En l’espace de quelques jours, trois failles ou gestion douteuse de données ont été révélées à propos du réseau social professionnel.
Tout commence avec la fuite de données personnelles la plus importante jamais arrivée
C’est sans doute ce qui a le plus frappé les médias, et il y a de quoi. Dans un article daté du 22 novembre, deux chercheurs en sécurité informatique révèlent avoir découvert le 16 octobre dernier un serveur contenant 4To d’informations, en libre accès. Ils découvrent sur cette base de données plus de 4 milliards de comptes associés à 1,2 milliard de personnes inscrites sur LinkedIn ou Facebook.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Cette base de données a été immédiatement signalée au FBI et fermée dans la foulée. L’un des chercheurs, Vinny Troia a expliqué à Wired qu’il s’agissait de « la plus grosse fuite de données depuis une source unique ».
La nature des informations est en soi publique, 622 millions d’adresses mail, des noms, des numéros de téléphone liés à des comptes LinkedIn ou Facebook. Ce qui inquiète les chercheurs c’est de voir autant d’informations réunies et accessibles dans un même endroit. Elles peuvent faciliter la mise en place d’arnaques de grande ampleur.
La base de données serait composée de quatre documents provenant de deux entreprises spécialistes dans l’accumulation et le croisement de données des internautes. People Data Labs, qui est à l’origine du plus grand volume d’information de la base et Oxydata, qui aurait aspiré les données de LinkedIn. Les deux entreprises sont spécialisées dans la revente de données à des entreprises privées.
Sommé de s’expliquer, l’un des responsables d’Oxydata a déclaré : « Nos accords interdisent formellement à nos clients de revendre les informations que nous leur fournissons. Mais nous n’avons aucun moyen de nous assurer que ceux-ci protègent correctement leurs données ».
Selon les deux chercheurs à l’origine de la découverte, les informations ne seraient pas le fruit d’un piratage, mais de la compilation de données achetées aux deux entreprises, mal protégé par un client indélicat.
Une adresse mail inconnue ? LinkedIn peut vous aider !
On change cette fois d’échelle. Le 27 novembre, sur Twitter, Jean-François Pillou, fondateur de Commentçamarche.net explique avoir trouvé une petite faille sur LinkedIn. Cette faille est en soi très sommaire.
Magnifique, grâce à Linkedin vous pouvez trouver à qui appartient un mail inconnu (pour peu qu’il soit associé à un profil), coucou la @CNIL, c’est cadeau !😁 https://t.co/8PC6BzaA6B
Vérifiez en remplaçant le mail ci-dessus par le votre.
— Jean-François Pillou (@jeffpillou) November 27, 2019
Une personne dispose d’un email anonymisé dont elle souhaite retrouver le propriétaire. Si son propriétaire dispose d’un compte LinkedIn à laquelle est lié ce mail, ce sera très facile. Il suffit pour cela de taper l’URL https://www.linkedin.com/sales/gmail/profile/proxy/[email protected]
Le lien, une fois [email protected] complété et à la condition qu’un compte LinkedIn soit lié à cet email, amènera directement sur le profil de la personne sur le réseau social.
Après avoir fait le test chez Siècle Digital, avec une vieille adresse ne contenant ni nom ni prénom, mais liée à LinkedIn, nous pouvons confirmer que cela fonctionne bel et bien. Que les options de confidentialité, de non-divulgation du mail, soient activées ou non.
Comme la faille précédente, les informations récoltées ainsi sont publiques. On peut imaginer que les conséquences de cette faille sont limitées. Toutefois, si une personne a pris la peine d’anonymiser son adresse mail c’est qu’elle a une raison qui lui appartient. Ce n’est pas à LinkedIn de révéler une identité derrière un mail.
LinkedIn repris par la CNIL irlandaise
Pour cette troisième et dernière affaire de la semaine sortie sur LinkedIn, c’est TechCrunch qui a fait une découverte le 26 novembre. L’équivalent de la CNIL irlandaise a eu une drôle de surprise à l’occasion d’un audit de LinkedIn en 2017.
Dans un rapport, l’autorité de protection des données révèle avoir découvert, suite à la plainte d’un internaute, que LinkedIn avait récolté quelque 18 millions d’adresses email de personnes non inscrites à son réseau pour faire de la publicité ciblée sur Facebook.
L’autorité irlandaise ne sait pas comment le réseau social professionnel a obtenu ces adresses mail. Elle a toutefois simplement indiqué avoir réglé le problème « à l’amiable ». Le RGPD n’étant pas entré en application au moment des faits, l’affaire a été découverte avant le 25 mai 2018, LinkedIn ne risquait pas d’amende.
Cette accumulation d’affaires, la légèreté avec laquelle le réseau traite les données personnelles, interroge sur la leçon qu’à tirer LinkedIn de cette affaire irlandaise. Le respect du RGPD ne semble pas être une priorité pour le réseau social professionnel.
