Prénom, nom, numéro de carte d’identité, numéro de téléphone, numéro fiscal, et même dans certains cas le salaire et une photo d’identité… Vendredi 21 mai, un individu sous le pseudo « Kotz » a proposé à la vente une base de données qui d’après lui contenait les informations de 279 millions citoyens indonésiens, soit plus que la population actuelle du pays. Puisqu’il publiait cette annonce depuis un compte nouvellement créé sur un forum de fuite de données célèbre, il y a joint comme preuve, un échantillon contenant les données d’un million de personnes.

Après des tests aléatoires sur certains profils de l’échantillon, le gouvernement a annoncé dans un communiqué qu’il déclenchait une enquête approfondie. Et d’après The Bleeping Computer, plusieurs journalistes locaux ont pu confirmer l’authenticité des données. Certaines d’entre elles ont toutefois expiré ou appartiennent à des défunts. Cela explique que le nombre de profils de la base dépasse le total de la population.

ump_logo1.gif

Le ministère de la communication indonésien a annoncé des mesures pour réagir à la fuite de données. // Source : Kominfo

Pour contenir la fuite de données, le gouvernement, par le biais de son ministère de la communication, a organisé une campagne de censure de l’internet local, d’après d’après KrAsia. Il a demandé aux fournisseurs d’accès internet (FAI) de bloquer l’accès à plusieurs sites, à commencer par Raid Forums, le site où l’annonce a été publiée. Il s’agit du plus populaire des forums de fuite de données, accessible sans passer par un réseau particulier comme Tor, au contraire de certains repaires de cybercriminels. Raid Forums est, en quelque sorte, la partie la plus visible de l’écosystème des fuites de données, et ses publications sont scrutées par tous : cybercriminels, autorités, chercheurs.

Contenir une fuite de données, mission impossible

Avant même que le gouvernement n’annonce la censure, la publication de Kotz a été supprimée sans que l’on ne sache si c’est le fait de son auteur ou d’un modérateur. Toléré par les autorités, Raid Forums — comme la plupart des ‘forums de hackers’ — modère parfois les publications qui pourraient menacer sa pérennité. Reste que même si la publication d’origine n’existe plus, d’autres utilisateurs continuent d’ouvrir des sujets avec des liens vers la base de données.

Pour accompagner la censure du forum, le gouvernement a donc aussi bloqué plusieurs plateformes de téléchargement comme Mega, Bayfiles et Anonfiles, où étaient hébergées des copies de la fuite. L’objectif espéré : empêcher les téléchargements directement à la source, et contrôler la fuite avant qu’elle ne prenne trop d’ampleur.

Il suffit d’un VPN pour contourner la censure

Avec cette opération de censure, le gouvernement indonésien s’essaie à la tâche impossible de contenir une fuite de données. Comme le soulignait à Cyberguerre une des figures du milieu, le fondateur de Have I Been Pwned Troy Hunt « [après une fuite] la donnée est déjà accessible à n’importe qui, et on ne peut pas la remettre là d’où elle vient. » De même, une fois qu’une fuite a été publiée sur une plateforme aussi connue que RaidForums, elle devient pratiquement publique. Autrement dit, elle va être dupliquée des milliers de fois ; agrégée à d’autres bases de données ; publiée à intervalles réguliers sur des forums ainsi que sur Discord, Telegram et d’autres plateformes.

Bref, l’action du gouvernement indonésien revient à essayer d’éteindre un feu de forêt avec un extincteur. Un extincteur qui plus est défectueux. Comme le rapporte The Record Media, il suffit aux Indonésiens d’utiliser un proxy ou un VPN (qui peuvent être gratuits) pour contourner la censure. Cette mésaventure prouve à nouveau qu’une fois que l’incident de cybersécurité a eu lieu, il est trop tard pour réagir.

Désormais, le pouvoir local essaie d’identifier l’origine de la fuite — qui pourraient potentiellement toujours être ouverte –, et cherche du côté de l’équivalent indonésien de l’Assurance maladie. Plusieurs médias relèvent qu’une base de données similaire (de ‘seulement » 200 millions de personnes) avait déjà été mise à la vente en mai 2020, et les deux incidents pourraient avoir la même origine.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !