Dans un monde où la sécurité des données est devenue une préoccupation majeure, la fuite massive de données de National Public Data viennent rappeler les dangers inhérents à l’ère numérique. Plus de 2 milliards d’enregistrements diffusés par des pirates.

✨ LES INFOS DE LA SEMAINE, CHAQUE SAMEDI, PAR COURRIEL ! ✨
✨ Ne manquez rien ! Abonnez-vous et restez informé ! ✨

La fuite de données concernant National Public Data, rendue publique sur le forum pirate Breached, a mis en lumière l’ampleur des risques auxquels les individus sont exposés lorsque leurs informations personnelles sont mal protégées. Une fuite que ZATAZ vous révélait en avril 2024. Quelques semaines plus tard, une autre société de « contrôle », World-Check se retrouvait, elle aussi infiltrée.

Concernant NPD, la base de données, mise en vente pour 3,5 millions de dollars, est désormais disponible au grand public, soulignant la facilité avec laquelle des informations sensibles peuvent se retrouver dans de mauvaises mains. Et ce n’est pas les cas révélés par ZATAZ concernant LDLC, Sport2000, SFR, la Ville des Lilas ou encore cette étrange base de données Jeux Olympique France et ce « don » d’un million de CB qui viendront malheureusement éclairer un tableau déjà bien sombre.

Une fuite de données sans précédent ?

La fuite de données de National Public Data concerne 2,7 milliards d’enregistrements, comprenant des noms, des adresses, et des numéros de sécurité sociale. Ces informations, cruciales aux États-Unis où le numéro de sécurité sociale est un identifiant clé, ouvrent la porte à des fraudes potentielles d’une ampleur considérable. Ce qui rend cette fuite particulièrement préoccupante, c’est non seulement la quantité d’informations exposées, mais aussi la nature sensible de ces données.

Le Service Veille ZATAZ avait déjà repéré cette base de données bien avant qu’elle ne soit rendue publique sur Breached. Cette découverte avait eu lieu dans deux espaces VIP : un chat privé sur Telegram, accessible uniquement sur invitation, et un forum russophone. Ces canaux, souvent utilisés par des courtiers en données, sont des lieux où circulent des informations volées, échappant à la surveillance du plus grand nombre.

A noter que fin juillet, ZATAZ a pu lire ceci « près de 80 gigaoctets de l’énorme base de données publique nationale ont été divulgués. Les crédits reviennent à nos amis nord-coréens. » le mot de passe de cette BDD était le nom du dictateur Nord-Coréen.

La première diffusion date de juillet, via un site pirate russe. – Capture écran ZATAZ.COM

Certaines informations sont vieilles mais restent dangereuses

Il est important de noter que si cette fuite affecte potentiellement une grande partie de la population américaine et canadienne, toutes les données ne sont pas nécessairement à jour. Certaines informations, bien que vérifiées, ne correspondent pas à la réalité actuelle, suggérant que certaines parties de la base de données sont obsolètes ou inexactes, modifiée ou tronquées par les pirates. Néanmoins, la nature historique des informations – couvrant parfois plus de 30 ans de vie économique d’individus – reste une mine d’or pour les criminels.

En plus des informations personnelles, certains enregistrements incluent des détails sur les proches des individus, ce qui pourrait aggraver l’impact de cette fuite.

RECEVEZ LES INFOS ZATAZ DIRECTEMENT SUR VOTRE TÉLÉPHONE ✨✨
Abonnez-vous maintenant et restez à la pointe de l’info ! ✨

L’infiltration d’avril : Un prologue à la fuite

Au mois d’avril 2024, les données de se courtier avaient été annoncés à la vente. Une action qui semble avoir été un prélude à la révélation actuelle. Spécialisé dans des vérifications similaires à celles des services de sécurité (comme les banques), ce courtier possédait des informations sur 2,9 milliards de dossiers, incluant non seulement des Américains, mais aussi des Canadiens.

Pour comprendre l’ampleur de cet événement, il est intéressant de le comparer à d’autres violations majeures de données, notamment celle de Yahoo en 2013. Cette attaque, qui avait compromis les informations de trois milliards de comptes utilisateurs, reste à ce jour l’une des plus importantes de l’histoire. À l’époque, Yahoo avait dû faire face à des procédures judiciaires coûteuses, se soldant par un règlement de 150 millions de dollars. Bien que les deux incidents diffèrent par leur contexte et les types de données exposées, ils partagent une similarité troublante : la vaste échelle des informations compromises et les conséquences potentiellement dévastatrices pour les personnes concernées.

Les conséquences pour les utilisateurs et les entreprises

Les fuites de données de cette envergure ont des répercussions profondes et durables. Pour les utilisateurs, cela signifie une augmentation du risque de fraude, de vol d’identité et d’autres formes d’exploitation criminelle. Les numéros de sécurité sociale, en particulier, sont une cible de choix pour les fraudeurs cherchant à usurper l’identité des individus. Le fait que cette fuite inclut des informations remontant à plusieurs décennies rend la situation encore plus complexe, car même les personnes n’ayant pas été actives sur le plan économique récemment peuvent être exposées. Attention, si vous avez travaillé en Amérique du Nord, vous risquez d’être présents dans cette base de données.

Pour les entreprises, cette fuite représente un rappel brutal de l’importance de la cybersécurité. Les recours collectifs auxquels National Public Data fait face ne sont que le début des problèmes juridiques et financiers qui l’attendent. Dans un contexte où la réglementation autour de la protection des données devient de plus en plus stricte, les entreprises ne peuvent plus se permettre de négliger la sécurité de leurs bases de données.

Les leçons à retenir

La fuite de données de National Public Data, bien que tragique pour les individus concernés, offre des leçons importantes pour les entreprises et les consommateurs. Pour les entreprises, elle souligne la nécessité d’investir massivement dans la cybersécurité et de ne jamais sous-estimer les risques liés à la gestion des données personnelles. Pour les consommateurs, elle rappelle l’importance de la vigilance et de la protection de ses informations personnelles, même lorsque celles-ci semblent sécurisées. Une veille, comme celle proposée par le Service Veille ZATAZ, pourrait vous aider à être plus rapide que les pirates.

En fin de compte, cette affaire s’inscrit dans une série d’événements qui montrent que, malgré les progrès technologiques, la sécurité des données reste une tâche complexe et en constante évolution. Comme l’affaire Yahoo avant elle, la fuite de National Public Data pourrait bien marquer un tournant dans la manière dont les données sont gérées et protégées à l’avenir. Et à quelques semaines des élections présidentielles américaines, les données pourraient être exploitées à des fins politiques malveillantes.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (16) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Médaille d'argent du 1er CTF Social Engineering Canadien, en 2023, lors du HackFest de Québec. Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.