Image [1] par Gerd Altmann, Pixabay.
[L'article original a été publié le 21/10/2020. Sauf indication contraire, les liens cités sont en ukrainien, ndt.]
Ukrainiennes et Ukrainiens prennent lentement conscience de l’importance de protéger les données depuis que plusieurs fuites d’informations personnelles sensibles ont été médiatisées. Mais, à l’approche des élections du 25 octobre, c'est une véritable mine d’informations personnelles appartenant à des électrices et électeurs qui a été rendue accessible en ligne, créant des conditions idéales pour que certains acteurs politiques, intérieurs comme étrangers, s’en servent afin de répandre de manière ciblée de fausses informations et autres contenus malveillants.
En mai 2020, le militant ukrainien Volodymyr Flonts alertait l’opinion publique [2] au sujet du chatbot @UA_baza. Cet agent de conversation anonyme vendait les données personnelles de citoyennes et de citoyens ukrainiens sur la populaire application de messagerie Telegram. Apparu seulement quelques mois plus tôt, le chatbot affirmait avoir agrégé 900 Go de données, parmi lesquels numéros de passeport, numéros d’identification fiscale, domiciles déclarés, permis de conduire, mots de passe de réseaux sociaux et même coordonnées bancaires [3], appartenant à des millions d’Ukrainiens et Ukrainiennes. @UA_baza proposait gratuitement cinq entrées de la base de données et en vendait la totalité pour 500 dollars [4]. La liste des informations divulguées le montre clairement : elles ne peuvent pas seulement provenir de sources accessibles à tous en ligne. Mais alors, d’où peuvent-elles bien sortir ?
Capture d’écran 1 : Options de demandes de données auprès du bot Telegram @UA_baza. Elles comprennent des données sensibles telles que les numéros de passeport ou les identifiants fiscaux. Capture d’écran du 12/05/2020, compte désactivé le jour même.
En Ukraine, il existe un grand nombre de bases de données officielles et officieuses, contenant les informations personnelles des citoyens et des citoyennes du pays. On y trouve les registres nationaux, établis et administrés par divers organismes dans le cadre du service public, des bases de données consommateurs, ainsi que d’autres jeux de données, probablement de nature commerciale et dont l’origine est difficile à déterminer. Le Registre national des électeurs fait partie des bases de données majeures établies par l’État [5] ; il contient des informations sensibles concernant des millions de personnes. Il est entretenu par un organisme spécifique, appartenant à la Commission centrale électorale (CCE). La réglementation de l’accès à ce registre est tellement stricte [6] que l’un des candidats aux élections de 2019 s’en est plaint [7] lors d’un épisode célèbre : pour y trouver des irrégularités, il aurait dû mettre 6 000 ans à le passer au peigne fin. Cependant, et malgré des procédures de sécurité apparemment draconiennes, des cyberactivistes d’Ukraine ont signalé l’existence de vulnérabilités sur le site Web du registre. À la même période, les membres de la CCE reconnaissaient publiquement le manque de personnel qualifié en informatique et cybersécurité parmi les fonctionnaires, en raison de l’importante différence salariale entre le secteur public et les entreprises.
Les entités commerciales, comme les compagnies de télécommunications, la grande distribution en ligne [8], les banques [9] [en] et les entreprises logistiques [10] [en], bâtissent leurs propres jeux de données clients. De plus, les informations concernant consommatrices et consommateurs sont rassemblées et partagées dans le cadre de plusieurs programmes de fidélité nationaux. Certains d’entre eux forment un réseau comptant plus de 90 boutiques en ligne [11] et des millions de clientes et de clients, situés partout en Ukraine. En règle générale, les entreprises de plus petite taille disposent de leurs propres bases. Si les grandes sociétés ont pour habitude de n’accorder à des tiers l’accès à leurs données qu’à des fins publicitaires, la vente de données clients en ligne est beaucoup plus courante dans le monde des petites entreprises. La Loi sur la protection des données personnelles [12] ukrainienne interdit bien la vente des données de consommatrices et consommateurs sans leur consentement éclairé, mais le pays manque de contrôles et mécanismes efficaces pour enquêter sur tous ces cas, ou pour obliger les organisations contrevenantes à rendre des comptes.
Le volume et la nature des données offertes à la vente sur le chatbot @UA_baza ont suffi pour susciter un tollé et entraîner une enquête officielle [13]. Le bot lui-même s’est rapidement déconnecté, mais on ne sait pas encore avec certitude s’il a été supprimé par ses créateurs ou par Telegram. Toutefois, plusieurs comptes sont réapparus peu après sous des noms similaires. Une enquête journalistique sur l’incident a suggéré que les données concernées par la fuite combinaient des éléments issus de registres gouvernementaux, dont des versions anciennes du Registre national des électeurs [4] et le Registre démographique unifié, de bases de données commerciales ainsi que des réseaux sociaux.
Même si cette source constituait la plus grande agrégation de données jamais effectuée, ce n’était pas la première fuite de données personnelles en ligne appartenant à des citoyennes et des citoyens ukrainiens. En 2018, une base de données clients comptant 18 millions [14] d’entrées et issue de la plus grande société logistique du pays, Nova poshta, a été divulguée. En 2019, les forces de l’ordre ont arrêté une personne vendant une base de données appartenant aux Douanes ukrainiennes [15]. Enfin, en juin 2020, des journalistes ont confirmé la divulgation d’une base client de PrivatBank [16], une des banques les plus importantes du pays. Avant l’apparition du désormais célèbre bot Telegram, des ensembles de données de ce type figuraient à la vente en ligne sur d’obscurs panneaux d'affichage ; ailleurs, une simple recherche sur Internet permettait de débusquer de petits vendeurs de données proposant la compilation de bases personnalisées [17] à la demande, avec noms, prénoms, numéros de téléphone, sexe et adresses électroniques.
Capture d’écran 2 : options de demandes de données proposées par un bot Telegram vendant les données de citoyens. Capture d’écran du 15/20/2020.
Alors que les élections locales du 25 octobre approchent, le commerce en ligne de données personnelles ukrainiennes se poursuit. Il y a peu, un compte Telegram imitant le nom du bot désactivé @UA_baza annonçait la mise en vente de bases de données d’électrices et d’électeurs. Ce compte a beau être faux, il compte plus de 16 000 abonnés. Cependant, d’autres bots Telegram proposant à la vente de petits sous-ensembles de données personnelles existent, et ce depuis au moins 2018. L’un d’entre eux (voir capture d’écran n° 2) relie les numéros de téléphone à des noms, puis cherche d’autres données associées, comme les adresses électroniques, les photos, les comptes de médias sociaux, les entreprises immatriculées, ou les numéros de plaque d’immatriculation. Il répond des requêtes individuelles gratuitement ou en échange de numéros de téléphone issus du carnet de contact d’un utilisateur. Cette pratique encourage les utilisateurs et les utilisatrices à transmettre les données d’autres personnes à leur insu et sans leur consentement. Les ensembles de données plus importants, eux, sont vendus pour la modique somme de 50 dollars américains. Restés anonymes, les créateurs du bot affirment avoir constitué leurs ensembles de données à partir de « sources ouvertes », comme les sites Web de recherche d’emploi. Cependant, certaines personnes ont reconnu des données fournies à des organismes privés, ce qui pourrait prouver que le bot utilise des bases de données consommateurs qui ont fuité [18].
Le chatbot responsable de la vente du plus vaste ensemble de données n’est plus en ligne, l’indignation du public est retombée, mais le volume de données personnelles toujours accessible expose un très grand nombre de citoyennes et de citoyens au risque de recevoir du contenu potentiellement malveillant. Dans la ville de Novi Sanzhary, des troubles liés à l’arrivée d’Ukrainiens de la ville chinoise de Wuhan frappée par le coronavirus ont ainsi été provoqués par des publications sur des groupes Viber, sur Instagram et sur Facebook [19]. C’est la preuve que l’accès non désiré à des millions de numéros de téléphone peut conduire à répandre de fausses informations, à provoquer la panique générale ou des émeutes sur un territoire donné, à l’aide des applications de messagerie populaires et des réseaux sociaux. Nombre de ces jeux de données piratés contiennent des informations personnelles et commerciales sensibles ; il est donc difficile de prévoir où elles referont surface. Cependant, il est manifeste que des acteurs aussi bien intérieurs qu’extérieurs à l’Ukraine pourraient aisément exploiter des données de ce type dans divers contextes, notamment en politique.