Après Facebook, c’est au tour de LinkedIn d’être rattrapé par une « fuite » massive de données. Les données de 500 millions d’utilisateurs du réseau social professionnel sont en vente sur le Web. L’affaire semble toutefois moins problématique que celle qui affecte Facebook.
Nous expliquons dans notre dossier consacré aux bonnes pratiques à adopter en ligne que nos données personnelles valent de l’or, ce qui, en ce moment, se vérifie presque quotidiennement. Quelques jours après le nouveau scandale concernant Facebook, la plateforme LinkedIn est à son tour rattrapée par une fuite de grande ampleur. Les données de 500 millions d’utilisateurs du réseau social professionnel sont en vente sur un forum spécialisé, rapporte le site Cybernews. Alors que l’identité des hackers n’est pas connue, les informations sur les utilisateurs de LinkedIn sont en vente dans une base de données. La mise à prix a été fixée à quatre chiffres (soit 1000 dollars) pour accéder à quatre fichiers contenant les données de 500 millions d’utilisateurs, sur les 740 millions de membres que compte LinkedIn. Afin de prouver la véracité des données, les hackers proposent un échantillon de 2 millions d’utilisateurs pour environ 2 dollars.
Ces fichiers contiendraient les noms, adresses e-mail, numéros de téléphone, informations sur le lieu de travail, le titre du poste, les différents postes occupés et des liens vers d’autres profils de réseaux sociaux. Sur le papier, l’ampleur de la fuite paraît importante, mais elle l’est en réalité beaucoup moins. En effet, il s’agit vraisemblablement d’un « scraping » qui consiste à aspirer de grandes quantités de données publiquement accessibles en ligne. La technique est connue et présente donc moins de risques pour les utilisateurs, même si elle rappelle l’affaire Facebook. Les données de plus de 530 millions utilisateurs du réseau social de Mark Zuckerberg se sont également retrouvées en vente sur Internet, puis gratuitement sur le Web. Dans ce dernier cas, les hackers semblent avoir profité d’une faille au sein de Facebook pour accéder à des donnes sensibles de la plateforme.
De son côté, LinkedIn n’a pas nié l’incident et s’est fendu d’un court communiqué. La plateforme confirme que seules des données publiques ont été aspirées et réfute tout piratage. « Nous avons enquêté sur un ensemble présumé de données LinkedIn qui ont été mises en vente et avons déterminé qu’il s’agissait en fait d’une agrégation de données provenant d’un certain nombre de sites Web et d’entreprises. Il comprend des données de profil de membre visibles publiquement qui semblent avoir été extraites de LinkedIn », précise le réseau social détenu par Microsoft. Ce dernier ajoute qu’aucune fuite de données privée n’a été constatée et rappelle que « toute utilisation abusive des données de nos membres, telle que le scraping, viole les conditions d’utilisation de LinkedIn ».
La CNIL italienne ouvre une enquête
Le site Have I Been Pwned? n’a pas encore pu ajouter les données de cette fuite à sa base de données. En revanche, le site Cybernews propose son propre outil contenant plus de 780 000 adresses e-mail liées à cette fuite. Nous vous conseillons cependant de patienter et d’utiliser l’outil de Troy Hunt (haveibeenpwned.com), référence dans ce domaine. À noter que l’autorité italienne de protection de la vie privée, l’équivalent de la CNIL, a diligenté une enquête en raison du grand nombre d’internautes italiens présents dans cette base de données. Elle invite à « porter une attention particulière à toute anomalie liée à votre numéro de téléphone et votre compte [LinkedIn] ». Les utilisateurs peuvent notamment être la cible d’une campagne de phishing.