Des données provenant de milliers de catalans, découvertes après le référendum

0

Le référendum catalan a occupé, depuis dimanche dernier, tous les journaux. Cependant, hier les nouvelles ont dépassé la portée politique pour entrer pleinement dans l’actualité du monde de la cybersécurité puisque la Generalitat de Catalogne a apparemment mis à la disposition de toute personne connaissant le cryptage tous les recensements de la communauté autonome en raison d’un échec dans le système de cryptage utilisé par l’institution lors du référendum.

Le nom, le prénom, le code postal, le DNI et la date de naissance sont les données qui pourraient déjà circuler dans le réseau puisque le système de cryptage des données recueillies secrètement et utilisé par les autorités catalanes pour reproduire le recensement qui a permis le référendum du Dimanche 1er octobre est, selon les experts « facilement déchiffrable ».

Cette décision rendue publique par The Hacker News s’appelle IPFS et « est un système P2P qui crée un réseau social dans lequel les fichiers sont stockés sans intermédiaires », explique Antonio Gonzalo, fondateur d’Ethereum Madrid. L’expert affirme que «le contenu téléchargé sur le réseau est public et tout le monde peut le voir », de sorte que, si ces données ne sont pas cryptées, elles peuvent être accessibles à toute personne ayant une connaissance de base du cryptage. « Si je ne me consacre pas à la sécurité informatique et je n’ai qu’une connaissance de base de la cryptographie, je l’ai remarqué, les cybercriminels peuvent le savoir aussi », explique Antonio Gonzalo sur Twitter.

17278153-21790864

Au cours des jours qui ont précédé la consultation catalane, le gouvernement espagnol a essayé par tous les moyens de fermer les sites internet informant les citoyens catalans sur l’endroit où ils devaient voter. Ainsi, ils essaient d’éviter le vote car il est impossible d’y accéder si les citoyens ne connaissent pas où ils doivent voter. Les autorités espagnoles ont donc bloqué l’accès aux webs successifs qui contiennent ces données, de sorte que la Generalitat a choisi d’utiliser un système de réplication du contenu.

Ainsi, Carles Puigdemont lui-même, président de la Generalitat, a trouvé une alternative qui rendrait possible la consultation: une application par laquelle les citoyens obtiendraient de telles informations.

La Generalitat a répliqué les contenus établis dans ces sites (y compris la base de données). De cette façon, les citoyens catalans pouvaient consulter le collège électoral dans lequel ils devaient voter. Le problème ? Que «ces données suivent un schéma simple et répondent à un nombre limité de combinaisons – 365 jours par an, 23 lettres possibles dans un NIF … que par une attaque de force brute et en quelques heures, peut permettre l’accès à toutes les données du recensement « , explique Antonio Gonzalo, qui ajoute que « une grande partie de la clé de déchiffrement est prévisible « puisque » n’importe qui peut en déduire que dans un code postal particulier au cours d’une année donnée, il y aura une séquence spécifique pour compléter les données et obtenir le recensement complet des habitants de Catalogne.

En bref, les données de tout citoyen qui apparaît dans ce recensement pourraient être menacées et être utilisées par les cybercriminels pour effectuer un certain type de fraude. N’oublions pas que le vol de données est devenu ces dernières années l’une des attaques favorites des cybercriminels.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @drodriguezleal.

Leave A Reply