Une violation présumée de données concernant 2,9 milliards de dossiers déclenche une hystérie médiatique et une action en justice contre les données publiques nationales
Les récentes rumeurs d’une fuite massive de données impliquant National Public Data (NPD), un important service de vérification d’antécédents, ont enflammé les médias et déclenché de nombreuses poursuites judiciaires. Malgré l’attention généralisée, la vérité derrière cette prétendue fuite reste entourée d’incertitude, avec peu de preuves concrètes pour étayer ces allégations.
Table des matières
Un tweet qui a déclenché une tempête de feu
Les premières rumeurs d'une éventuelle violation ont fait surface le 8 avril 2024, lorsqu'un utilisateur nommé HackManac a publié sur X (anciennement Twitter) un article sur un nombre stupéfiant de 2,9 milliards de dossiers prétendument exfiltrés des bases de données du NPD. Selon le message, les données, qui comprennent des dossiers de citoyens des États-Unis, du Canada et du Royaume-Uni, étaient proposées à la vente par un acteur malveillant connu sous le nom d'USDoD pour 3,5 millions de dollars. Malgré la gravité de l'affirmation, le message a été largement ignoré par les médias grand public et le NPD n'a pas émis de réponse.
Ce premier post a été suivi d'un autre le 2 juin 2024, provenant de vx-underground, une communauté de cybersécurité bien connue. Ils ont affirmé avoir examiné un échantillon des données et confirmé leur authenticité. Une fois de plus, les médias et le NPD sont restés silencieux.
Les retombées juridiques du début des recours collectifs
La situation a pris une tournure dramatique le 1er août 2024, lorsque Christopher Hofmann a intenté un recours collectif contre NPD. Hofmann a allégué que ses informations personnelles identifiables (PII) avaient été compromises lors de la violation, citant une notification de son service de protection contre le vol d'identité. Cette action en justice, ainsi que trois autres intentées par de prétendues victimes, n'ont pas encore fourni de preuve concrète reliant directement les données exfiltrées à NPD.
Le procès de Hofmann, qui utilise le post de vx-underground comme principale preuve, est truffé d'incohérences. Par exemple, il attribue initialement la violation au Département de la Défense américain, mais des corrections ultérieures ont indiqué qu'un autre acteur malveillant, connu sous le nom de SXUL, pourrait en être responsable. En outre, le procès gonfle le nombre de dossiers de 2,9 milliards à « des milliards d'individus », un chiffre dépassant de loin la population combinée des États-Unis, du Canada et du Royaume-Uni.
Une possible expédition de pêche ?
Les experts suggèrent que le procès ne vise pas tant à prouver la culpabilité de NPD qu'à contraindre l'entreprise à fournir des preuves de son innocence. Aux États-Unis, les tribunaux peuvent exiger des accusés qu'ils divulguent des informations susceptibles de prouver ou de réfuter les accusations portées contre eux. Cette stratégie, souvent qualifiée de « pêche aux informations », pourrait être l'objectif principal de l'équipe juridique de Hofmann.
Ilia Kolochenko, PDG d'ImmuniWeb et expert juridique, a souligné que de telles tactiques sont plus courantes aux États-Unis qu'en Europe, où la charge de la preuve incombe généralement au plaignant. Si le tribunal oblige NPD à divulguer des informations sur la violation présumée, cela pourrait entraîner des conséquences importantes pour l'entreprise.
La situation dans son ensemble et ce que nous savons jusqu'à présent
Malgré les poursuites judiciaires et l'engouement médiatique, il n'existe toujours aucune preuve définitive que la NPD ait été piratée. Les données qui circulent peuvent provenir d'autres sources ou avoir été compilées à partir de documents publics, plutôt que d'avoir été exfiltrées de la NPD. Même des sources fiables comme Bleeping Computer, qui a examiné des échantillons des données divulguées, n'ont pas pu confirmer que les informations provenaient de la NPD.
De plus, cette prétendue violation soulève des questions quant au volume de données prétendument volées. Les experts ont exprimé leur scepticisme quant à la faisabilité de l’exfiltration de 2,9 milliards de dossiers sans détection, compte tenu notamment de la nature sensible des informations traitées par le NPD.
L'avenir incertain : en attendant la vérité
Jusqu'à présent, NPD n'a pas commenté la violation présumée et n'a fait aucune divulgation officielle aux organismes de réglementation aux États-Unis, au Royaume-Uni ou au Canada. La vérité sur cette violation ne pourrait être révélée que si les tribunaux exigent une réponse formelle de NPD.
Entre-temps, ces allégations ont suscité une vive inquiétude et de nombreuses spéculations. Il reste à voir si ces allégations seront fondées ou non, mais cette situation nous rappelle les risques potentiels associés aux violations de données à l'ère numérique.
En attendant de plus amples informations, il est essentiel d'aborder la situation avec prudence. Si l'on ne peut exclure la possibilité d'une faille au sein du NPD, le manque de preuves concrètes signifie que la vérité pourrait être plus complexe que ne le suggèrent les gros titres.