Crypto

Le mois dernier, un piratage de LinkedIn qui a expos les donnes de 700 millions d’utilisateurs, soit 92 % de l’ensemble des utilisateurs du service a t signal . Les donnes comprenaient la localisation, les numros de tlphone et les salaires dduits. L’homme l’origine de l’opration qui se fait appeler “Tom Liner” a dclar la BBC quil a fait ce hack  pour le fun . En seulement quelques mois, LinkedIn a t vis deux fois par les pirates. Dans les deux cas, la mme mthode a t utilise : le scraping. Concernant le scraping, de nombreux professionnels de la scurit affirment qu’il ne s’agit pas d’une violation de la scurit si les donnes sont accessibles au public. Mme si aucune information financire navait t obtenue, cela nen reste pas moins inquitant. En effet, une simple adresse e-mail peut parfois suffire usurper une identit ou mener des attaques dhameonnage cibles.

Le scraping de donnes est un sujet controvers. Concrtement, le scraping consiste extraire les donnes dun site internet grce un programme, et ensuite les utiliser, ou les revendre. Dans sa forme la plus simple, il s’agit d’crire un logiciel qui visite une page web, lit les donnes affiches, puis les ajoute une base de donnes. Plus couramment, les gens utilisent les API (interfaces de programmation d’applications) fournies par le service web des fins lgitimes, et s’en servent pour rcuprer de grandes quantits de donnes.

Cette pratique est controverse, car, d’une part, ceux qui pratiquent le scraping peuvent faire valoir qu’ils ne font qu’accder des donnes accessibles au public, ils le font simplement de manire efficace. D’autres affirment qu’ils abusent d’outils non prvus cet effet et qu’il y a plus de donnes disponibles via les API que celles qui sont visibles sur les sites web, ce qui fait qu’il est difficile pour les utilisateurs de savoir quelles donnes ont t exposes. La terminologie fait mme l’objet de controverses. De nombreux professionnels de la scurit affirment qu’il ne s’agit pas d’une violation de la scurit si les donnes sont accessibles au public. Mais si un service comme LinkedIn ne repre pas quelqu’un en train de gratter littralement des centaines de millions d’enregistrements, cela ne pourrait-il pas sapparenter une faille de scurit massive ?

Le scraping de LinkedIn pour le plaisir et le profit

BBC sest entretenu avec l’homme qui a pris les donnes et a dclin son identit sous le nom de Tom Liner. Comment vous sentiriez-vous si toutes vos informations taient catalogues par un pirate informatique et mises dans une feuille de calcul gigantesque contenant des millions d’entres, pour tre vendues en ligne au cybercriminel le plus offrant ? C’est ce qu’un pirate informatique se faisant appeler “Tom Liner” a fait le mois dernier “pour le plaisir”.

Le hacker a mis en vente les 700 millions de comptes LinkedIn sur un forum spcialis. Le montant demand tait quivalent 4 200 euros environ. Il proposait un chantillon gratuit avec un million de comptes pour prouver que le contenu tait bel et bien rel. Des vrifications ont montr que les donnes appartenaient effectivement des personnes inscrites. On retrouvait noms, adresses e-mail, numros de tlphone, adresses postales, lieux de golocalisation, noms et liens des profils LinkedIn, expriences professionnelles, sexe et pseudos dautres rseaux sociaux.

 Il ma fallu plusieurs mois pour le faire , raconte le hacker.  Ctait trs complexe. Jai d pirater lAPI de LinkedIn. Si vous effectuez trop de demandes de donnes dutilisateur en une seule fois, le systme vous bannit dfinitivement , prcise-t-il. Et petite surprise : le fameux Tom Liner assure que le vol de 533 millions de comptes Facebook en avril dernier tait galement son uvre. Il assure que la mthode de rcupration tait relativement similaire entre Facebook et LinkedIn. Cela implique dans les deux cas dabuser dune API pour collecter un maximum dinformations.

LinkedIn a vigoureusement ni que l’exposition des donnes relatives 700 millions d’utilisateurs de sa plateforme de mise en rseau des travailleurs qui ont t mises en vente sur le dark web, soit une violation de donnes, insistant sur le fait que puisque les donnes ont t rcupres dune autre manire par des acteurs malveillants, la socit n’est pas en faute.

LinkedIn nie que Liner ait utilis son API, mais la socit de cyberscurit SOS Intelligence affirme que nous avons besoin de plus de contrles sur leur utilisation. Amir Hadipaić, PDG et fondateur de SOS Intelligence, affirme que les dtails de cette affaire, et d’autres vnements de scraping de masse, ne sont pas ceux que la plupart des gens s’attendraient trouver dans le domaine public. Il pense que les programmes d’API, qui donnent plus d’informations sur les utilisateurs que ce que le grand public peut voir, devraient tre contrls plus troitement.

 Les fuites grande chelle comme celle-ci sont inquitantes, tant donn la complexit de ces informations, dans certains cas, telles que les emplacements gographiques ou les adresses prives de tlphone portable et de courrier lectronique… Pour la plupart des gens, il est surprenant que ces services d’enrichissement d’API dtiennent autant d’informations , a dclar Hadipaić.

Troy Hunt, expert en scurit et propritaire de haveibeenpwned.com, dclare qu’il ne considre pas l’utilisation abusive de l’API comme une violation de la scurit, mais il est surtout d’accord sur la ncessit d’un contrle accru.  Je ne suis pas en dsaccord avec la position de Facebook et d’autres, mais j’ai l’impression que la rponse de ‘ce n’est pas un problme’, bien qu’elle soit peut-tre techniquement exacte, passe ct du sentiment de la valeur de ces donnes d’utilisateur et qu’ils minimisent peut-tre leur propre rle dans la cration de ces bases de donnes .

Source : BBC

Et vous ?

Quels commentaires faites-vous de la situation ?

Les donnes mises en vente ont t obtenues par le scraping de donnes, daprs LinkedIn. Comment protgez-vous vos comptes rseaux sociaux de cette pratique ?

Voir aussi :

Les donnes de 700 millions d’utilisateurs de LinkedIn en vente, soit plus de 92 % du total des 756 millions d’utilisateurs : encore du scraping de donnes



Pourquoi la prtendue fuite de donnes de Clubhouse est probablement en ralit juste un “scraping” de donnes, toutes les informations semblent tre des donnes accessibles au public



Des donnes appartenant 11 millions d’utilisateurs franais voles la plateforme marketing Apollo ont t mises en vente, les fichiers comprennent des noms et des adresses



Une fuite de donnes gigantesque expose les informations personnelles de 220 millions de Brsiliens, l’incident a t signal par le dfndr lab, le laboratoire de cyberscurit de Psafe

Back to top button