Une affaire aux États-Unis fait actuellement grand bruit. Le courtier en données National Publik Data se serait fait dérober de très nombreuses données. On parle de près de trois milliards de données. Il pourrait donc s'agir de l'une des plus grandes fuites de données de tous les temps.
Fuite de données chez National Public Data aux États-Unis ?
National Public Data est une entreprise américaine de vérification des antécédents. Basé en Floride, ce courtier en données donne accès dans tout le pays à des données provenant de différentes bases de données publiques, de dossiers judiciaires et d'autres sources.
Selon le portail de sécurité Infosecurity Magazine, l'entreprise aurait entre-temps confirmé l'incident dans une déclaration : "On suppose qu'un tiers malveillant a tenté de s'introduire dans les données fin décembre 2023, avec des fuites de données possibles en avril 2024 et en été 2024". Aucun autre détail sur l'incident n'a été communiqué pour l'instant.
Des détails croustillants de la fuite de données ressortent toutefois d'une plainte déposée le 1er août 2024 auprès de l'U.S. District Court à Fort Lauderdale (Floride) contre Jerico Pictures Inc. Cette société exploite National Publik Data.
Conseil de lecture : Étude sur la gestion des risques liés aux nouvelles technologies dans le secteur financier
Une victime poursuit le National Public Date en justice
Selon la plainte, un groupe de pirates informatiques appelé USDoD aurait publié le 8 avril une base de données appelée "National Public Data" sur un forum du Darknet. Le groupe affirme être en possession des données personnelles de 2,9 milliards de personnes. Les pirates ont proposé d'acheter la base de données pour 3,5 millions de dollars américains.
Si l'incident est confirmé, il pourrait s'agir de l'une des plus grandes violations de données de tous les temps, si l'on considère le nombre de personnes concernées. Lors d'une fuite de données chez Yahoo ! en 2013, on estime que les données de 3 milliards de personnes ont été touchées.
Les informations divulguées comprenaient notamment des numéros de sécurité sociale, des noms complets, des adresses et des informations sur des parents. Parmi ces informations figuraient également des personnes décédées depuis près de deux décennies.
La plainte a été déposée par le Californien Christopher Hofmann. Il a été informé le 24 juillet par son service de protection de l'identité que ses données avaient été transmises lors d'un délit et publiées sur le Darknet. Comme le rapporte Bloomberg Law, le plaignant ne demande pas seulement une compensation financière à National Public Data. L'entreprise doit également être obligée de supprimer les informations personnelles de toutes les personnes concernées et de crypter à l'avenir toutes les données collectées. En outre, un auditeur indépendant devra évaluer chaque année les mesures de cybersécurité de l'entreprise pour les dix prochaines années. Le plaignant fait remarquer qu'il n'a jamais consenti à l'utilisation de ses données par l'entreprise.
Conseil de lien : Hofmann c. Jerico Pictures, Inc., S.D. Fla., No. 0:24-cv-61383
Une loi nationale sur la protection des données va-t-elle être adoptée pour les États-Unis ?
Les critiques viennent également des défenseurs de la vie privée. Cliff Steinhauer est directeur de la sécurité de l'information à la National Cybersecurity Alliance, une organisation à but non lucratif qui s'engage pour la sécurité sur Internet. Pour lui, le problème est évident : "C'est parce qu'il n'y a pas de loi nationale sur la protection des données aux États-Unis. Il n'y a pas de loi qui interdise à de telles entreprises de collecter ces données sans notre consentement", explique-t-il à CBS News.
Cet incident pourrait-il être la goutte d'eau qui fait déborder le vase ? Avec le RGPD, l'UE a déjà montré comment une protection des données efficace peut être mise en œuvre. Cela pourrait également servir d'exemple pour les États-Unis.
French 
German 
English 
Italian