Mail, téléphone, IBAN, adresse… Searcher retrouve les données privées de millions de Français
Un nouveau moteur de recherche clandestin donne accès en quelques clics aux données personnelles extrêmement sensibles de millions de Français. Un outil puissant et effrayant qui ouvre la voie à des utilisations très dangereuses.
"Trouve n'importe qui en quelques secondes" : telle est la promesse effrayante de Searcher, un nouveau site Web qui a mis en ligne des informations privées et extrêmement sensibles de millions de Français.
En effet, comme le révèle la cellule du "Vrai ou Faux" de Franceinfo, alertée par les élèves d'un collège d'Essonne, un nouveau site Web, créé début juin, regroupe par le biais d'un moteur de recherche des millions de données confidentielles, incluant des noms et prénoms, des dates et lieux de naissance, avec des adresses postales, des adresses mail, des numéros de téléphone mais aussi des numéros de passeport, des IBAN (International Bank Account Number), des numéros de Sécurité sociale, des plaques d'immatriculation et même des rendez-vous médicaux et des nombres d'enfants.
Nos confrères ont également mis au jour des données liées à des personnalités publiques et à des fonctionnaires censés être protégés par l'État. Autant d'informations qui sont actuellement rendues accessibles à n'importe qui. En clair, tout ce qu'il faut pour harceler, pirater ou escroquer des victimes ! Et cela n'a pas plu à Anne Le Hénanff, ministre déléguée chargée de l'Intelligence artificielle et du Numérique, qui a indiqué à BFMTV se pencher sur ce dossier et saisir la justice en vertu de l'article 40 du code de procédure pénale.
Searcher : des millions de données sensibles à portée de clic
Contrairement à ce que pourrait laisser penser l'ampleur des informations divulguées, le service Searcher n'a officiellement pas été conçu pour voler des données. Il se présente en effet comme un service qui explore en permanence le Web afin d'identifier des bases de données, serveurs et espaces de stockage insuffisamment protégés, et rassemble ensuite toutes les informations.
Selon un de ses créateurs, il s'appuie sur des bases de données de 127 sources ouvertes et publiques, couvrant aussi bien "des plateformes administratives, des opérateurs de services et d'autres structures accessibles au public", comme le site de l'Insee par exemple. Il s'appuie également sur les bases de données obtenues lors de piratages et rendues publiques sur le Dark Web. Notons que, pour ne pas apparaître dans le moteur de recherche, il faut contacter l'équiper derrière la plateforme par un canal dédié sur Discord, mais le délai de suppression est de 29 jours.
La découverte de ces informations soulève inévitablement la question de la responsabilité des créateurs du moteur de recherche. Comme il s'agit d'un système d'indexation, ces derniers espèrent se dédouaner de toutes accusations judiciaires. Selon eux, ils ne font rien d'illégal, puisqu'ils se contentent de recenser des informations déjà exposées sur Internet. Ils ne sont ni propriétaires des données ni responsables de leur mise en ligne. Leur rôle se limite à signaler l'existence de contenus exposés, à l'image d'un moteur de recherche classique qui référence des pages web publiques. Ils indiquent d'ailleurs très clairement dans leur règlement que "l'utilisateur est seul responsable de l'usage qu'il en fait".
Un avis que ne partage visiblement pas la Commission nationale de l'informatique et des libertés (CNIL), qui a indiqué à franceinfo qu'"en l'état actuel du droit, ces services n'apparaissent pas conformes à la législation" car "ils fonctionnent en compilant les données issues de violations de données".
Searcher : des données temporairement accessibles gratuitement
Initialement, l'accès à ce site était payant. Toutefois, ses créateurs ont mis en place un essai gratuit qui devrait se dérouler jusqu'au 15 juin, afin de se faire connaître – ce qui n'est vraiment pas une bonne nouvelle. Mais, l'affaire ayant fait le tour des réseaux, ils ont décidé de la clore dès à présent et invitent les personnes intéressées à prendre un abonnement payant via leur Discord pour accéder à la plateforme.
Sur le serveur Discord en question, un des administrateurs répondant au pseudonyme CryptoCove explique ceci : "nous avons malheureusement dû fermer notre site public plus tôt que prévu. Le projet a pris une trop grande ampleur et certaines personnes jalouses qui se sont intéressées à des choses qui ne les concernaient pas ont tout fait pour essayer de faire fermer le site et nous apporter des soucis". Oui, ça doit être ça...
Pour l'instant, l'inscription coûte 10 euros la semaine, 35 euros le mois ou 75 euros par an. Des sommes relativement abordables au vu de la quantité et de la sensibilité des informations fournies. Les auteurs du site ont toutefois annoncé leur intention d'augmenter leurs tarifs assez rapidement. Ils ont d'ores et déjà posté un message pour inciter les utilisateurs à prendre un abonnement rapidement "pour garder l'accès à Searcher au tarif actuel", car "les prix vont augmenter prochainement".
Searcher : des conséquences qui peuvent être dramatiques
L'exposition de telles données n'est pas anodine. Individuellement, certaines informations peuvent sembler peu sensibles. Mais lorsqu'elles sont regroupées, elles constituent une véritable mine d'or pour les fraudeurs. Par exemple, les coordonnées d'identité associées à une adresse postale, un numéro de téléphone ou une adresse électronique permettent d'élaborer des campagnes d'hameçonnage très crédibles. Les victimes peuvent recevoir des messages semblant provenir de leur banque, de leur fournisseur d'énergie ou d'une administration publique, avec un niveau de personnalisation suffisant pour inspirer confiance.
La présence d'IBAN est également très préoccupante. Car si, seul, il ne permet pas de vider un compte, il peut, couplé à d'autres informations sensibles, permettre de réaliser des mandats SEPA. En effet, la mise en place des prélèvements automatiques, qui servent à régler de nombreuses dépenses courantes – factures d'électricité, de gaz ou d'eau, abonnements téléphoniques et Internet, plateformes de streaming, ou encore cotisations d'assurance et impôts –, ne s'accompagne pas toujours de contrôles d'identité stricts. Un cybercriminel qui dispose d'un IBAN associé à des données personnelles peut ainsi débiter un compte avec une relative facilité.
Même chose pour les numéros de sécurité sociale, qui peuvent permettre d'accéder à certains services publics, comme Ameli.fr, et d'exploiter des dispositifs d'authentification tels que France Connect. Et impossible de le changer s'il a été compromis !
Les données liées à des rendez-vous médicaux figurent parmi les informations les plus préoccupantes. Ce type d'informations bénéficie normalement d'une protection renforcée en raison de leur caractère particulièrement intime. Leur divulgation peut porter atteinte à la vie privée des personnes concernées et, dans certains cas, entraîner des discriminations ou des tentatives de chantage. Elles pourraient par exemple nuire à des candidats lors de vérifications menées par les ressources humaines pour des entretiens d'embauche, ou être utilisées comme moyen d'intimidation dans le cas de conflits familiaux, de voisinages tendus ou de situations de violences intrafamiliales.
Savoir que toutes ces informations sont mises gratuitement à la disposition de n'importe quel internaute, et notamment des personnes mal intentionnées, est donc réellement problématique. Et il n'y a absolument rien que le grand public puisse faire, si ce n'est rester constamment sur ses gardes. Une illustration de plus de l'ampleur des failles numériques et de l'impuissance des dispositifs de protection face à une exploitation des données désormais industrialisée.