Africa-Press – Mali. Quelle quantité d’informations personnelles partagez-vous sur vos pages de profil de réseaux sociaux ?
Nom, lieu de résidence, âge, fonction, situation de famille, photo d’identité ? La quantité d’informations que les gens sont prêts à publier en ligne varie.
Mais la plupart des gens acceptent que tout ce que nous mettons sur notre page de profil public tombe dans le domaine public.
Comment vous sentiriez-vous si toutes vos informations étaient cataloguées par un pirate informatique et placées dans une feuille de calcul monstrueuse contenant des millions de données, pour être vendues en ligne au cybercriminel le plus offrant ?
‘J’ai volé les données personnelles de 700 millions d’utilisateurs de LinkedIn juste pour m’amuser’
Les babyphones peuvent être contrôlés par des pirates informatiques
Comment des hackers ont volé des millions de $ à une banque
C’est ce qu’un pirate informatique se faisant appeler Tom Liner a fait le mois dernier “pour le plaisir” en compilant une base de données de 700 millions d’utilisateurs de LinkedIn à travers le monde, qu’il vend pour environ 5 000 dollars.
Cet incident, ainsi que d’autres cas similaires de récupération de données sur les réseaux sociaux, a suscité un vif débat sur la question de savoir si les informations personnelles de base que nous partageons publiquement sur nos profils devraient être mieux protégées.
Dans le cas de M. Liner, son dernier exploit a été annoncé à 08:57 BST dans un message sur un forum de piratage notoire.
C’était une heure étrangement civilisée pour les hackers, mais bien sûr nous n’avons aucune idée du fuseau horaire dans lequel vit le hacker qui se fait appeler Tom Liner.
“Salut, j’ai 700 millions de 2021 enregistrements LinkedIn”, a-t-il écrit.
Le message contenait un lien vers un échantillon d’un million d’enregistrements et invitait les autres pirates à le contacter en privé et à lui faire des offres pour sa base de données.
Naturellement, la vente a provoqué des remous dans le monde du piratage et Tom m’a dit qu’il vendait son butin à de “nombreux” clients satisfaits pour environ 5 000 dollars.
Il ne veut pas dire qui sont ses clients, ni pourquoi ils veulent ces informations, mais il dit que les données sont probablement utilisées pour d’autres campagnes de piratage malveillantes.
Sommes-nous tous en train de devenir des espions sans le savoir ?
Pourquoi le clonage de la voix intéresse de plus en plus les acteurs et les cybercriminels
La nouvelle a également enflammé le monde de la cybersécurité et de la protection de la vie privée, qui s’est demandé si nous devions ou non nous inquiéter de cette tendance croissante aux méga-braquages.
Ce qu’il faut comprendre ici, c’est que ces bases de données ne sont pas créées en s’introduisant dans les serveurs ou les sites web des réseaux sociaux.
Elles sont en grande partie construites en grattant la surface des plateformes qui donne accès au public, en utilisant des programmes automatiques pour prendre toutes les informations librement disponibles sur les utilisateurs.
En théorie, la plupart des données compilées pourraient être trouvées en parcourant simplement les pages de profil des réseaux sociaux, une par une. Bien entendu, il faudrait plusieurs vies pour rassembler autant de données que les pirates sont capables de le faire.
Depuis le début de l’année, il y a eu au moins trois autres incidents majeurs de “scraping”.
En avril, un pirate a vendu une autre base de données contenant environ 500 millions d’enregistrements extraits de LinkedIn.
La même semaine, un autre pirate a publié gratuitement sur un forum une base de données contenant des informations extraites de 1,3 million de profils Clubhouse.
Toujours en avril, 533 millions d’informations sur les utilisateurs de Facebook ont été compilées à partir d’un mélange d’anciens et de nouveaux scraps avant d’être publiées sur un forum de piratage avec une demande de dons.
Le pirate qui dit être responsable de cette base de données Facebook se fait appeler Tom Liner.
J’ai parlé avec Tom pendant trois semaines sur des messages Telegram, une application de messagerie instantanée basée sur le cloud.
Certains messages et même des appels manqués ont été passés au milieu de la nuit, et d’autres pendant les heures de travail, de sorte qu’il n’y avait aucun indice quant à sa localisation.
Les seuls indices de sa vie normale étaient lorsqu’il disait qu’il ne pouvait pas parler au téléphone car sa femme dormait et qu’il avait un travail de jour et que le piratage était son “hobby”.
WhatsApp vous permettra d’envoyer des messages sans téléphone – comment ça va marcher ?
Comment savoir si votre téléphone portable a été piraté et ce que vous pouvez faire pour l’éviter
Comment décrocher un emploi lucratif dans le domaine de la cybersécurité ?
Tom m’a dit qu’il avait créé la base de données LinkedIn de 700 millions de personnes en utilisant “presque exactement la même technique” que celle utilisée pour créer la liste Facebook.
“Il m’a fallu plusieurs mois pour le faire. C’était très complexe. J’ai dû pirater l’API de LinkedIn. Si vous faites trop de demandes de données utilisateur en une seule fois, alors le système vous bannit définitivement”, dit-il.
API est l’abréviation de “application programming interface” (interface de programmation d’applications).
La plupart des réseaux sociaux proposent des partenariats API, qui permettent à d’autres entreprises d’accéder à leurs données, par exemple à des fins de marketing ou pour créer des applications.
Tom dit avoir trouvé un moyen de tromper le logiciel API de LinkedIn pour qu’il lui donne l’énorme tranche d’enregistrements sans déclencher d’alarmes.
Privacy Shark, qui a été le premier à découvrir la vente de la base de données, a examiné l’échantillon gratuit et a constaté qu’il comprenait des noms complets, des adresses électroniques, le sexe, des numéros de téléphone et des informations sur le secteur d’activité.
LinkedIn insiste sur le fait que Tom Liner n’a pas utilisé son API, mais confirme que l’ensemble de données “comprend des informations extraites de LinkedIn, ainsi que des informations obtenues d’autres sources”.
Comment les grandes entreprises technologiques ont fait pour que ‘la journée dure 34 heures’
Pourquoi les retrouvailles du couple Jennifer Lopez-Ben Affleck passionnent
Il ajoute : “il ne s’agit pas d’une violation de données de LinkedIn et aucune donnée privée de membre de LinkedIn n’a été exposée. Le raclage de données de LinkedIn est une violation de nos conditions d’utilisation et nous travaillons constamment pour assurer la protection de la vie privée de nos membres.”
En réponse à sa frayeur du mois d’avril concernant les données, Facebook a également balayé l’incident comme un vieux scrape. L’équipe du service de presse a même accidentellement révélé à un journaliste que sa stratégie consiste à “encadrer le raclage de données comme un vaste problème industriel et à normaliser le fait que cette activité se produit régulièrement”.
Cependant, le fait que les pirates gagnent de l’argent grâce à ces bases de données inquiète certains experts en cybersécurité.
Le directeur général et fondateur de SOS Intelligence, une société qui fournit aux entreprises des renseignements sur les menaces, Amir Hadžipašić, parcourt jour et nuit les forums de pirates sur le dark web.
Dès que la nouvelle de la base de données de 700 millions de LinkedIn s’est répandue, lui et son équipe ont commencé à analyser les données.
M. Hadžipašić affirme que les détails de cet événement, et d’autres événements de scraping de masse, ne sont pas ceux que la plupart des gens s’attendraient à trouver dans le domaine public.
Il pense que les programmes API, qui donnent plus d’informations sur les utilisateurs que le grand public ne peut en voir, devraient être contrôlés plus étroitement.
“Les fuites à grande échelle comme celle-ci sont inquiétantes, étant donné la complexité de ces informations, dans certains cas, telles que les emplacements géographiques ou les adresses privées de téléphone portable et de courrier électronique.
“Pour la plupart des gens, il est surprenant que ces services de traitement d’API détiennent autant d’informations.
“Ces informations, si elles tombent entre de mauvaises mains, pourraient avoir des conséquences importantes pour certaines personnes”, a-t-il ajouté.Tom Liner dit qu’il sait que sa base de données est susceptible d’être utilisée pour des attaques malveillantes.
Il dit que cela le “dérange”, mais ne veut pas dire pourquoi il continue à effectuer des opérations de scraping.
M. Hadžipašić, qui est basé dans le sud de l’Angleterre, affirme que les pirates qui achètent les données LinkedIn pourraient les utiliser pour lancer des campagnes de piratage ciblées sur des cibles de haut niveau, comme des patrons d’entreprise par exemple.
Il a également déclaré que le nombre important d’emails actifs dans la base de données pouvait être utilisé pour envoyer des campagnes de phishing en masse.
Des femmes célèbres s’élèvent contre les abus en ligne
Pourquoi les Nigérians aiment tant le patron de Twitter ?
Aucune ambiguïté
L’expert en cybersécurité Troy Hunt, qui passe la majeure partie de sa vie professionnelle à étudier le contenu de bases de données piratées pour son site Web haveibeenpwned.com, est moins préoccupé par les récents incidents de scraping et affirme que nous devons les accepter comme faisant partie de notre partage de profil public.
“Il ne s’agit absolument pas de violations, il n’y a aucune ambiguïté ici. La plupart de ces données sont de toute façon publiques.
“La question à se poser, dans chaque cas cependant, est de savoir quelle part de ces informations est par choix de l’utilisateur accessible publiquement et quelle part n’est pas censée être accessible publiquement.”
Les YouTubers qui ont révélé un complot anti-vaccin Covid-19
“J’ai été mise en vente sur Internet parce que je suis musulmane”
Troy est d’accord avec Amir pour dire que les contrôles sur les programmes d’API des réseaux sociaux doivent être améliorés et affirme que nous ne pouvons pas balayer ces incidents d’un revers de main.
“Je ne suis pas en désaccord avec la position de Facebook et d’autres, mais je pense que la réponse “ce n’est pas un problème”, bien qu’elle puisse être techniquement exacte, ne tient pas compte de la valeur des données des utilisateurs et minimise peut-être leur propre rôle dans la création de ces bases de données.”
Les actions de M. Liner lui vaudraient probablement d’être poursuivi par les réseaux sociaux pour vol de propriété intellectuelle ou violation des droits d’auteur.
Il n’aurait probablement pas à faire face à toute la force de la loi pour ses actions si jamais il était retrouvé, mais, lorsqu’on lui a demandé s’il craignait d’être arrêté, il a répondu “non, personne ne peut me trouver” et a terminé notre conversation en disant “passez un bon moment”.
