Des données liées à 500 millions de comptes LinkedIn en vente sur le marché noir

Stéphane Moussie |

Une grosse base de données contenant des informations liées à 500 millions de comptes LinkedIn est en vente sur un forum de hackers, rapporte le site CyberNews. La base comprend le nom, l'adresse email, le numéro de téléphone, le sexe ou d'autres éléments renseignés par les membres du réseau professionnel.

Image LinkedIn

Ce commerce de données personnelles fait écho à la base de données de 533 millions de comptes Facebook récemment « libérée » sur le web, mais l'affaire n'est pas identique. Alors que la base Facebook avait pu être constituée en exploitant une vulnérabilité du réseau social, LinkedIn assure qu'il n'y a eu aucune faille dans ses systèmes.

D'après la filiale de Microsoft, il s'agit d'une agrégation de données provenant de plusieurs sites, dont le sien, qui a été « scrapé » (dont le contenu a été extrait de manière automatique grâce à divers outils). D'après les constatations de LinkedIn, aucune donnée de membres privés n'est présente dans la base. Le réseau professionnel ajoute qu'il s'efforce de lutter contre ce type de pratique qui contrevient à ses règles.

Même si LinkedIn se dédouane, le régulateur italien des données personnelles a annoncé l'ouverture d'une enquête et conseille aux utilisateurs d'être vigilants par rapport à l'exploitation des données qui pourrait être faite. À l'instar de la fuite de Facebook, il n'y a ni cartes bancaires ni mots de passe compromis, mais le numéro de téléphone accompagné d'infos supplémentaires peut être employé pour de l'hameçonnage ou d'autres arnaques.

avatar newiphone76 | 

Ils ne peuvent pas mettre des fonds pour protéger leurs données ?

avatar YetOneOtherGit | 

@newiphone76

"Ils ne peuvent pas mettre des fonds pour protéger leurs données ?"

Là c’est l’accumulation automatique de données publiques partagées volontairement par les utilisateurs sur LinkedIn 😉

Pas le fruit d’une faille de sécurité 😎

Tu peux par toi même trouver ces informations sur les profils Linkedin

avatar newiphone76 | 

@YetOneOtherGit

Ah ok mais ça reste embêtant !!

avatar YetOneOtherGit | 

@newiphone76

"mais ça reste embêtant !!"

Difficile à éviter et à exiger sur des données que l’on rend volontairement public sur un réseau qui sert à projeter et faire exister son identité professionnelle.

avatar MGA | 

@newiphone76

Ce cas précis n’est que l’illustration de l’inconscience des utilisateurs de réseaux sociaux.
Pour le cas de la dernière mega fuite de données chez Facebook c’est en plus l’illustration que la protection des données personnelles collectées est très défaillante.
Il faudra un jour que les régulateurs se saisissent du dossier pour sanctionner les manquements en matière de protection des données collectées. Il y a de nombreux Européens concernés par la dernière fuite chez Facebook, l’Europe pourrait peut-être agir en prolongement de la RGPD.

avatar YetOneOtherGit | 

@MGA

"Ce cas précis n’est que l’illustration de l’inconscience des utilisateurs de réseaux sociaux."

Là je ne vois pas où est l’inconscience: Linkedin est un réseau servant à projeter publiquement son image professionnelle.

Les informations récupérées sont celles que l’utilisateur a volontairement choisi de rendre public.

Ce n’est pas l’exploitation d’une faille de sécurité mais la collecte d’informations publiques volontairement mise sur les profils.

Où diable est l’inconscience?

avatar MGA | 

@YetOneOtherGit

En donner trop sans réfléchir aux conséquences, l’utilisateur n’est pas en cause, tout est fait pour fluidifier la collecte d’informations. Exemple : donner un numéro de tel que l’on est pas prêt à changer en cas de besoin (j’ai le même numéro depuis 1995 je ne veux pas prendre le risque de trop l’exposer j’ai pris on/off avec d’autres numéros pour certains usages)
Concrètement : donnez vous votre numéro principal si vous passez des annonces sur « Le mauvais angle » ?

avatar pomme-z | 

y'a tant de soleil que ça par chez vous ?

avatar Insomnia | 

@newiphone76

Là n’est pas le problème et il existe aucun système dénué de failles...

avatar Leadlike | 

Ma technique pour éviter cela : j’utilise un mail unique sur LinkedIn. Détectable dans problème.
Les e-mails temporaires devraient être globalisé comme pour Apple.

avatar librecommelair | 

@Leadlike

Ma technique à moi est plus radicale : suppression de tous mes comptes Facebook, linkedin, Instagram, whats app et j’en passe. Au final, je gagne beaucoup de temps libre et j’enrichis un peu moins les gafam c’est double benef

avatar marenostrum | 

T’es au chômage apparemment.

avatar vincentn | 

@Leadlike

Sauf que là le mail unique ne sert à rien.

Il s’agit de données que vous avez volontairement et publiquement déposé sur cette plateforme de mise en relation professionnelle. Je peux les récupérer, et à partir de là m’amuser à remonter les autres traces et données que vous avez laissé à droite et à gauche (ou des proches ou collègues) sur le net et ailleurs. Assez trivial en fait avec les outils adéquats. Certes cela peut prendre un peu de temps, certaines choses plus complexes à faire maintenant, mais avec un peu d’astuce et d’espièglerie, vous seriez étonné par les données récoltées de façon directe et indirecte issues de ce profilage. Tout en restant dans la légalité (pas de piratages ou de vols de données privées par intrusion).
Sauf à ne pas être numériquement présent, à tout strictement compartimenter sans liens aucuns entre les différents pans de votre vie perso et pro. Faisable avec beaucoup de rigueur et si certaines activités (et encore), mais alors vous n’avez pas une vie « normale ».

Dans cette affaire LinkedIn, des petits malins ont juste ici trivialement scrapé de façon industrielle des données du site. Assez simple à faire (même sans être inscrit ou compte premium). Cela nécessite juste un peu de moyens (et encore) et de temps.

avatar BeePotato | 

@ vincentn : « mais alors vous n’avez pas une vie « normale ». »

D’accord avec le reste du commetaire, mais pas vraiment avec cette partie.

avatar vincentn | 

@BeePotato

Je précise, parce qu’effectivement, même avec des guillemets, le terme peut prêter à confusion. Normale par rapport à la norme sociale , les usages de la majorité des gens qui a actuellement cours dans nos sociétés occidentales.

On peut bien évidemment et parfaitement avoir une vie normale sans ça, mais la majorité des gens :

- ont 1 ligne mobile voire un smartphone. (95 % des français de plus de 12 ans ont une ligne mobile, 77% un smartphone).
- ont 1 connexion internet (85% des français vont sur Internet, 77% ont un accès internet chez eux)
- ont au moins 1 compte et fait des démarches en ligne (impôts, pôle emploi, caf, banque, boutiques en ligne, carte de fidélité, cagnotte en ligne, liste de mariage, etc.)
- ont fait un achat en ligne (8 internautes français sur 10, tout support confondus) voire laissé un commentaire après leur achat.
- ont donc un compte bancaire avec des moyens de paiement électronique.
- ont au moins 1 compte sur les RS, forums… (plus de 60% des français, les autres pouvant y être à leur corps défendant : photos, cités nommément, faire-part dans un carnet, site de généalogie…)
- etc.

Bref, la majorité des français (et autres) ont une vie numérique, directement ou indirectement, transmis sciemment ou pas, avec des données publiques, semi-publiques ou privées/confidentielles. Cette normalité que je décris.
Sans être une institution judiciaire, policière, de renseignements, sans passer par des data brokers, sans tomber dans l’illégalité et le banditisme en piratant ou en achetant sous le manteau des données volées, il y a déjà pas mal à faire avec les données et traces numériques publiques et semi/publiques.

On peut certes éviter cela, mais sans mobile, sans internet, avec peu de vie ou d’interaction sociale, en payant en espèce, en étant dans certains ordres monastiques ou que sais-je encore… Ce qui est très loin d’être la majorité des cas, notre fameuse norme sociale. En tous cas ce n’est pas mon cas, ni le votre ou celui de tous ceux qui ont commenté cet article.

avatar lll | 

Une remarque sur les autres personnes présentes à leur corps défendant sur les réseaux : c'est précisément ce qui m'a fait m'inscrire sur Facebook il y a une douzaine d'années.

- hé, j'ai vu une photo où tu fais la grimace sur Facebook !
- hein ? mais je n'ai pas Facebook !
- ta photo y est quand même !

Résultat, je me suis inscrit en espérant "contrôler" un peu ma vie privée, mais était-ce à moi de faire ça ?

La plupart des données des réseaux sociaux mises en ligne répondent à une forme d'injonction sociale ("quoi, tu n'as pas de compte Linkedin et tu prétends à un emploi dans les TI ?") et il me semble finalement que la partie narcissique est moins importante qu'on le croit. Cependant, faire culpabiliser l'utilisateur est un grand classique de notre époque.

avatar Kainam | 

Il n’y a aucune inconscience et c’est inévitable. Il y’a des outils très simple à utiliser il suffit d’avoir un compte valide et ça pompe tout sans rien faire après tu classe par pays ou ordre alphabétique et tu exporte en csv. N’importe qui peux le faire...

avatar v1nce29 | 

J'imagine qu'il y a quand même un minimum de protection pour éviter l'aspiration.
Il est peu probable qu'un utilisateur humain consulte plus de 100 profils parheur

avatar reborn | 

Très interessant cette base pour utiliser linkedin sans utiliser linkedin 🙃

avatar r e m y | 

Franchement, je ne vois pas où est l'info dans cette News... quelqu'un a récupéré des informations publiques mises à disposition volontairement par les utilisateurs de LinkedIn? Wahou! la belle affaire!
Et je ne vois pas non plus l'intérêt d'acheter cette base de données qui est nécessairement déjà obsolète pour partie, alors que des outils très simples permettent de faire toutes les extractions souhaitées avec les filtres de son choix, à tout moment sur LinkedIn directement (en obtenant donc des données à jour au moment où on fait l'extraction).

Des cabinets de recrutement (dits "chasseurs de tête"), font ça en permanence sur LinkedIn!

avatar Dziga_Vertox | 

Trop bien.
Les réseaux sociaux quelle merde.

avatar r e m y | 

Mais il n'y a eu aucun vol de données! Et toutes les données dont on parle dans cette non-information, sont uniquement des données publiques, exposées volontairement par les utilisateurs de LinkedIn pour être mises à disposition de tout le monde et récupérées notamment par les recruteurs, et pour lesquels il existe toute sorte d'outils (dont ceux fournis par LinekdIn) permettant de les extraire, les trier, les filtrer...
Bref, il n'y a RIEN dans cette info.

avatar MGA | 

@r e m y

Il y a une information. Ne rien donner que vous n’êtes pas prêt à voir exploité de façon tordue. Du coup le minimum est peut-être d’avoir un mail et un numéro de tel spécifique et... je n’ai pas de profil Linkedin je ne sais pas ce qu’on y trouve réellement comme info.

avatar r e m y | 

Vous n'avez pas de compte LinkedIn. Je pense que c'est là l'origine de l'incompréhension.

LinkedIn est une plateforme de mise en relation professionnelle. Les infos qu'on y dépose sont publiques et destinées à être utilisées. Ce sont des infos professionnelles que l'on souhaite partager largement. Les téléphones et e-mail que l'on indique (si on veut les indiquer) sont nos coordonnées professionnelles que l'on VEUT partager pour être potentiellement contacté.

Donc quelqu'un a constitué une base de données de 500 millions de comptes LinkedIn... la belle affaire ! Je ne vois pas qui pourrait être intéressé à l'acheter vu que LinkedIn met à disposition en permanence ces mêmes infos, non pas sur 500 millions de comptes, mais sur la totalité de leurs comptes... et en utilisant LinkedIn on est sûr de récupérer des infos à jour et pas des infos qui n'ont pas pu être actualisées depuis leur extraction par ce "pirate".

avatar MGA | 

@r e m y

Merci, je n’ai pas de compte mais je connais le principe. Le souci est qu’aucun utilisateur n’imagine que la base peut être extraite et utilisée à d’autres fins. Notamment recoupement avec d’autres informations d’autres bases collectées plus ou moins légalement.
Un fichier n’est pas problématique en lui même, c’est le regroupement / recoupement des informations qui est problématique.
C’est pour cette raison qu’il me semble raisonnable de garder une partie des informations personnelles strictement hors réseaux, un minimum s’infos fiables sur le long terme. Et toujours peser l’intérêt réel de laisser une information sur les réseaux.

avatar r e m y | 

Bien sûr qu'on sait que les infos peuvent être extraites et recoupées.. quand on est sur LinkedIn on reçoit régulièrement des sollicitations de cabinet de recrutement qui nous trouvent justement de cette façon.
On reçoit également des sollicitations de LinkedIn pour passer à un compte premium en nous expliquant que ça nous permettra justement de faire ce genre d'extraction, de recoupement.
Si on cherche à recruter, on utilise les outils de LinkedIn voire des outils tiers pour procéder à ce genre d'extraction sur la base de filtres, de critères correspondant à ce qu'on cherche comme profil.
Enfin, quand on veut contacter un nouveau client potentiel (je le fais régulièrement), on peut utiliser les infos disponible sur LinkedIn pour reconstituer l'organisation de l'entreprise visée, savoir qui est qui chez eux, qui fait quoi, et identifier le bon interlocuteur à contacter.

Bref, quand on est sur LinkedIn, c'est pour des raisons professionnelles et les infos affichées sont destinées à être utilisées

(Dernier point, on sait aussi que ces infos peuvent être utilisées pour des tentatives "ingénieries sociales" sans que ça nécessite qu'un "bandit" extraie la moindre "base de données", les infos étant en libre accès)

Cette news c'est comme si on voulait faire un scoop en expliquant que quelqu'un a reconstitué l'annuaire téléphonique et cherche à le vendre sous le manteau...

avatar MGA | 

@r e m y

Ok. Quand j’écris « extraire » ça ne veut pas dire que c’est une pratique de bandit. J’ai bien compris que c’est une fonctionnalité très utile mais elle est détournée de son objet. Mon propos n’est pas « Linkedin c’est mal », au contraire c’est un outil de business puissant vous en êtes témoin mais le recoupement avec des bases volées chez d’autres est un risque majeur illustré par cette histoire et je ne suis pas certain que les utilisateurs en soient conscients avant que les « complications » éventuelles se présentent (vol d’identité, chantage, espionnage industriel, c’est rare mais ça existe dans la vraie vie et pas que dans les films)

avatar YetOneOtherGit | 

@MGA

"Ok. Quand j’écris « extraire »"

La nuance entre : Extraire la base et extraire de la base 😉

avatar r e m y | 

Certes ce risque existe, mais il a toujours existé et cette affaire d'une base de 500 millions d'utilisateurs "à vendre" n'y change rien! La base complète de LinkedIn est bien plus conséquente et est tout aussi accessible, c'est là où je parle de non-information.

avatar YetOneOtherGit | 

@r e m y

"et est tout aussi accessible"

Normal elle ne devrait pas l’être il y a une différence entre ce qu’il y a comme informations dans les bases et ce que l’utilisateur décide de rendre public à tous.

Après je suis absolument en ligne avec toi sur la sur-réaction à ce non événement 😉👍

avatar YetOneOtherGit | 

@MGA

"n’imagine que la base peut être extraite"

Ce n’est pas la base qui a été extraite dans ce cas. 😉

Remy t’as fort bien expliqué ce qu’est LinkedIn et le fait que les informations accumulées de façon automatique proviennent de ce qui a été volontairement décider de rendre public pour assumer sa publicité personnelle.

A titre d’exemple dans ce que j’ai choisi de rendre public. il n’y a rien que l’on ne puisse trouver par d’autres sources assez facilement (Annuaire des anciens de mes alma-mater, registre du commerce, site d’informations professionnelles spécialisées, annuaires professionnels divers, site de publication scientifique et technique ...)

avatar MGA | 

@YetOneOtherGit

Ok ok la base n’est pas extraite, les informations publiques de le base sont récupérées avec des outils parfaitement prévus pour ça et faisant partie des fonctionnalités standards.
Ces outils sont des moyens d’extraire des données de la base, pour les présenter sous différentes formes à l’utilisateur. Il n’y a aucune notion de vol dans le fait d’extraire des informations d’une base de données avec un outil prévu pour, « extraction » n’implique pas une action illégitime ou illégale il me semble.
J’ai bien compris que les informations publiques obtenues sur Linkedin ont permis de recréer une base tierce qui est à vendre, là c’est beaucoup moins légitime mais Linkedin n’y est pour rien. Le danger est le recoupement de cette base avec d’autres, et que les utilisateurs n’avaient pas nécessairement imaginé ce cas de figure.

avatar YetOneOtherGit | 

@MGA

"Le danger est le recoupement de cette base avec d’autres, et que les utilisateurs n’avaient pas nécessairement imaginé ce cas de figure."

Il y a tellement d’informations public à recouper et si on passe au niveau des informations dont dispose les entreprises sur leurs clients ...

Là c’est un pet de lapin sur une toile cirée.

Tu n’imagines pas ce que les spécialiste du secteur peuvent inférer sur toi juste avec ton adresse postale et juste avec un recoupement et une analyse de données parfaitement publiques 😉

avatar MGA | 

@YetOneOtherGit

Vous êtes certainement précautionneux dans vos publications mais est-ce réellement le cas de tous les utilisateurs ? Le regroupement de toutes les informations éparses est justement la valeur ajoutée du service, et maintenant de cette base tierce illégitime elle facilite grandement les recoupements avec d’autres informations privées par exemple.

avatar YetOneOtherGit | 

@MGA

"mais est-ce réellement le cas de tous les utilisateurs ?"

Là c’est autre chose : l’éducation du public à la transformation numérique est une absolue nécessité.

Que ce soit en terme de sécurité ou de confidentialité, les bonnes pratiques de base sont souvent foulées au pied et de façon assez inquiétante tout autant par les fantasmatiques Digital Natif.

avatar MGA | 

@YetOneOtherGit

Je crois que je vais m’ouvrir un Linkedin minimaliste rien que pour retrouver de vielles connaissances :-) et expérimenter le bidule.

avatar YetOneOtherGit | 

@MGA

"Je crois que je vais m’ouvrir un Linkedin minimaliste rien que pour retrouver de vielles connaissances :-) et expérimenter le bidule."

C’est le seul réseau social où je suis présent et actif.

Bien utilisé c’est un outil puissant pour accompagner un business ou une carrière.

Pas mal de missions de conseils à l’international me remontent par ce biais et une grande part de l’entretien de mes contacts professionnels même dans un mode badin passe par ce canal de messagerie depuis longtemps.

avatar Fluo | 

Comme c’est surprenant, 1200 € sur ma carte Amex avec l’ID LIEEEUREURFR, remboursés cette semaine par Amex (aussitôt sans aucune contestation).
Et LinkedIn ne s’est pas fait voler de CB ? Tu parles, Charles !

CONNEXION UTILISATEUR