Fuite de données critiques au Brésil

Un tsunami a atteint le Brésil le 19 janvier 2021. Une base de données contenant des informations détaillées sur 104 millions de véhicules et des données sur 40 millions d’entreprises, déballe la quasi-totalité de la vie des citoyens.

Les données exposées concernent plus de 220 millions de Brésiliens, soit plus que le total de la population (la base contient aussi des données de personnes décédées). L’entreprise de sécurité Psafe identifiait le 19 janvier 2021 une fuite extrêmement inquiétante. Trois jours plus tard, le site Tecnoblog expliquait qu’une personne ayant découvert ladite fuite avait téléchargé des données critiques, en août 2019, raconte sur son cybermagazine, Numerama.

Ces données sont critiques parce que la base contient le « Cadastro de Pessoas Físicas » (CPF) des victimes, l’équivalent de notre cher Trésor public, le centre des impôts en France. L’équivalent du CPF serait le numéro fiscal, l’identifiant lié au paiement des impôts. En effet, Le CPF est un document d’identité qui se révèle indispensable pour tout un tas de formalités au Brésil par exemple ouvrir un compte en banque, faire une carte de transport, ouvrir une ligne téléphonique et bien entendu aussi en vue de l’obtention d’un visa. La seule présence du CPF suffit à envisager des risques de fraude ou d’usurpation d’identité, puisqu’il enregistre les données des véhicules, des sociétés et des Brésiliens.

220 millions de Brésiliens concernés

Au total, c’est 37 bases qui comprennent l’état civil, la liste des parents, l’adresse complète, avec latitude et longitude, le niveau d’éducation, le salaire, le revenu, le pouvoir d’achat… mais pas seulement. Il s’accompagne d’une variété de données d’une précision effrayante. Voici une liste non exhaustive de ce que contient la base sur chaque individu :

• Nom, prénom, date de naissance, nom des deux parents, statut marital, niveau d’éducation.
• E-mail, numéro de téléphone, adresse (nom précis de la rue, mais aussi coordonnées GPS).
• Plusieurs équivalents du numéro de sécurité sociale, et le détail de certaines prestations régulières, similaires à celles de la caisse d’allocation familiale française.
• Des détails sur le foyer : nombre de personnes, niveau de revenu.
• Des détails sur le travail : nom et identifiant légaux de l’employeur, type d’emploi, statut du poste, date d’embauche, salaire, nombre d’heures par semaine.
• Des estimations de revenu : ce calcul prend en compte le salaire, le loyer, ou encore la perception d’une éventuelle rente. Ces données servent à classer les personnes par niveau de classe sociale (baisse, moyenne, haute) et par niveau de revenu.
• Toutes sortes de données financières : le détail du score de crédit ; le nom des débiteurs et le statut des dettes ; l’identifiant de la banque des mauvais payeurs.

Jusqu’à 50 millions de Réaux d’amende

Le directeur du laboratoire dfndr, Emilio Simoni s’est exprimé : « […] les données sont utilisées pour des escroqueries de phishing, une fois que le cybercriminel a le CPF et d’autres données réelles de la personne, il serait facile de se faire passer pour un service légitime et utiliser l’ingénierie sociale pour obtenir des données plus critiques de la victime, qui pourraient être utilisées pour demander des prêts, des mots de passe bancaires et des contrats de service, prévient-il. Les cybercriminels mettent à disposition une partie des bases pour prouver la véracité des informations obtenues et tentent d’une manière ou d’une autre de profiter de ces incidents, en vendant des données telles que les e-mails, les numéros de téléphone, le pouvoir d’achat et les données d’occupation des personnes concernées. » Dans la déclaration, PSafe n’indique ni le nom de la société impliquée ni la manière dont les informations ont été divulguées, que ce soit en raison d’une faille de sécurité, d’une invasion de hackers ou d’un accès facile. La nouvelle loi brésilienne, de protection des données personnelles (Lei Geral de Proteção de Dados pessoais, LGPD n° 13.709/18), inspirée du RGPD européen prévoit des sanctions, qui ne seront appliquées qu’à partir d’août 2021. Les entreprises qui ne respecteraient pas les nouvelles obligations paieraient une amende de 2 % de son chiffre d’affaires dans la limite de 50.000.000 Réaux (environ 7, 7 millions d’euros).