Des enseignants d’un collège de l’Essonne ont découvert que leurs élèves pouvaient accéder librement à l’intégralité de leurs informations personnelles sur un site apparu il y a quelques semaines. Derrière cet épisode révélateur, une réalité plus large : 1,2 milliard de données circulent sur une plateforme accessible à tous, compilant numéros de sécurité sociale, IBAN, rendez-vous médicaux et plaques d’immatriculation.
Une agrégation de fuites transformée en service grand public
C’est la cellule Vrai ou Faux de franceinfo qui a révélé le fonctionnement de ce site fonctionnant comme un moteur de recherche : en quelques clics, il restitue nom, prénom, date et lieu de naissance, adresse postale, numéro de passeport, IBAN, données médicales ou encore composition familiale d’un individu. Franceinfo a par ailleurs identifié des données relatives à des fonctionnaires normalement protégées, ainsi que des informations concernant des proches de personnalités publiques.
L’un des créateurs du site, se présentant sous le pseudonyme “Zalko” et âgé de 18 ans, a accepté de s’expliquer auprès de franceinfo. Il revendique l’exploitation d’une centaine de sources, mêlant plateformes administratives ouvertes et bases de données issues de piratages diffusées sur le darkweb. Le raisonnement avancé : une donnée rendue publique à la suite d’une cyberattaque cesserait d’être privée. Un logiciel développé en interne automatise cette collecte et croise les sources, y compris celles de l’INSEE. “Zalko” affirme ne pas craindre de poursuites et se dit prêt à défendre sa position devant la justice.
Une riposte juridique et technique encore incertaine
La CNIL a tranché sur le plan réglementaire : ces services “n’apparaissent pas conformes à la législation” dès lors qu’ils compilent des données issues de violations. La ministre déléguée chargée de l’Intelligence artificielle et du Numérique a de son côté saisi la justice sur le fondement de l’article 40 du code de procédure pénale. Le site, initialement gratuit jusqu’au 15 juin, a entre-temps basculé vers un modèle payant, avec des tarifs affichés à 10 euros la semaine et 35 euros le mois, les créateurs envisageant de les multiplier par deux ou trois.
Sur le terrain technique, le hackeur éthique Clément Domingo, alias SaxX, contacté par franceinfo, juge la situation “édifiante” sans pour autant être optimiste sur les moyens d’y remédier. Il pointe la logique économique qui sous-tend ces compilations de bases de données, et souligne la résistance structurelle de ces plateformes : supprimer l’une d’elles en fait aussitôt apparaître plusieurs autres. Sa conclusion est sans appel : ces données sont désormais sur internet pour toujours.
