Un nouveau moteur de recherche a fait son apparition, indexant 1,2 milliard de données sensibles appartenant à des millions de Français. Allant de l'IBAN au numéro de Sécurité sociale, ces informations proviennent de fuites antérieures. Bien que ses créateurs se défendent, la justice a été saisie face à ce qui constitue un cas flagrant de recel de données.
Un site internet permet, avec une simple recherche par nom, de consulter une fiche d'identité détaillée sur des millions de citoyens français. C'est en découvrant que ce portail permettait à leurs élèves d'accéder facilement à leurs coordonnées privées que des enseignants d'un collège de l'Essonne ont donné l'alerte en saisissant Franceinfo. Nom, adresse, IBAN, numéro de passeport, plaque d'immatriculation et même des informations médicales sont accessibles, créant un risque majeur de sécurité. La plateforme agrège des informations issues de nombreuses cyberattaques passées.Comment fonctionne cette plateforme et d'où viennent les données ?
Le principe de ce site est de compiler des informations issues de multiples sources. L'un de ses créateurs, un jeune de 18 ans connu sous le pseudonyme « Zalko », affirme que le site s'appuie sur environ 135 sources différentes. Celles-ci incluent des plateformes administratives et des services publics, mais surtout une grande quantité de fichiers issus de fuites de données qui circulaient déjà sur le dark web.
Le logiciel développé par l'équipe de Zalko agit comme un puissant moteur de recherche qui automatise la collecte et l'indexation de ces informations, les rendant facilement interrogeables. Les créateurs se défendent en expliquant qu'ils ne font que récupérer des données déjà rendues publiques suite à des cyberattaques, une vision que les autorités ne partagent pas. Au total, 1,2 milliard de données circuleraient sur la plateforme.Quelle est la légalité d'un tel service et quelles sont les réactions ?
La réponse des autorités a été rapide et sans équivoque. La CNIL (Commission nationale de l'informatique et des libertés) a affirmé que ces services ne sont pas conformes à la législation, car ils reposent sur la compilation d'informations issues de violations. En droit français, cette pratique s'apparente à du recel de données, une infraction pénale passible de lourdes peines de prison et d'amendes.
Face à la polémique, le gouvernement a réagi. La ministre déléguée au Numérique a saisi la justice en vertu de l'article 40 du code de procédure pénale. De son côté, le député Éric Bothorel a également signalé plusieurs sites similaires, rappelant que « le recel de data volées est un crime ». Ces plateformes, appelées « lookups », ne sont pas nouvelles, mais ce site a particulièrement attiré l'attention par son accès temporairement gratuit, destiné à créer le buzz.
Que peuvent faire les victimes et quel est l'avenir de ces données ?
Les créateurs du site proposent une option pour demander la suppression de ses données personnelles via leur serveur Discord, avec un délai annoncé de 29 jours. Cette solution est limitée, car elle n'efface pas les informations déjà consultées par des tiers. Initialement gratuit, le service est rapidement passé à un modèle payant avec des abonnements allant jusqu'à 250 euros pour un accès à vie.
Selon les experts en cybersécurité comme Clément Domingo (alias SaxX sur X), la situation est très préoccupante. Il souligne que même si un site comme celui-là est fermé, deux ou trois autres le remplacent rapidement. Il alerte sur le fait que ces informations, une fois exposées, risquent de circuler sur internet « à vie ». Leur compilation représente évidemment un commerce lucratif et dangereux pour la sécurité des citoyens.
merci à GNT
