Skip to content
Cyber Breaches
Recherche
Fuite de donnéesunresolved

Fuite de la base de données de citoyenneté turque (MERNIS)

Une base de données de 6,6 Go contenant les numéros d'identité nationaux, noms complets, noms des parents, adresses et dates de naissance de 49,6 millions de citoyens turcs a été divulguée en clair en ligne, exposant la quasi-totalité de la population adulte.

Victime
République de Turquie — MERNIS / Registre civil
données
49.6M
utilisateurs
49.6M
SecteurGouvernement
PaysTurquie

En avril 2016, une base de données de 6,6 Go contenant les dossiers personnels de 49 611 709 citoyens turcs a été divulguée en clair sur un site hébergé hors de Turquie — une exposition couvrant la quasi-totalité de la population adulte du pays et l'une des plus grandes fuites d'identité nationale de l'histoire.

Ce qui s'est passé

Le fichier divulgué était un dump PostgreSQL issu de MERNIS (Merkezi Nüfus İdare Sistemi), le système central de registre civil de la Turquie géré par le ministère de l'Intérieur. Les dossiers correspondaient aux citoyens inscrits pour voter aux élections locales de 2009. Chaque ligne contenait un TC Kimlik No (numéro d'identité national), le prénom et le nom, les noms de la mère et du père, le sexe, la ville de naissance, la date de naissance, la ville et le district d'enregistrement, ainsi qu'une adresse résidentielle complète.

Le dump a été distribué via torrent et un site miroir/.onion dédié à partir du 3 avril 2016. Le site présentait la divulgation comme politiquement motivée, raillant le gouvernement turc sur ses pratiques de sécurité des données et reproduisant les mêmes champs pour le président Recep Tayyip Erdoğan et d'autres responsables.

Vérification

La confirmation indépendante est venue rapidement. L'Associated Press a comparé dix numéros d'identité turcs non publics au jeu de données et en a fait correspondre huit aux noms exacts, établissant que les données étaient authentiques plutôt que fabriquées ou recyclées.

Conséquences

  • 49,6 millions de citoyens ont vu des données d'identité immuables — numéros d'identité nationaux, filiation, détails de naissance et adresses — publiées en clair, librement téléchargeables.
  • Comme un TC Kimlik No ne peut pas être modifié, l'exposition a créé une base permanente pour l'usurpation d'identité, la fraude financière et l'imposture qu'aucune réinitialisation de mot de passe ne pouvait corriger.
  • Les données ont continué de circuler pendant des années sur des forums et canaux Telegram, alimentant l'écosystème ultérieur des fuites turques.

Réponse officielle

Les autorités turques ont largement minimisé l'incident. Le ministre des Communications de l'époque, Binali Yıldırım, l'a qualifié de « vieille histoire » recyclée d'un épisode de 2010 où des fonctionnaires auraient vendu des fragments du registre. Le ministère de la Justice a ouvert une enquête, mais aucun auteur n'a jamais été identifié publiquement et aucune mesure de réparation n'a été offerte aux citoyens concernés.

Pourquoi c'est important

La fuite MERNIS est l'événement fondateur des fuites de données turques : elle a démontré qu'une unique base de registre civil centralisée, une fois exfiltrée, peut compromettre durablement toute la population d'une nation. Elle a aussi préfiguré un schéma récurrent en Turquie — fuite de vastes jeux de données détenus par l'État, déni ou minimisation officielle, et absence de responsabilité — qui se répétera avec les fuites e-Devlet des années plus tard.

Chronologie

  1. De premières allégations émergent selon lesquelles des fonctionnaires turcs vendaient des fragments de la base de registre civil MERNIS ; le gouvernement les rejette.

  2. Un torrent de 6,6 Go contenant la base de données divulguée est créé et diffusé ; des sites turcs commencent à signaler la fuite.

  3. La fuite devient mondiale. Un site hébergé à l'étranger propose les données au téléchargement au format PostgreSQL avec un message politiquement chargé raillant le gouvernement turc.

  4. L'Associated Press vérifie partiellement le dump, faisant correspondre 8 numéros d'identité turcs non publics sur 10 à des noms du fichier.

  5. Le ministre des Transports et des Communications Binali Yıldırım minimise la fuite, la qualifiant de « vieille histoire » recyclée de 2010.

  6. Le ministère de la Justice confirme l'ouverture d'une enquête ; aucun auteur n'est jamais identifié publiquement.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/2016_MERNIS_scandal
  2. cbc.cahttps://www.cbc.ca/news/science/turkey-hack-1.3521108
  3. theregister.comhttps://www.theregister.com/2016/04/04/turkey_megaleak/
  4. databreaches.nethttps://databreaches.net/2016/04/03/turkish-citizenship-database-leak/
  5. blackmoreops.comhttps://www.blackmoreops.com/2016/04/05/turkish-citizenship-database-dumped/

Incidents liés

Fuite de donnéesRésolu

Fuite de données AKP Emails (2016)

En juillet 2016, un pirate connu sous le nom de Phineas Fisher a piraté le parti au pouvoir en Turquie (le Parti de la justice et du développement, ou « AKP ») et a obtenu l'accès à 300 000 e-mails. L'intégralité du contenu de ces e-mails a ensuite été publiée par WikiLeaks et rendue consultable.

Victim
AKP Emails
Records
917.5K
Fuite de donnéesRésolu

Exposition du fichier électoral mexicain (Mexique, 2016)

Une base de données MongoDB mal configurée a laissé l'intégralité du fichier électoral national mexicain — 93,4 millions d'enregistrements comprenant noms, adresses, dates de naissance et numéros d'identité nationale — accessible publiquement sur le cloud d'Amazon, sans mot de passe, pendant des mois.

Victim
Instituto Nacional Electoral (INE) — registre électoral mexicain
Records
93.4M