Des données liées à 500 millions de comptes LinkedIn en vente sur le marché noir

Stéphane Moussie |

Une grosse base de données contenant des informations liées à 500 millions de comptes LinkedIn est en vente sur un forum de hackers, rapporte le site CyberNews. La base comprend le nom, l'adresse email, le numéro de téléphone, le sexe ou d'autres éléments renseignés par les membres du réseau professionnel.

Image LinkedIn

Ce commerce de données personnelles fait écho à la base de données de 533 millions de comptes Facebook récemment « libérée » sur le web, mais l'affaire n'est pas identique. Alors que la base Facebook avait pu être constituée en exploitant une vulnérabilité du réseau social, LinkedIn assure qu'il n'y a eu aucune faille dans ses systèmes.

D'après la filiale de Microsoft, il s'agit d'une agrégation de données provenant de plusieurs sites, dont le sien, qui a été « scrapé » (dont le contenu a été extrait de manière automatique grâce à divers outils). D'après les constatations de LinkedIn, aucune donnée de membres privés n'est présente dans la base. Le réseau professionnel ajoute qu'il s'efforce de lutter contre ce type de pratique qui contrevient à ses règles.

Même si LinkedIn se dédouane, le régulateur italien des données personnelles a annoncé l'ouverture d'une enquête et conseille aux utilisateurs d'être vigilants par rapport à l'exploitation des données qui pourrait être faite. À l'instar de la fuite de Facebook, il n'y a ni cartes bancaires ni mots de passe compromis, mais le numéro de téléphone accompagné d'infos supplémentaires peut être employé pour de l'hameçonnage ou d'autres arnaques.


avatar newiphone76 | 

Ils ne peuvent pas mettre des fonds pour protéger leurs données ?

avatar YetOneOtherGit | 

@newiphone76

"Ils ne peuvent pas mettre des fonds pour protéger leurs données ?"

Là c’est l’accumulation automatique de données publiques partagées volontairement par les utilisateurs sur LinkedIn 😉

Pas le fruit d’une faille de sécurité 😎

Tu peux par toi même trouver ces informations sur les profils Linkedin

avatar newiphone76 | 

@YetOneOtherGit

Ah ok mais ça reste embêtant !!

avatar YetOneOtherGit | 

@newiphone76

"mais ça reste embêtant !!"

Difficile à éviter et à exiger sur des données que l’on rend volontairement public sur un réseau qui sert à projeter et faire exister son identité professionnelle.

avatar MGA | 

@newiphone76

Ce cas précis n’est que l’illustration de l’inconscience des utilisateurs de réseaux sociaux.
Pour le cas de la dernière mega fuite de données chez Facebook c’est en plus l’illustration que la protection des données personnelles collectées est très défaillante.
Il faudra un jour que les régulateurs se saisissent du dossier pour sanctionner les manquements en matière de protection des données collectées. Il y a de nombreux Européens concernés par la dernière fuite chez Facebook, l’Europe pourrait peut-être agir en prolongement de la RGPD.

avatar YetOneOtherGit | 

@MGA

"Ce cas précis n’est que l’illustration de l’inconscience des utilisateurs de réseaux sociaux."

Là je ne vois pas où est l’inconscience: Linkedin est un réseau servant à projeter publiquement son image professionnelle.

Les informations récupérées sont celles que l’utilisateur a volontairement choisi de rendre public.

Ce n’est pas l’exploitation d’une faille de sécurité mais la collecte d’informations publiques volontairement mise sur les profils.

Où diable est l’inconscience?

avatar MGA | 

@YetOneOtherGit

En donner trop sans réfléchir aux conséquences, l’utilisateur n’est pas en cause, tout est fait pour fluidifier la collecte d’informations. Exemple : donner un numéro de tel que l’on est pas prêt à changer en cas de besoin (j’ai le même numéro depuis 1995 je ne veux pas prendre le risque de trop l’exposer j’ai pris on/off avec d’autres numéros pour certains usages)
Concrètement : donnez vous votre numéro principal si vous passez des annonces sur « Le mauvais angle » ?

avatar pomme-z | 

y'a tant de soleil que ça par chez vous ?

avatar Insomnia | 

@newiphone76

Là n’est pas le problème et il existe aucun système dénué de failles...

avatar Leadlike | 

Ma technique pour éviter cela : j’utilise un mail unique sur LinkedIn. Détectable dans problème.
Les e-mails temporaires devraient être globalisé comme pour Apple.

avatar librecommelair | 

@Leadlike

Ma technique à moi est plus radicale : suppression de tous mes comptes Facebook, linkedin, Instagram, whats app et j’en passe. Au final, je gagne beaucoup de temps libre et j’enrichis un peu moins les gafam c’est double benef

avatar marenostrum | 

T’es au chômage apparemment.

avatar vincentn | 

@Leadlike

Sauf que là le mail unique ne sert à rien.

Il s’agit de données que vous avez volontairement et publiquement déposé sur cette plateforme de mise en relation professionnelle. Je peux les récupérer, et à partir de là m’amuser à remonter les autres traces et données que vous avez laissé à droite et à gauche (ou des proches ou collègues) sur le net et ailleurs. Assez trivial en fait avec les outils adéquats. Certes cela peut prendre un peu de temps, certaines choses plus complexes à faire maintenant, mais avec un peu d’astuce et d’espièglerie, vous seriez étonné par les données récoltées de façon directe et indirecte issues de ce profilage. Tout en restant dans la légalité (pas de piratages ou de vols de données privées par intrusion).
Sauf à ne pas être numériquement présent, à tout strictement compartimenter sans liens aucuns entre les différents pans de votre vie perso et pro. Faisable avec beaucoup de rigueur et si certaines activités (et encore), mais alors vous n’avez pas une vie « normale ».

Dans cette affaire LinkedIn, des petits malins ont juste ici trivialement scrapé de façon industrielle des données du site. Assez simple à faire (même sans être inscrit ou compte premium). Cela nécessite juste un peu de moyens (et encore) et de temps.

avatar BeePotato | 

@ vincentn : « mais alors vous n’avez pas une vie « normale ». »

D’accord avec le reste du commetaire, mais pas vraiment avec cette partie.

avatar vincentn | 

@BeePotato

Je précise, parce qu’effectivement, même avec des guillemets, le terme peut prêter à confusion. Normale par rapport à la norme sociale , les usages de la majorité des gens qui a actuellement cours dans nos sociétés occidentales.

On peut bien évidemment et parfaitement avoir une vie normale sans ça, mais la majorité des gens :

- ont 1 ligne mobile voire un smartphone. (95 % des français de plus de 12 ans ont une ligne mobile, 77% un smartphone).
- ont 1 connexion internet (85% des français vont sur Internet, 77% ont un accès internet chez eux)
- ont au moins 1 compte et fait des démarches en ligne (impôts, pôle emploi, caf, banque, boutiques en ligne, carte de fidélité, cagnotte en ligne, liste de mariage, etc.)
- ont fait un achat en ligne (8 internautes français sur 10, tout support confondus) voire laissé un commentaire après leur achat.
- ont donc un compte bancaire avec des moyens de paiement électronique.
- ont au moins 1 compte sur les RS, forums… (plus de 60% des français, les autres pouvant y être à leur corps défendant : photos, cités nommément, faire-part dans un carnet, site de généalogie…)
- etc.

Bref, la majorité des français (et autres) ont une vie numérique, directement ou indirectement, transmis sciemment ou pas, avec des données publiques, semi-publiques ou privées/confidentielles. Cette normalité que je décris.
Sans être une institution judiciaire, policière, de renseignements, sans passer par des data brokers, sans tomber dans l’illégalité et le banditisme en piratant ou en achetant sous le manteau des données volées, il y a déjà pas mal à faire avec les données et traces numériques publiques et semi/publiques.

On peut certes éviter cela, mais sans mobile, sans internet, avec peu de vie ou d’interaction sociale, en payant en espèce, en étant dans certains ordres monastiques ou que sais-je encore… Ce qui est très loin d’être la majorité des cas, notre fameuse norme sociale. En tous cas ce n’est pas mon cas, ni le votre ou celui de tous ceux qui ont commenté cet article.

avatar lll | 

Une remarque sur les autres personnes présentes à leur corps défendant sur les réseaux : c'est précisément ce qui m'a fait m'inscrire sur Facebook il y a une douzaine d'années.

- hé, j'ai vu une photo où tu fais la grimace sur Facebook !
- hein ? mais je n'ai pas Facebook !
- ta photo y est quand même !

Résultat, je me suis inscrit en espérant "contrôler" un peu ma vie privée, mais était-ce à moi de faire ça ?

La plupart des données des réseaux sociaux mises en ligne répondent à une forme d'injonction sociale ("quoi, tu n'as pas de compte Linkedin et tu prétends à un emploi dans les TI ?") et il me semble finalement que la partie narcissique est moins importante qu'on le croit. Cependant, faire culpabiliser l'utilisateur est un grand classique de notre époque.

avatar Kainam | 

Il n’y a aucune inconscience et c’est inévitable. Il y’a des outils très simple à utiliser il suffit d’avoir un compte valide et ça pompe tout sans rien faire après tu classe par pays ou ordre alphabétique et tu exporte en csv. N’importe qui peux le faire...

avatar v1nce29 | 

J'imagine qu'il y a quand même un minimum de protection pour éviter l'aspiration.
Il est peu probable qu'un utilisateur humain consulte plus de 100 profils parheur

avatar reborn | 

Très interessant cette base pour utiliser linkedin sans utiliser linkedin 🙃

avatar r e m y | 

Franchement, je ne vois pas où est l'info dans cette News... quelqu'un a récupéré des informations publiques mises à disposition volontairement par les utilisateurs de LinkedIn? Wahou! la belle affaire!
Et je ne vois pas non plus l'intérêt d'acheter cette base de données qui est nécessairement déjà obsolète pour partie, alors que des outils très simples permettent de faire toutes les extractions souhaitées avec les filtres de son choix, à tout moment sur LinkedIn directement (en obtenant donc des données à jour au moment où on fait l'extraction).

Des cabinets de recrutement (dits "chasseurs de tête"), font ça en permanence sur LinkedIn!

avatar Dziga_Vertox | 

Trop bien.
Les réseaux sociaux quelle merde.

avatar r e m y | 

Mais il n'y a eu aucun vol de données! Et toutes les données dont on parle dans cette non-information, sont uniquement des données publiques, exposées volontairement par les utilisateurs de LinkedIn pour être mises à disposition de tout le monde et récupérées notamment par les recruteurs, et pour lesquels il existe toute sorte d'outils (dont ceux fournis par LinekdIn) permettant de les extraire, les trier, les filtrer...
Bref, il n'y a RIEN dans cette info.

avatar MGA | 

@r e m y

Il y a une information. Ne rien donner que vous n’êtes pas prêt à voir exploité de façon tordue. Du coup le minimum est peut-être d’avoir un mail et un numéro de tel spécifique et... je n’ai pas de profil Linkedin je ne sais pas ce qu’on y trouve réellement comme info.

avatar r e m y | 

Vous n'avez pas de compte LinkedIn. Je pense que c'est là l'origine de l'incompréhension.

LinkedIn est une plateforme de mise en relation professionnelle. Les infos qu'on y dépose sont publiques et destinées à être utilisées. Ce sont des infos professionnelles que l'on souhaite partager largement. Les téléphones et e-mail que l'on indique (si on veut les indiquer) sont nos coordonnées professionnelles que l'on VEUT partager pour être potentiellement contacté.

Donc quelqu'un a constitué une base de données de 500 millions de comptes LinkedIn... la belle affaire ! Je ne vois pas qui pourrait être intéressé à l'acheter vu que LinkedIn met à disposition en permanence ces mêmes infos, non pas sur 500 millions de comptes, mais sur la totalité de leurs comptes... et en utilisant LinkedIn on est sûr de récupérer des infos à jour et pas des infos qui n'ont pas pu être actualisées depuis leur extraction par ce "pirate".

avatar MGA | 

@r e m y

Merci, je n’ai pas de compte mais je connais le principe. Le souci est qu’aucun utilisateur n’imagine que la base peut être extraite et utilisée à d’autres fins. Notamment recoupement avec d’autres informations d’autres bases collectées plus ou moins légalement.
Un fichier n’est pas problématique en lui même, c’est le regroupement / recoupement des informations qui est problématique.
C’est pour cette raison qu’il me semble raisonnable de garder une partie des informations personnelles strictement hors réseaux, un minimum s’infos fiables sur le long terme. Et toujours peser l’intérêt réel de laisser une information sur les réseaux.

Pages

CONNEXION UTILISATEUR