La Chine face à un marché noir florissant des données personnelles : entre surveillance étatique et cybercriminalité

Une enquête approfondie révèle l'existence d'un vaste écosystème illégal de trafic de données personnelles en Chine, où employés d'entreprises technologiques et fonctionnaires gouvernementaux détournent et commercialisent des informations sensibles. Les chercheurs en sécurité de SpyCloud, Kyla Cardona et Aurora Johnson, ont mis en lumière ce phénomène lors de la conférence Cyberwarcon, soulignant l'ampleur préoccupante de ces activités qui touchent même les hauts responsables du Parti Communiste Chinois.

Le système repose sur des "bases de données d'ingénierie sociale" (SGKs) qui agrègent des informations personnelles obtenues par diverses sources, notamment via l'inspection approfondie des paquets (DPI) effectuée par les principaux opérateurs télécoms chinois. Les courtiers en données recrutent activement des initiés au sein des entreprises et des administrations, leur promettant des revenus quotidiens allant de 20 000 à 70 000 yuans pour la fourniture d'informations confidentielles.

Ces bases de données contiennent un éventail impressionnant d'informations personnelles : profils détaillés, données bancaires, dossiers médicaux, reconnaissance faciale, et même des antécédents judiciaires. L'accès à ces informations est commercialisé via des canaux Telegram et le dark web, avec des services de recherche basiques proposés entre 1 et 5 dollars, tandis que les recherches premium, basées sur des données dérobées par des initiés, sont facturées plus cher.

L'ampleur du phénomène est considérable, avec l'une des principales plateformes SGK comptant plus de 317 000 abonnés et environ 90 000 utilisateurs mensuels par service de recherche. Les chercheurs ont démontré qu'il était possible d'obtenir des informations sensibles sur des membres haut placés du PCC, des militaires, et même des cybercriminels recherchés par le FBI.

Cette situation présente un paradoxe notable : alors que le gouvernement chinois impose une surveillance technologique massive, les données collectées se retrouvent vulnérables aux détournements et à l'exploitation criminelle. Ce phénomène représente non seulement un risque majeur pour la vie privée des citoyens chinois, mais offre également aux chercheurs occidentaux en cybersécurité une source précieuse pour traquer les acteurs malveillants ciblant les infrastructures critiques.

L'existence de ce marché noir sophistiqué souligne les limites du système de surveillance chinois et met en évidence les vulnérabilités inhérentes à la collecte massive de données personnelles, même dans un environnement hautement contrôlé. Cette situation pose des questions cruciales sur l'équilibre entre surveillance étatique et protection des données personnelles, tout en révélant les défis complexes de la cybersécurité dans un contexte géopolitique tendu.

Source : The Register