Méga-fuite brésilienne de 223 millions de personnes

Le 20 janvier 2021, des chercheurs brésiliens ont révélé ce qui demeure la plus grande fuite de données personnelles de l'histoire du pays : des bases de données proposant les informations personnelles d'environ 223 millions de personnes — plus que l'ensemble de la population vivante du Brésil — mises en vente sur un forum du dark web.

Ce qui s'est passé

La fuite a d'abord été mise au jour par le dfndr lab de PSafe et le portail technologique Tecnoblog, qui ont repéré un vendeur sur un forum de pirates proposant une vaste collection de bases brésiliennes. Comme le chiffre dépasse les quelque 210 millions d'habitants du Brésil, les analystes en ont conclu que le trésor contenait aussi des enregistrements de personnes décédées, conservés par les courtiers en données et les bureaux de crédit.

Les données étaient d'une précision extraordinaire. Au-delà des noms, identifiants fiscaux CPF, dates de naissance et sexe, les enregistrements comprenaient des images faciales, adresses, numéros de téléphone, adresses e-mail, salaires et revenus, scores de crédit, indices de pouvoir d'achat, situation matrimoniale, proches nommés, numéros d'électeur, niveau d'éducation, profils LinkedIn et même des coordonnées géographiques. Des jeux de données distincts exposaient environ 104 millions d'enregistrements de véhicules et des dizaines de millions d'entreprises brésiliennes.

Le vendeur offrait un échantillon gratuit condensé et vendait l'ensemble par lots — à partir d'environ 500 dollars, payables uniquement en Bitcoin — avec un tarif par personne descendant à quelques centimes.

La question Serasa Experian

La structure et la richesse des données — notamment les scores de crédit et les champs de catégorisation des consommateurs — ont conduit de nombreux chercheurs à soupçonner une origine chez Serasa Experian, le bureau de crédit dominant au Brésil. Serasa a publiquement nié que ses systèmes soient la source, affirmant qu'un examen forensique interne et externe n'avait trouvé aucune preuve de compromission de son environnement. L'origine de la fuite n'a jamais été officiellement confirmée, et aucun auteur n'a été identifié.

Impact et conséquences

• Une exposition de cette ampleur signifie de fait un risque quasi universel d'usurpation d'identité pour les adultes brésiliens, facilitant la fraude à l'identité synthétique, la prise de contrôle de comptes et l'hameçonnage ciblé.
• Le Sénat brésilien, l'agence de consommation Senacon et la nouvelle Autorité nationale de protection des données (ANPD) ont tous ouvert des enquêtes, faisant de cet épisode un premier test de la LGPD, la loi brésilienne de protection des données inspirée du RGPD, entrée en vigueur en 2020.
• En janvier 2026, une action collective liée à l'épisode a été déposée devant la High Court anglaise contre des entités d'Experian.

Pourquoi c'est important

La méga-fuite a cristallisé un problème structurel : dans une économie de courtage de données, une seule base agrégée peut exposer une nation entière d'un coup, et l'attribution devient quasi impossible lorsque les mêmes champs sont détenus par de nombreuses entreprises. L'épisode est devenu le cas test déterminant pour le jeune régime brésilien de protection des données — et un avertissement : les violations les plus dommageables ne sont peut-être pas l'intrusion dans une seule entreprise, mais la commercialisation discrète des données de chacun.