin.Confirmant ce qui s’était passé, l’équipe de sécurité informatique de RENAPER a consulté les personnes concernées afin de vérifier les derniers accès sur le système d’information.
Selon l’équipe de sécurité informatique de RENAPER, une connexion suspecte aurait été effectuée sur la base de données RENAPER entre 15h01 et 15h55 en utilisant le service de validation des données SID qui, une fois le DNI et le sexe de la personne invoqués, renvoie à la personne consultante toutes les données imprimées sur la carte d’identité nationale, y compris l’image et d’autres données personnelles, qui ont ensuite été immédiatement publié sur Twitter. Le pirate a déclaré avoir une copie des données RENAPER, contredisant ainsi la déclaration officielle du gouvernement. L’individu a prouvé sa déclaration en fournissant les détails personnels.
« Peut-être que dans quelques jours, je vais publier les données de 1 ou 2 millions de personnes », a déclaré le cybercriminel. Il a également déclaré qu’il prévoyait de continuer à vendre l’accès à ces données à tous les acheteurs intéressés. Selon un échantillon fourni par le pirate en ligne, les informations auxquelles il a accès actuellement comprennent les noms et prénoms, les adresses personnelles, les dates de naissance, les informations sur le sexe, les dates d’émission et d’expiration des cartes d’identité, les codes d’identification du travail, les numéros de citoyen et les cartes d’identité avec photo du gouvernement.
Différentes plateformes permettent d’acheter ce type de données. Certaines sont en libre accès, sur internet, et accessibles par de simples requêtes sur un moteur de recherche. Certaines données sont en vente sur des forums, nécessitant une inscription préalable : certains forums, plus exclusifs, requièrent de montrer patte blanche : les membres doivent être cooptés, partager leurs connaissances ou montrer un certain niveau technique. Certaines données sont revendues sur des sites spécialisés, des places de marché, similaires à des sites commerçants traditionnels, sur Tor ou sur internet.
La population de l’Argentine est actuellement estimée à plus de 45 millions d’habitants, mais le nombre d’entrées dans la base de données n’est pas clair. Le pirate a prétendu tout avoir. Il s’agit de la deuxième faille de sécurité majeure dans l’histoire du pays après les Gorra Leaks en 2017 et 2019, lorsque des hacktivistes ont divulgué les détails personnels de politiciens et de forces de police argentins.
La conformité aux lois qui régissent la protection des données consiste avant tout dans la maîtrise d’un risque humain, celui du comportement des individus au sein même des entreprises et institutions. Pour gérer ce phénomène, les entreprises ont de plus en plus souvent recours à un DPO (i.e. Data Protection Officer). De nombreux juristes et ingénieurs, passionnés de nouvelles technologies, s’orientent aujourd’hui vers ce métier qui ouvre de formidables opportunités en matière d’évolution de carrière. Cette dimension humaine se retrouve également dans la nécessité d’acculturer les salariés aux différents risques. En Europe, la gestion des données personnelles anime les débats.
En 3 ans, le RGPD s’est imposé comme le nouveau texte sacré des entreprises en matière de traitement des données personnelles. Au regard des cyberattaques que subissent massivement les institutions et entreprises, il est essentiel que les entreprises procèdent à une application plus sérieuse de l’article 32 du RGPD qui les oblige à déterminer de manière précise les mesures techniques et organisationnelles qu’elles mettent en place pour les protéger.
source : 01net