Violation de la base d'identité nationale RENAPER

En octobre 2021, un acteur anonyme a démontré qu'il avait obtenu les dossiers d'identité complets de l'ensemble de la population argentine — soit environ 45 millions de personnes — détenus par le RENAPER (Registro Nacional de las Personas), l'organisme qui délivre chaque carte d'identité nationale (DNI) du pays.

Ce qui s'est passé

La violation a été révélée publiquement lorsqu'un compte Twitter fraîchement créé, @AnibalLeaks, a commencé à publier les photographies officielles de cartes d'identité et les coordonnées personnelles de 44 Argentins célèbres, dont le président Alberto Fernández, les stars du football Lionel Messi et Sergio Agüero, ainsi que de nombreux journalistes et responsables politiques. Le pirate a ensuite proposé sur un forum de piratage un service permettant de consulter, moyennant rétribution, les données personnelles de n'importe quel citoyen argentin.

Le ministère de l'Intérieur argentin a reconnu un accès non autorisé tout en contestant qu'une violation « massive » ait eu lieu. Son équipe de sécurité a relié l'activité à un compte VPN attribué au ministère de la Santé, utilisé pour interroger RENAPER au sujet des 19 photographies exactes publiées sur Twitter « au moment précis » de leur parution. Les autorités ont ouvert une enquête sur huit employés du gouvernement soupçonnés d'implication. Le pirate a contredit la version officielle, affirmant détenir une copie complète du jeu de données RENAPER.

Conséquences

• Les dossiers exposés comprenaient les noms complets, adresses du domicile, dates de naissance, sexe, dates d'émission et d'expiration des pièces d'identité, codes d'identification du travail (CUIL), numéros de trámite, numéros de citoyen et photos d'identité officielles.
• RENAPER étant la source faisant autorité pour l'identité argentine, les données sont de fait permanentes : les citoyens ne peuvent changer ni leur numéro de DNI, ni leur date de naissance, ni leur photo biométrique.
• Le pirate a menacé de divulguer les dossiers de 1 à 2 millions de personnes et de continuer à vendre des consultations aux acheteurs intéressés.

Pourquoi c'est important

L'incident RENAPER illustre parfaitement comment un identifiant unique surdimensionné en privilèges peut exposer une nation entière. Le compte compromis n'était pas une faille « zero-day » sophistiquée mais un identifiant VPN inter-agences légitime, capable d'interroger le registre le plus sensible du pays sans limitation de débit, sans détection d'anomalie, ni autorisation au niveau de chaque enregistrement.

L'organisation de défense des droits civils Asociación por los Derechos Civiles (ADC) a déposé une demande officielle exigeant que RENAPER explique la défaillance des contrôles d'accès et l'absence d'alerte face aux requêtes en masse. L'affaire a intensifié le débat sur la vieillissante loi argentine sur la protection des données personnelles (25.326) et l'absence d'obligations sérieuses de notification et de minimisation pour les données biométriques détenues par l'État. Pour un registre qui sous-tend le vote, la banque et l'aide sociale, la violation a montré que centraliser l'identité d'une population sans gouvernance d'accès proportionnée crée un point de défaillance catastrophique unique.