Au Brésil, une fuite de données critiques déballe la vie de la quasi-totalité des citoyens
Difficile d'imaginer pire désastre. Mardi 19 janvier, l'entreprise de sécurité PSafe identifiait une fuite très inquiétante, puisqu'elle permettait d'accéder à plusieurs données critiques de plus de 220 millions de Brésiliens, soit plus que le total de la population (et pour cause : la base contient aussi des données de personnes décédées).
Trois jours plus tard, le site spécialisé Tecnoblog a découvert que non seulement un malfaiteur avait découvert la fuite et téléchargé les données (en août 2019), mais qu'en plus, il les avait mis en ligne sur un forum de vente accessible à n'importe qui. Une partie des données peut se télécharger gratuitement, l'autre s'achète au détail.
Un détail de données effrayant
Si l'on parle de données critiques, c'est notamment parce que la base contient le « Cadastro de Pessoas Físicas » (CPF) des victimes, et même dans certains cas une photocopie de la carte sur lequel ce numéro est inscrit. En France, l'équivalent du CPF serait le numéro fiscal, l'identifiant lié au paiement des impôts. La seule présence du CPF suffit à envisager des risques de fraude ou d'usurpation d'identité.
Mais en plus, il s'accompagne d'une variété de données d'une précision effrayante. Prenez une grande respiration, voici une liste non exhaustive de ce que contient la base sur chaque individu, ou presque :
Nom, prénom, date de naissance, nom des deux parents, statut marital, niveau d'éducation.
Email, numéro de téléphone, adresse (nom précis de la rue, mais aussi coordonnées GPS).
Plusieurs équivalents du numéro de sécurité sociale, et le détail de certaines prestations régulières, similaires à celles de la caisse d'allocation familiale française.
Des détails sur le foyer : nombre de personnes, niveau de revenu.
Des détails sur le travail : nom et identifiant légaux de l'employeur, type d'emploi, statut du poste, date d'embauche, salaire, nombre d'heures par semaine.
Des estimations de revenu : ce calcul prend en compte le salaire, le loyer, ou encore la perception d'une éventuelle rente. Ces données servent à classer les personnes par niveau de classe sociale (baisse, moyenne, haute) et par niveau de revenu.
Toutes sortes de données financières : le détail du score de crédit ; le nom des débiteurs et le statut des dettes ; l'identifiant de la banque des mauvais payeurs.
Avec tous ces éléments, le fichier, bien qu'en format texte, pèse plus de 14 gigaoctets. Dans le détail, il contient 37 bases de données distinctes, signe que le malfaiteur a eu accès au système entier d'une entreprise, et non seulement à une ou deux bases mal sécurisées.
Une entreprise de crédit à l'origine de la fuite ?
Qui peut bien posséder un tel volume de données critiques ? Le revendeur a donné au fichier le nom « Serasa Experian », nom d'une entreprise brésilienne spécialisée dans le crédit. Bien qu'on ne puisse croire sur parole le cybercriminel, la base contient plusieurs calculs financiers utilisés par Seresa Experian, dont celui de Mosaic, un de ses services de classification dédiés au ciblage publicitaire. L'entreprise incriminée a déclaré qu'elle avait ouvert une enquête, mais qu'elle n'avait pour l'instant trouvé aucune trace d'intrusion sur son système.
En attendant d'en savoir plus sur les événements qui ont mené à la fuite, le Brésil va devoir gérer une crise de cybersécurité nationale, et une véritable crise de confiance dans les communications. La base de données est une opportunité en or pour les cybercriminels, petits comme grands. Elle va permettre de mettre en place des phishings massifs, et de sélectionner les cibles les plus pertinentes parmi la quasi-intégralité de la population. Concrètement, les malfaiteurs peuvent cibler les personnes avec un faible niveau d'éducation, celles habitants dans une certaine région ou encore s'attaquer aux hauts revenus. Pas besoin de chercher un moyen de les contacter, tout est dans la base. Ils peuvent décliner leur attaque par email, téléphone ou lettre en fonction de leur cible…
D'autres utilisations pourraient avoir d'encore plus grandes conséquences. À l'heure où la menace rançongicielle plane sur les entreprises, ce genre de fuite en augmente considérablement les risques. Pour rappel, ces malwares se répandent sur les systèmes des entreprises victimes et chiffrent tout ce qu'ils trouvent. Les logiciels de l'entreprise (emails, suite de bureautiques, outils professionnels...) deviennent inutilisables, de même pour les équipements informatiques (ordinateurs, photocopieuse, portiques de sécurité...), et les documents confidentiels ne peuvent plus être lus. C'est alors que les malfaiteurs demandent une rançon -- comprise entre quelques centaines de milliers et plusieurs dizaines de millions d'euros -- contre une promesse de lever du blocage des systèmes.
Pour s’introduire chez leurs victimes, les malfrats visent les employés de l'organisation cible qui disposent d’un haut niveau de responsabilité et d'accès au réseau. L'objectif : infecter le patient zéro qui a le plus de chance de contaminer rapidement le reste du réseau. Ils créent donc des phishings sur-mesure, qu'ils nourrissent de données collectées par eux-mêmes ou dans des fuites. C’est ici que se trouve l’intérêt de la base de données attribuée à Serasa Experian. Elle permet cibler directement les personnes d’intérêt, puisqu’elles sont indiquées comme telles dans le fichier. Mieux, elle fournit un volume de détail plus que suffisant pour construire un phishing très convaincant.
Si toutes les fuites de données n'ont pas forcément de conséquence, celle-ci pourrait modeler les prochaines années de la cybersécurité brésilienne.