Un pirate a mis en vente les données de 700 millions d’utilisateurs de LinkedIn sur un forum, soit 92 % des membres du réseau social professionnel. Si la quasi-totalité des utilisateurs est concernée, il ne s’agit toutefois pas d’un piratage. Explications.
LinkedIn s’est imposé comme le plus grand réseau social professionnel dans le monde avec 756 millions d’utilisateurs. Racheté par Microsoft en 2016, celui qui est devenu le “Facebook des pros” intéresse également les pirates. En avril dernier, la plateforme était rattrapée par une “fuite” de grande ampleur et les données de 500 millions d’utilisateurs s’étaient retrouvées en vente sur un forum spécialisé. Selon les sites PrivacySharks et Restore Privacy, spécialisés en cybersécurité, l’affaire a pris un nouveau tournant avec la découverte d’une nouvelle base de données contenant les informations de 700 millions d’utilisateurs. Cela représente 92 % des membres du réseau social professionnel.
Le vendeur, appelé TomLiner, a confié sur un forum spécialisé être en possession de cette gigantesque base de données. Pour convaincre son audience, il a même publié un échantillon contenant les données d’un million d’utilisateurs. L’analyse de cet échantillon a permis d’authentifier la véracité des informations et leur nature. Le fichier contient des éléments divers et variés tels que les noms complets, adresses e-mail, numéros de téléphone, adresses physiques, géolocalisation, l’expérience ou le parcours professionnels. Les identifiants d’autres profils de réseaux sociaux et une estimation du salaire peuvent également être visibles. Les informations, que nous n’avons pas consultées, seraient toutes authentiques et récentes (2020 ou 2021).
Non, 700 millions de comptes LinkedIn n’ont pas été “piratés”
Inquiétante en apparence, cette affaire mérite pourtant d’être relativisée. Selon PrivacySharks, cette base de données fait suite à celle découverte en avril et serait le résultat du cumul des données des fuites précédentes. Suite à ces révélations, LinkedIn a publié un communiqué confirmant cette hypothèse : “Nos équipes ont enquêté sur un ensemble de données LinkedIn présumées qui ont été mises en vente. Nous tenons à préciser qu’il ne s’agit pas d’une violation de données et qu’aucune donnée privée de membre de LinkedIn n’a été exposée. Notre enquête initiale a révélé que ces données ont été extraites de LinkedIn et d’autres sites Web et comprennent les mêmes données signalées plus tôt cette année.”
Le réseau social ajoute : “Les membres font confiance à LinkedIn avec leurs données, et toute utilisation abusive des données de nos membres, comme le scraping, viole les conditions de service de LinkedIn. Lorsque quelqu’un essaie de prendre les données des membres et de les utiliser à des fins que LinkedIn et nos membres n’ont pas acceptées, nous nous efforçons de les arrêter et les tenir responsables.”
Piratage et “scraping” sont deux choses différentes
Cette réponse est la même que celle effectuée en avril dernier. Par “extraction”, le réseau social fait référence à la technique dite du scraping, qui consiste à aspirer de grandes quantités de données publiquement accessibles en ligne. Le fait d’extraire du contenu de cette manière est interdit pas de nombreuses plateformes, dont LinkedIn. Ce dernier n’a donc pas fait l’objet d’une faille de sécurité et n’a pas été piraté, comme ce fut le cas en 2012, lorsque Yevgeniy Nikulin était parvenu à voler les adresses e-mail et les mots de passe de plus de 117 millions de comptes.
À lire aussi : 8,4 milliards de mots de passe ont été dévoilés et il ne faut pas s’inquiéter
L’absence d’intrusion empêche donc de parler de “piratage” ou même de “fuite”de données, même si ces termes sont régulièrement employés. Il ne faut cependant pas minimiser les affaires de “scraping”, qui permettent de générer d’immenses bases de données. Ces dernières peuvent aider des utilisateurs mal intentionnés à proposer des logiciels malveillants, envoyer des spams ou favoriser les tentatives de phishing. Certaines données peuvent aussi être utilisées pour usurper l’identité d’un internaute.
Il est nécessaire de sécuriser ses comptes en ligne
Même si les mots de passe ne sont pas concernés, cette affaire illustre une nouvelle fois la nécessité de sécuriser ses comptes en lignes. Nous vous conseillons de vérifier les informations disponibles en accès libre sur votre profil LinkedIn (ou autre) et de mettre à jour votre mot de passe. L’activation de la vérification en deux étapes vous aidera également à sécuriser votre compte.
Sécurité et vie privée sur Internet : les bonnes pratiques à adopter en ligne