Le mois dernier, un piratage de LinkedIn qui a exposé les données de 700 millions d'utilisateurs soit 92 % de l'ensemble des utilisateurs du service a été signalé. Les données comprenaient la localisation, les numéros de téléphone et les salaires déduits. L'homme à l'origine de l'opération qui se fait appeler "Tom Liner" a déclaré à la BBC qu’il a fait ce hack « pour le fun ». En seulement quelques mois, LinkedIn a été visé deux fois par les pirates. Dans les deux cas, la même méthode a été utilisée : le scraping. Concernant le scraping, de nombreux professionnels de la sécurité affirment qu'il ne s'agit pas d'une violation de la sécurité si les données sont accessibles au public. Même si aucune information financière n’avait été obtenue, cela n’en reste pas moins inquiétant. En effet, une simple adresse e-mail peut parfois suffire à usurper une identité ou mener des attaques d’hameçonnage ciblées.
Le scraping de données est un sujet controversé. Concrètement, le scraping consiste à extraire les données d’un site internet grâce à un programme, et ensuite les utiliser, ou les revendre. Dans sa forme la plus simple, il s'agit d'écrire un logiciel qui visite une page web, lit les données affichées, puis les ajoute à une base de données. Plus couramment, les gens utilisent les API (interfaces de programmation d'applications) fournies par le service web à des fins légitimes, et s'en servent pour récupérer de grandes quantités de données.
Cette pratique est controversée, car, d'une part, ceux qui pratiquent le scraping peuvent faire valoir qu'ils ne font qu'accéder à des données accessibles au public, ils le font simplement de manière efficace. D'autres affirment qu'ils abusent d'outils non prévus à cet effet et qu'il y a plus de données disponibles via les API que celles qui sont visibles sur les sites web, ce qui fait qu'il est difficile pour les utilisateurs de savoir quelles données ont été exposées. La terminologie fait même l'objet de controverses. De nombreux professionnels de la sécurité affirment qu'il ne s'agit pas d'une violation de la sécurité si les données sont accessibles au public. Mais si un service comme LinkedIn ne repère pas quelqu'un en train de gratter littéralement des centaines de millions d'enregistrements, cela ne pourrait-il pas s’apparenter à une faille de sécurité massive ?
Le scraping de LinkedIn pour le plaisir et le profit
La BBC s’est entretenue avec l'homme qui a pris les données et a décliné son identité sous le nom de Tom Liner. Comment vous sentiriez-vous si toutes vos informations étaient cataloguées par un pirate informatique et mises dans une feuille de calcul gigantesque contenant des millions d'entrées, pour être vendues en ligne au cybercriminel le plus offrant ? C'est ce qu'un pirate informatique se faisant appeler "Tom Liner" a fait le mois dernier "pour le plaisir".
Le hacker a mis en vente les 700 millions de comptes LinkedIn sur un forum spécialisé. Le montant demandé était équivalent à 4 200 euros environ. Il proposait un échantillon gratuit avec un million de comptes pour prouver que le contenu était bel et bien réel. Des vérifications ont montré que les données appartenaient effectivement à des personnes inscrites. On retrouvait noms, adresses e-mail, numéros de téléphone, adresses postales, lieux de géolocalisation, noms et liens des profils LinkedIn, expériences professionnelles, sexe et pseudos d’autres réseaux sociaux.
« Il m’a fallu plusieurs mois pour le faire », raconte le hacker. « C’était très complexe. J’ai dû pirater l’API de LinkedIn. Si vous effectuez trop de demandes de données d’utilisateur en une seule fois, le système vous bannit définitivement », précise-t-il. Et petite surprise : le fameux Tom Liner assure que le vol de 533 millions de comptes Facebook en avril dernier était également son œuvre. Il assure que la méthode de récupération était relativement similaire entre Facebook et LinkedIn. Cela implique dans les deux cas d’abuser d’une API pour collecter un maximum d’informations.
LinkedIn a vigoureusement nié que l'exposition des données relatives à 700 millions d'utilisateurs de sa plateforme de mise en réseau des travailleurs qui ont été mises en vente sur le dark web, soit une violation de données, insistant sur le fait que puisque les données ont été récupérées d’une autre manière par des acteurs malveillants, la société n'est pas en faute.
LinkedIn nie que Liner ait utilisé son API, mais la société de cybersécurité SOS Intelligence affirme que nous avons besoin de plus de contrôles sur leur utilisation. Amir Hadžipašić, PDG et fondateur de SOS Intelligence, affirme que les détails de cette affaire, et d'autres événements de scraping de masse, ne sont pas ceux que la plupart des gens s'attendraient à trouver dans le domaine public. Il pense que les programmes d'API, qui donnent plus d'informations sur les utilisateurs que ce que le grand public peut voir, devraient être contrôlés plus étroitement.
« Les fuites à grande échelle comme celle-ci sont inquiétantes, étant donné la complexité de ces informations, dans certains cas, telles que les emplacements géographiques ou les adresses privées de téléphone portable et de courrier électronique... Pour la plupart des gens, il est surprenant que ces services d'enrichissement d'API détiennent autant d'informations », a déclaré Hadžipašić.
Troy Hunt, expert en sécurité et propriétaire de haveibeenpwned.com, déclare qu'il ne considère pas l'utilisation abusive de l'API comme une violation de la sécurité, mais il est surtout d'accord sur la nécessité d'un contrôle accru. « Je ne suis pas en désaccord avec la position de Facebook et d'autres, mais j'ai l'impression que la réponse de 'ce n'est pas un problème', bien qu'elle soit peut-être techniquement exacte, passe à côté du sentiment de la valeur de ces données d'utilisateur et qu'ils minimisent peut-être leur propre rôle dans la création de ces bases de données ».
Source : BBC
Et vous ?
Quels commentaires faites-vous de la situation ?
Les données mises en vente ont été obtenues par le scraping de données, d’après LinkedIn. Comment protégez-vous vos comptes réseaux sociaux de cette pratique ?
Voir aussi :
Les données de 700 millions d'utilisateurs de LinkedIn en vente, soit plus de 92 % du total des 756 millions d'utilisateurs : encore du scraping de données
Pourquoi la prétendue fuite de données de Clubhouse est probablement en réalité juste un "scraping" de données, toutes les informations semblent être des données accessibles au public
Des données appartenant à 11 millions d'utilisateurs français volées à la plateforme marketing Apollo ont été mises en vente, les fichiers comprennent des noms et des adresses
Une fuite de données gigantesque expose les informations personnelles de 220 millions de Brésiliens, l'incident a été signalé par le dfndr lab, le laboratoire de cybersécurité de Psafe
Le Web scraping de 700 millions d'utilisateurs de LinkedIn a été fait « pour le fun »
Explique le hacker
Le Web scraping de 700 millions d'utilisateurs de LinkedIn a été fait « pour le fun »
Explique le hacker
Le , par Nancy Rey
Une erreur dans cette actualité ? Signalez-nous-la !