Rewmi.com L'Equilibre notre Crédo
Dans trois cas récents de publications de données personnelles de leurs utilisateurs, ces réseaux sociaux se sont défendus en expliquant qu’il n’y avait pas eu de piratage informatique.
Le mois d’avril a été chargé en alertes pour les données personnelles : le 3 avril, une base de données contenant des données relatives à plus de 533 millions de comptes Facebook, dont les numéros de téléphone, était diffusée sur un forum fréquenté par des cybercriminels ; quelques jours plus tard, un membre de ce même forum a affirmé détenir des données relatives à des millions de comptes LinkedIn ; enfin, le 11 avril, un internaute a mis en ligne une base de données concernant 1,3 million de comptes Clubhouse, le réseau social vocal qui a suscité un certain intérêt en 2020.
Les réseaux sociaux Facebook, LinkedIn et Clubhouse ont tous assuré que ces bases de données ne provenaient pas de piratages, mais que des informations publiques avaient simplement été collectées et récupérées par des internautes. Une pratique que l’on appelle le « scraping » (grattage). Cela ne signifie pas, néanmoins, que des données en apparence anodine ne peuvent pas poser un problème pour les utilisateurs de ces réseaux.
Quand on parle de « fuite de donnée », on a tendance à imaginer un piratage, au cours duquel un ou plusieurs pirates parviennent à s’introduire dans les serveurs d’une entreprise, et à en exfiltrer des informations sensibles, comme des fichiers d’utilisateurs. C’est par exemple ce qui est arrivé à LinkedIn en 2012, lorsque le citoyen russe Yevgeniy Nikulin — condamné en 2020 — est parvenu à voler les adresses courriels et les mots de passe de plus de 117 millions de comptes.
Dans les cas récents concernant Facebook, LinkedIn et Clubhouse, les entreprises assurent qu’il n’y a pas eu d’intrusion. En fait, des internautes ont « scrapé » des données. Cette technique consiste le plus souvent à collecter des informations publiquement disponibles sur un site. Il est par exemple possible de coder un programme qui va parcourir toutes les pages d’un annuaire et collecter les informations à chaque fois qu’il rencontre les termes « nom », « prénom » et « numéro de téléphone ».
Ce n’est pas parce que des informations sont publiques qu’elles ne peuvent pas représenter un risque pour les utilisateurs. Le forum de discussion sur lequel ont été publiés des fichiers relatifs à des comptes Facebook, LinkedIn et Clubhouse est régulièrement fréquenté par des cybercriminels. Ces informations y sont publiées parce qu’elles peuvent servir à toutes sortes d’activités illicites.
Les simples informations nom, prénom et compte sur un réseau social peuvent être utilisées pour des tentatives de hameçonnage, dans lesquelles un pirate va tenter de se faire passer pour une entreprise ou un réseau social et essayer de récupérer l’accès à des servies que vous utilisez. Une adresse courriel peut avoir le même usage.
