IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une base de données chinoise volée est en vente sur un forum de discussion,
Alors que le gouvernement est resté silencieux, les plateformes Weibo et WeChat ne l'étaient pas

Le , par Bruno

3PARTAGES

19  0 
Un cybercriminel a proposé sur un forum d'informations et de discussions sur les violations de données de vendre ce qu'il affirme être une base de données contenant des enregistrements de plus d'un milliard de civils chinois, prétendument volés à la police de Shanghai. Au cours du week-end, des rapports ont commencé à faire état d'un message posté sur un forum de Breached.to. « En 2022, la base de données de la police nationale de Shanghai (SHGA) a été divulguée. Cette base de données contient plusieurs TB de données et d'informations sur des milliards de citoyens chinois. »

HackerDan a proposé de vendre le lot pour 10 bitcoins soit environ 200 000 dollars. Il a publié des échantillons de données : l'un contient des adresses de livraison et souvent des instructions pour les conducteurs ; un autre contient des dossiers de police ; et le dernier contient des informations d'identification personnelle comme le nom, le numéro d'identification national, l'adresse, la taille et le sexe.


La Chine dispose d'une police nationale, qui a sans doute un bureau à Shanghai. Mais il est difficile de trouver une entité appelée « police nationale de Shanghai ». Les médias ont néanmoins pu vérifier que le contenu de l'échantillon quelle qu'en soit la source est fiable.

Alors que le gouvernement et le département de la police de Shanghai sont restés largement silencieux sur la fuite, les plateformes de médias sociaux Weibo et WeChat ne l'étaient pas, du moins jusqu'à dimanche après-midi, lorsque les utilisateurs de Weibo ont commencé à avoir des hashtags bloqués liés à la fuite de données.

En 2020 déjà, un universitaire américain a révélé l'existence d'une base de données de 2,4 millions de personnes qui, selon lui, avait été compilée par une société chinoise connue pour fournir des informations à des agences de renseignement, militaires et de sécurité. Le chercheur avait allegué que le but de la base de données etait de permettre la conduite d'opérations d'influence contre des personnes éminentes et influentes en dehors de la Chine.

Son nom est Chris Balding, professeur associé à l'Université Fulbright du Vietnam.

Selon lui, l'entreprise en question s'appelle « Shenzhen Zhenhua ».

Le chercheur en sécurité Robert Potter et Balding ont co-écrit un article affirmant que cette base de données est baptisée « Overseas Key Information Database » (OKIDB) et que si la plupart d'entre ces données auraient pu être extraites des médias sociaux ou d'autres sources accessibles au public, 10 à 20% de ces informations ne semblent provenir d'aucune source publique d'information. Les co-auteurs n'excluent pas le piratage comme source de ces données, mais affirment également qu'ils ne peuvent trouver aucune preuve d'une telle activité.

« Un objectif fondamental semble être la guerre de l'information », ont déclaré les deux hommes.

Lundi, une voix inhabituelle s'est jointe à l'analyse de l'événement actuel : Changpeng Zhao, le PDG de la bourse de cryptomonnaies Binance. Zhao s'est exprimé sur Twitter en ces termes : « Nos services de renseignement sur les menaces ont détecté un milliard de dossiers de résidents à vendre sur le dark web, y compris le nom, l'adresse, l'identité nationale, les numéros de téléphone mobile, les dossiers de police et les dossiers médicaux d'un pays asiatique. Probablement dû à un bug dans le déploiement d'Elastic Search par une agence gouvernementale. »

Il a ensuite tweeté à nouveau, cette fois en affirmant que « cet exploit s'est produit parce que le développeur de gov a écrit un blog technique sur CSDN et a accidentellement inclus les informations d'identification ».

Quelle que soit la source de la fuite, elle va fortement contrarier la Chine. Le gouvernement du pays a récemment donné la priorité à la protection des données personnelles et à la sécurité des infrastructures critiques. La Chine place le consentement continu au centre de la loi sur la protection des données. La réglementation qui entrera en vigueur le 1er novembre donnera même à votre famille des droits sur vos données après votre départ de l'hôpital.

La Chine a adopté une loi qui, selon les autorités, « perfectionne » les dispositions existantes en matière de protection des données personnelles.
La nouvelle « loi sur la protection des informations personnelles de la République populaire de Chine » est entrée en vigueur le 1er novembre 2021. Elle comprend huit chapitres et 74 articles qui énoncent des mesures à la fois strictes et vagues sur la manière dont les données sont collectées et gérées, sur les droits des individus et sur l'identité du propriétaire final des données.

C'est ce qu'a déclaré l'Administration chinoise. Sur la base des lois pertinentes, la loi affine et perfectionne les principes et les règles de traitement des informations personnelles à suivre dans la protection des informations personnelles, clarifie les limites des droits et obligations dans les activités de traitement des informations personnelles, et améliore les systèmes et mécanismes de travail pour la protection des informations personnelles.

Le document décrit les processus normalisés de traitement des données, définit les règles relatives aux big data et aux opérations à grande échelle, réglemente les personnes qui traitent les données, traite des données qui circulent au-delà des frontières et décrit l'application juridique de ses dispositions. Il précise également que les organismes d'État ne sont pas à l'abri de ces mesures.

L'Administration chinoise affirme que le consentement à la collecte de données est au cœur des lois chinoises et que la nouvelle législation exige un consentement préalable continu, à jour et pleinement informé de l'individu. Les parties qui recueillent des données ne peuvent pas exiger des informations excessives ni refuser des produits ou des services si l'individu s'y oppose.

La personne dont les données sont collectées peut retirer son consentement, et le décès ne met pas fin aux responsabilités du collecteur d'informations ni aux droits de la personne, il ne fait que transmettre le droit de contrôler les données à la famille du sujet décédé. Les responsables du traitement des informations doivent également prendre « les mesures nécessaires pour garantir la sécurité des informations personnelles traitées » et sont tenus de mettre en place des systèmes de gestion de la conformité et des audits internes.

Pour collecter des données sensibles, comme les données biométriques, les croyances religieuses et les comptes médicaux, sanitaires et financiers, les informations doivent être nécessaires et protégées. Avant la collecte, il doit y avoir une évaluation d'impact, et l'individu doit être informé de la nécessité des données collectées et de leur impact sur les droits personnels.

Il est intéressant de noter que la loi cherche à empêcher les entreprises d'utiliser le big data pour s'attaquer aux consommateurs. Par exemple en fixant le prix des transactions ou pour tromper ou frauder les consommateurs sur la base de caractéristiques ou d'habitudes individuelles. En outre, les plateformes de réseaux à grande échelle doivent établir des systèmes de conformité, rendre compte publiquement de leurs efforts et externaliser les mesures de protection des données. Selon une annonce de l'Administration du cyberespace de Chine (CAC), les cyberattaques sont actuellement fréquentes dans l'Empire du Milieu, et les infrastructures d'information critiques sont confrontées à de graves problèmes de sécurité.

La CAC a qualifié les infrastructures critiques de « centre nerveux des opérations économiques et sociales et de priorité absolue de la sécurité des réseaux ». La définition chinoise des infrastructures d'information critiques se résume à tout système susceptible de subir des dommages importants à la suite d'une cyberattaque, et/ou de voir une telle attaque porter atteinte à la société en général, voire à la sécurité nationale.

Source : Breach

Et vous ?

Quel est votre avis surle sujet ?

Voir aussi :

Une base de données d'une entreprise chinoise donne des détails sur 2,4 millions de personnes influentes et leurs proches parents. Shenzhen Zhenhua fournit des infos à des agences de renseignement

Un administrateur informatique en colère efface les bases de données de son employeur et écope de 7 ans de prison

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de tatayo
Expert éminent sénior https://www.developpez.com
Le 07/07/2022 à 16:34
Citation Envoyé par Jeff_67 Voir le message
Espérons que le leak sera rendu public, et qu'un site web dédié facilitera les recherches, ça promet d'être intéressant.
Si la même chose se passait en France (et que la police avait autant de données "privées" que la police chinoise, évidemment), je doute fort que tu sois tout aussi impatient de voir tes données publiques exposées sur le net.

Tatayo.
14  0 
Avatar de nadjim
Membre habitué https://www.developpez.com
Le 07/07/2022 à 20:28
Citation Envoyé par Jeff_67
Espérons que le leak sera rendu public, et qu'un site web dédié facilitera les recherches, ça promet d'être intéressant.
Sincèrement vous êtes vraiment exaspérants, comme si vous étiez obligés de parler de leak alors que le terme fuite existe. Cela devient lassant de voir de l'anglais pour tout et n'importe quoi. Leaker est même devenu un verbe qu'on se permet de conjuguer en français.
8  1 
Avatar de
https://www.developpez.com
Le 07/07/2022 à 18:21
Citation Envoyé par tatayo Voir le message
Si la même chose se passait en France (et que la police avait autant de données "privées" que la police chinoise, évidemment), je doute fort que tu sois tout aussi impatient de voir tes données publiques exposées sur le net.

Tatayo.
J'ajoute une chose : aucune base de données n'est sûre à 100%. Par sécurité il faut partir du principe que toute donnée sensible détenue par autrui est vouée à fuiter, tôt ou tard.

Le vrai problème dans cette histoire, c'est que la police chinoise se soit permise de récolter autant d'informations sur les citoyens à la base.
5  1 
Avatar de Coeur De Roses
Membre actif https://www.developpez.com
Le 07/07/2022 à 17:30
Citation Envoyé par tatayo Voir le message
Si la même chose se passait en France (et que la police avait autant de données "privées" que la police chinoise, évidemment), je doute fort que tu sois tout aussi impatient de voir tes données publiques exposées sur le net.

Tatayo.
Et ouai, quand il s'agit des données des autres, certains n'ont pas vraiment de considération, excepté s'il s'agit de leur propre données.
3  1 
Avatar de OrthodoxWindows
Membre expert https://www.developpez.com
Le 07/07/2022 à 11:38
Citation Envoyé par Jeff_67 Voir le message
Espérons que le leak sera rendu public, et qu'un site web dédié facilitera les recherches, ça promet d'être intéressant.
Une chose qui est certaine, c'est que ce serait bien si cette fuite pouvait contribuer à affaiblir le régime chinois (je ne minimise cependant pas les conséquences individuelles sur les victimes).
0  1 
Avatar de
https://www.developpez.com
Le 07/07/2022 à 18:14
Citation Envoyé par tatayo Voir le message
Si la même chose se passait en France (et que la police avait autant de données "privées" que la police chinoise, évidemment), je doute fort que tu sois tout aussi impatient de voir tes données publiques exposées sur le net.

Tatayo.
Bien au contraire, ça m'intéresserait beaucoup de savoir ce que la police sait sur moi, si je suis une personne "clé" ou pas, si je risque de disparaitre au milieu de la nuit, etc...
2  3 
Avatar de totozor
Expert confirmé https://www.developpez.com
Le 08/07/2022 à 7:39
Citation Envoyé par Jeff_67 Voir le message
Bien au contraire, ça m'intéresserait beaucoup de savoir ce que la police sait sur moi
J'avoue que ça me titille aussi, par contre ça me titille beaucoup moins que tout le monde y ai accès, même s'il n'y a probablement pas grand chose à apprendre ça reste ma vie privée.
Citation Envoyé par Jeff_67 Voir le message
si je suis une personne "clé" ou pas, si je risque de disparaitre au milieu de la nuit, etc...
rassurez vous, les réponses sont non et non, si c'était le cas vous le sauriez déjà

Citation Envoyé par nadjim Voir le message
Sincèrement vous êtes vraiment exaspérants, comme si vous étiez obligés de parler de leak alors que le terme fuite existe.[...]
La police de la francophonie est autant fatiguante, la langue évolue et son utilisation avec.
Et de mon point de vue (et je me trompe peut être), dans se cadre, leak est une fuite massive de données particulièrement sencibles.
Ainsi, utiliser leak permet de préciser la gravité de la fuite en évitant d'en faire tout une phrase.
1  5 
Avatar de
https://www.developpez.com
Le 06/07/2022 à 18:30
Espérons que le leak sera rendu public, et qu'un site web dédié facilitera les recherches, ça promet d'être intéressant.
0  6