[Enquête Numerama] Une base de données issue d’une application de crypto est vendue par plusieurs malfaiteurs sur une plateforme fréquentée par les pirates. Les fichiers contiennent de nombreux documents d’identité provenant de citoyens français.

Au moins 1 500 photos de cartes d’identité et passeports français circulent sur divers forums en ce moment même, à la date du 12 septembre 2022. La fuite proviendrait d’AlphaEx, une application d’échanges de crypto-monnaies désormais fermée. Contacté par Numerama, le malfaiteur a fourni deux échantillons : une carte d’identité et un passeport de citoyens français.

Le pirate nous a proposé cinq dollars par document officiel. Le lot total de 1 500 fichiers est vendu pour 3 000 dollars, soit deux dollars le pack de photos. Ce dernier contient également un selfie, en plus des papiers d’identité. Pendant la création d’un compte, les applications de finance demandent souvent de capturer son visage pour le comparer aux photos sur les cartes et les passeports.

Annonce hacker
L’annonce de la vente de documents d’identité sur un forum fréquenté par les hackers. // Source : Numerama

Lorsque nous avons demandé d’où provient la fuite de données, le hacker nous a répondu qu’elle appartiendrait à Skrill, une application britannique de paiement en ligne. On ne peut croire un pirate sur parole : nous avons donc échangé avec Pay Safe, la maison mère de cette société basée à Londres, pour les prévenir de ces accusations. Après investigation en interne, le groupe de banque en ligne nous a confirmé qu’aucune faille ou fuite de données n’a été détectée par leurs experts en cyber. En revanche, les photos fournies par le pirate ont déjà été utilisées pour de l’usurpation d’identité auprès de cette application.

« Nous pouvons confirmer que nous avons déjà vu des éléments des données fournies dans l’échantillon. La photo de l’intérieur du passeport nous a été fournie précédemment dans le cadre d’une tentative d’enregistrement frauduleux de compte, qui a été stoppée par nos processus stricts et n’a pas abouti à la création d’un compte Skrill », nous a répondu une porte-parole.

« Nous soupçonnons fortement que les données proposées à la vente sont des données qui ont été auparavant compromises et récoltées soit à partir d’une violation du site Web d’un tiers (non lié à Skrill), soit à partir d’un exercice de phishing malveillant. Ces données sont en grande circulation sur le dark web ».

Un risque d’usurpation d’identité

Numerama a alerté la victime concernée par l’échantillon fourni par le hacker. Elle nous a confirmé avoir utilisé l’application d’échange de crypto-monnaies AlphaEx. La société basée à Malte s’était spécialisée dans la XDC, une cryptodevise « écologique », mais a finalement mis la clé sous la porte en août 2021. Toutefois, elle a entre temps été victime d’une cyberattaque en décembre 2020 et près de 22 000 pièces d’identité provenant de plusieurs pays – États-Unis, France, Royaume-Uni, Pologne, Australie et bien d’autres – sont toujours en circulation sur des forums fréquentés par les hackers. Nous avons constaté qu’on peut encore trouver trois annonces de vente de la base de données d’AlphaEx sur une célèbre plateforme de mise en relation entre pirates.

Annonce hacker
La base de données d’AlphaEx est encore en vente sur le forum. // Source : Numerama

En cas de fuite massive d’informations, il est recommandé de contacter la Cnil, la Commission nationale de l’informatique, qui est en mesure de prononcer des sanctions, validées ensuite par le Conseil d’État. Or, dans ce cas précis, l’autorité en charge des violations dans la protection des données ne peut plus agir, car la société en question n’existe plus.

Maintenant, que doivent faire les victimes d’une fuite de documents officiels sur le web ? Lorsqu’il s’agit de papiers d’identité, la brigade numérique de la gendarmerie nous recommande de les changer dès que possible. « Avec une simple photocopie de passeport et un justificatif de domicile, un usurpateur peut ouvrir un compte en ligne ou souscrire à des services financiers particuliers », nous indiquent les forces de l’ordre.

Toutefois, il faut apporter la preuve d’une fuite de données pour pouvoir remplacer sa pièce d’identité. Si vous avez utilisé AlphaEx avant sa fermeture, on vous recommande de prendre les démarches nécessaires.