•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Vol des données de « presque tous les adultes » de Bulgarie

Une voiture de police devant les bureaux de l'Agence nationale du revenu de la Bulgarie.

Les forces de l'ordre ont procédé à l'arrestation d'un suspect mardi.

Photo : Reuters / Dimitar Kyosemarliev

Reuters

Les données personnelles de presque tous les adultes bulgares ont été dérobées dans le piratage de l’Agence nationale du revenu de Bulgarie (NRA), a confirmé la police nationale mercredi. Un suspect de 20 ans a été arrêté en lien avec cette affaire.

Des fichiers informatiques contenant les noms des victimes, leurs adresses, leurs déclarations de revenus, des informations relatives à des paiements d’assurance maladie et à des prêts, et l’équivalent bulgare du numéro d’assurance sociale de 5 millions de Bulgares ainsi que de résidentes et résidents étrangers ont été obtenus indûment par le pirate. La Bulgarie a une population de 7 millions de personnes.

« On peut affirmer sans avoir peur de se tromper que les données personnelles de pratiquement toute la population adulte de Bulgarie ont été compromises », a affirmé à la BBC Vesselin Bontchev, un professeur assistant à l’Académie des sciences de Bulgarie et un expert en cybersécurité.

Un courriel anonyme

L’attaque serait survenue au mois de juin, mais les premières informations à son sujet ont fait surface lundi, lorsque des médias bulgares ont reçu un courriel semblant provenir de l’auteur de l’attaque.

« L’état de votre cybersécurité est parodique », avait écrit (Nouvelle fenêtre) le pirate dans ce message anonyme.

Le courriel contenait également des instructions permettant d’accéder aux données volées.

Un expert en cybersécurité arrêté

Mardi, la police nationale a procédé à l’arrestation de Kristian Boykov, un homme de 20 ans travaillant à TAD Group, une firme de cybersécurité américaine ayant des bureaux en Bulgarie, selon des médias bulgares.

Les forces de l’ordre ont également fouillé son logement et son bureau situés dans la capitale, Sofia, et ont saisi des ordinateurs dont le contenu était chiffré.

Selon Yavor Kolev, le chef de l’unité de cybersécurité de la police bulgare, le suspect est un chercheur en cybersécurité ayant pour tâche de tester des réseaux informatiques afin de découvrir de possibles vulnérabilités et de prévenir des cyberattaques. Il serait toutefois aussi impliqué dans des activités criminelles. « Au cours de sa vie, il s’est trouvé des deux côtés », a expliqué M. Kolev.

Kristian Boykov fait face à une accusation de crime informatique qui pourrait lui valoir huit ans de prison s’il était reconnu coupable.

De héros à zéro

L’avocat de Kristian Boykov, Georgi Stefanov, a affirmé à Reuters que son client avait nié les accusations portées contre lui. « Il dit qu’il est innocent et qu’il n’a pas de lien avec cette histoire, a affirmé M. Stefanov. Les procureurs l’ont accusé malgré une absence totale de preuves. »

Yavor Kolev a indiqué que d’autres personnes pourraient être impliquées. L’enquête se poursuit.

Kristian Boykov a connu son heure de gloire en 2017 après avoir relevé des vulnérabilités importantes sur le site web du ministère de l’Éducation bulgare. Il avait alors affirmé qu’il accomplissait son devoir de citoyen avec son travail. La ministre de l’Éducation adjointe, Denitsa Sacheva, avait remercié M. Boykov pour son aide.

« Un sorcier »

Le premier ministre bulgare, Boyko Borissov, a décrit mercredi le suspect comme étant un « sorcier » et a affirmé que des « cerveaux uniques » du même genre devraient être engagés pour aider l’État au lieu de l’attaquer.

Les propos du premier ministre ont toutefois été nuancés par des spécialistes en cybersécurité ayant pu examiner les documents volés. Selon ces spécialistes, les méthodes utilisées par l’attaquant étaient relativement simples, ce qui laisse sous-entendre que les moyens de défense de la NRA n’étaient pas adéquats.

« La raison du succès de l’attaque ne semble pas être la sophistication du pirate, mais plutôt les mauvaises pratiques en matière de sécurité à la NRA », a indiqué à Reuters Bozhidar Bozhanov, directeur général de la firme de cybersécurité LogSentinel.

Amende de 20 millions d’euros

La Commission pour la protection des données personnelles (CPDP) de Bulgarie pourrait imposer une amende allant jusqu’à 20 millions d’euros (29,3 millions de dollars canadiens) à la NRA, soit l’équivalent de 4 % de son budget annuel, d’après Veselin Tselkov, un membre de la Commission.

« Le montant de la sanction dépend du nombre de personnes touchées et du volume d’informations ayant fuité », a indiqué M. Tselkov, ajoutant que la Commission attendait toujours d’obtenir un rapport complet sur l’attaque.

Avec des informations de BBC News et The New York Times.

Cybercriminalité

Techno