Fuite de données citoyennes du RENIEC au Pérou
Un acteur malveillant a mis en vente une base présentée comme contenant environ 37 millions d'enregistrements du registre national d'identité péruvien RENIEC, dont numéros DNI, noms, données de naissance et adresses ; le RENIEC a contesté toute intrusion dans ses systèmes.
- Victime
- RENIEC (Registro Nacional de Identificación y Estado Civil)
- données
- 37.0M
- utilisateurs
- 37.0M
Fin 2024 et tout au long de 2025, le RENIEC — le Registre national d'identification et d'état civil du Pérou, gardien de la base d'identité fondamentale du pays — s'est retrouvé au centre d'une série de fuites et de revendications d'intrusion contestées impliquant les données personnelles de dizaines de millions de citoyens.
Ce qui s'est passé
Vers le 1er novembre 2024, un acteur malveillant a mis en vente sur un forum du dark web une base présentée comme contenant environ 37 millions d'enregistrements issus du RENIEC, en publiant des échantillons pour prouver leur authenticité. Comme le RENIEC sous-tend le système du DNI (Documento Nacional de Identidad) péruvien, le registre reflète de fait l'ensemble de la population — rendant toute fuite de ses données exceptionnellement sensible.
Le jeu de données signalé comprenait :
- Numéros DNI et noms complets (nom paternel, nom maternel, prénoms).
- Date et lieu de naissance ; dates de délivrance et d'expiration du DNI.
- Adresses de domicile, état civil, sexe et informations sur les parents.
Une intrusion contestée
Élément crucial, le RENIEC a nié que ses propres serveurs aient été piratés. Le registre a plutôt évoqué un possible mésusage d'accès autorisé par un autre organisme public, en particulier le ministère de l'Intérieur (Mininter), qui interroge les données du RENIEC via la plateforme d'interopérabilité étatique PIDE. Des entités gouvernementales, dont la PCM (Présidence du Conseil des ministres), ont publié des déclarations contestant toute exfiltration de données personnelles via PIDE. L'affaire est ainsi devenue autant une histoire d'accès interne et de gouvernance de l'interopérabilité qu'une intrusion externe.
Des expositions récurrentes
La fuite de 2024 n'était pas isolée. En avril 2025, une divulgation distincte a révélé 146 199 photographies faciales biométriques haute résolution liées au système DNI du RENIEC — une exposition particulièrement grave, car les identifiants biométriques ne peuvent être réémis comme un mot de passe ou un numéro de carte. D'autres revendications d'accès non autorisé ont émergé plus tard en 2025, maintenant la sécurité du RENIEC sous une surveillance publique soutenue.
Pourquoi c'est important
Les incidents du RENIEC ont frappé la racine de la confiance dans l'identité numérique péruvienne. Contrairement à une fuite bancaire ou télécom, une compromission du registre national d'identité fragilise le jeu de données même contre lequel toutes les autres institutions vérifient les citoyens. L'attribution contestée — RENIEC contre Mininter, avec la plateforme PIDE entre les deux — a aussi mis en évidence une faiblesse structurelle commune aux systèmes d'administration électronique interopérables : dès lors que des dizaines d'agences peuvent interroger un registre central, une brèche n'importe où dans la chaîne peut exposer toute la population, tout en rendant la responsabilité difficile à établir. L'affaire a suscité au Pérou des appels à renforcer les contrôles d'accès, à auditer les requêtes d'interopérabilité et à appliquer la réglementation sous l'autorité nationale de protection des données personnelles.
Chronologie
Un acteur malveillant met en vente sur un forum du dark web une base présentée comme contenant environ 37 millions d'enregistrements du RENIEC, en publiant des échantillons.
Les chercheurs constatent que le jeu de données inclut numéros DNI, noms complets, données de naissance, dates de délivrance/expiration du DNI, adresses, état civil et informations sur les parents.
Le RENIEC nie que ses serveurs aient été piratés et pointe un possible mésusage d'accès par le ministère de l'Intérieur (Mininter).
Une fuite distincte fait surface : 146 199 photographies faciales biométriques haute résolution du RENIEC sont publiées en ligne.
De nouveaux accès non autorisés aux données du RENIEC sont signalés, relançant le débat sur la sécurité du registre et la plateforme d'interopérabilité PIDE.
Sources
- dailydarkweb.nethttps://dailydarkweb.net/reniec-allegedly-breached-37m-citizen-data-leaked/
- cyberpress.orghttps://cyberpress.org/reniec-data-leaked/
- ground.newshttps://ground.news/article/reniec-pronounces-on-alleged-hacking-and-points-to-mininter-this-is-what-the-official-statement-says
- latin-american.newshttps://latin-american.news/pcm-denies-reniec-and-rules-out-that-personal-data-was-leaked-through-pide/