Accueil
Envoyer à un ami
Version imprimable
Partager
'Le monde trouble des pirates informatiques qui volent vos données personnelles sur les réseaux sociaux.
Combien de détails mettez-vous sur votre page de profil de médias sociaux ?
Nom, lieu de résidence, âge, fonction, état civil, photo ?
La quantité d'informations que les gens sont prêts à partager varie.
Mais la plupart des gens acceptent que tout ce que nous mettons sur notre page de profil public relève du domaine public.
Alors comment vous sentiriez-vous si toutes vos informations étaient cataloguées par un pirate informatique et mises dans une feuille de calcul gigantesque de plusieurs millions pour être vendues en ligne au cybercriminel prêt à payer la plus forte somme ?
C'est ce qu'un pirate informatique se faisant appeler "Tom Liner" a fait le mois dernier "pour le plaisir" en compilant une base de données de 700 millions d'utilisateurs de LinkedIn dans le monde entier, qu'il vend pour environ 5 000 dollars.
Cet incident, ainsi que d'autres cas similaires de "raclage" des médias sociaux, a suscité un vif débat sur la question de savoir si les informations de base que nous partageons publiquement sur nos profils devraient être mieux protégées.
C'est à 8 h 57, heure du Royaume-Uni, que le message est apparu sur un forum de piratage bien connu.
C'était une heure étrangement civilisée pour les hackers, mais bien sûr, nous n'avons aucune idée du fuseau horaire dans lequel vit le hacker - qui se fait appeler "Tom Liner".
"Salut, j'ai 700 millions de comptes LinkedIn enregistrés en 2021", écrit-il.
Le message contenait un lien vers un échantillon d'un million d'enregistrements et invitait les autres pirates à le contacter en privé et à lui faire des offres pour la base de données.
Des clients aux anges
Cette vente a évidemment fait sensation dans le monde du piratage et Tom m'a dit qu'il vendait son butin à de "nombreux" clients heureux pour environ 5 000 dollars.
Il ne veut pas dire qui sont ses clients ni pourquoi ils veulent ces informations, mais il affirme que les données sont probablement utilisées pour d'autres campagnes de piratage malveillantes.
Faut-il interdire le paiement de rançons aux pirates informatiques ?
La nouvelle a également enflammé le monde de la cybersécurité et de la protection de la vie privée, qui s'est demandé si nous devions ou non nous inquiéter de cette tendance croissante aux méga-braquages.
Ces bases de données ne sont pas créées en s'introduisant dans les serveurs ou les sites web des réseaux sociaux.
Elles sont en grande partie créées en écumant la surface des plateformes accessibles au public, à l'aide de programmes automatiques qui prennent toutes les informations librement disponibles sur les utilisateurs.
En théorie, la plupart des données compilées pourraient être trouvées en parcourant simplement les pages de profil des médias sociaux individuels. Bien entendu, il faudrait plusieurs vies pour rassembler autant de données que les pirates sont capables de faire.
Depuis le début de l'année, trois autres incidents majeurs de "raclage" ont eu lieu :
- En avril, un pirate a vendu une autre base de données contenant environ 500 millions de données extraites de LinkedIn.
- La même semaine, un autre pirate a publié gratuitement sur un forum une base de données contenant des informations extraites de 1,3 million de profils Clubhouse.
- Toujours en avril, 533 millions d'informations sur les utilisateurs de Facebook ont été compilées à partir d'un mélange d'anciens et de nouveaux "raclages" avant d'être proposées sur un forum de piratage avec une demande de dons.
Le hacker responsable de la base de données de Facebook : "Tom Liner".
J'ai parlé avec Tom pendant trois semaines par messages Telegram. Certains messages et même des appels manqués ont été passés au milieu de la nuit et d'autres pendant les heures de travail, de sorte qu'il n'y avait aucun indice quant à sa localisation.
Les seuls indices sur sa vie normale étaient lorsqu'il disait qu'il ne pouvait pas parler au téléphone car sa femme dormait et qu'il avait un travail de jour et que le piratage était son "hobby".
Un travail très complexe
Tom m'a dit qu'il avait créé la base de données LinkedIn de 700 millions de personnes en utilisant " presque exactement la même technique " que celle utilisée pour créer la liste Facebook.
"Il m'a fallu plusieurs mois pour le faire. C'était très complexe. J'ai dû pirater l'API de LinkedIn. Si vous faites trop de demandes de données utilisateur en une seule fois, alors le système vous bannit définitivement", a-t-il expliqué.
Comment les pirates utilisent les joueurs pour s'enrichir en cryptomonnaies ?
API signifie "application programming interface" et la plupart des réseaux sociaux vendent des partenariats API permettant à d'autres entreprises d'accéder aux données de la plateforme, par exemple pour le marketing ou la création d'applications.
Privacy Shark, qui a été le premier à découvrir la vente de la base de données, a examiné l'échantillon gratuit et a constaté qu'il comprenait des noms complets, des adresses électroniques, le sexe, des numéros de téléphone et des informations sur le secteur d'activité.
Pas de violation
LinkedIn dit que leurs preuves suggèrent que Tom Liner n'a pas utilisé leur API, mais a confirmé que l'ensemble de données "comprend des informations trouvées à partir de LinkedIn ainsi que des informations obtenues à partir d'autres sources".
Ils poursuivent : "Il ne s'agit pas d'une violation de données de LinkedIn et aucune donnée privée de membre de LinkedIn n'a été exposée. Le "raclage" de données de LinkedIn est une violation de nos conditions de service et nous travaillons constamment pour assurer la protection de la vie privée de nos membres."
En réponse à sa frayeur liée au vol des données du mois d'avril, Facebook a également minimisé l'incident , le décrivant comme un ancien "raclage'.
Cependant, le fait que les pirates gagnent de l'argent à partir de ces bases de données inquiète certains cyber experts.
Des détails complexes volés
Amir Hadzipasic, PDG et fondateur de SOS Intelligence, parcourt jour et nuit les forums de hackers sur le dark web. Dès que la nouvelle de la fuite de 700 millions de données de LinkedIn s'est répandue, lui et son équipe ont commencé à analyser les données.
"Les fuites à grande échelle comme celle-ci sont préoccupantes, étant donné la complexité de certaines de ces informations, comme les lieux géographiques ou les adresses privées de téléphones portables et d'e-mails.
"Pour la plupart des gens, il sera surprenant que ces services d'enrichissement d'API détiennent autant d'informations", a-t-il ajouté.
Tom Liner dit qu'il sait que sa base de données est susceptible d'être utilisée pour des attaques malveillantes.
Il dit que cela le "dérange" mais ne veut pas dire pourquoi il continue à effectuer des opérations de "raclage".
Selon Amir, les pirates qui achètent les données LinkedIn pourraient les utiliser pour lancer des campagnes de piratage personnalisées sur des cibles de haut niveau, comme les patrons d'entreprises, par exemple.
Il a également déclaré que le nombre important d'e-mails actifs dans la base de données pouvait être utilisé pour envoyer des campagnes de phishing (hameçonnage) en masse.
Les données sont publiques
L'expert en cybersécurité Troy Hunt, qui passe la majeure partie de sa vie professionnelle à étudier le contenu de bases de données piratées pour son site Web haveibeenpwned.com, est moins préoccupé par les récents incidents de "raclage" et affirme que nous devons les accepter comme faisant partie de notre partage de profil public.
"Il ne s'agit absolument pas de violations. La plupart de ces données sont de toute façon publiques.
"La question à se poser dans chaque cas est de savoir quelle part de ces informations est accessible au public par choix de l'utilisateur et quelle part n'est pas censée être accessible au public."
Troy est d'accord avec Amir pour dire que les contrôles sur les programmes d'API des réseaux sociaux doivent être améliorés et affirme que nous ne pouvons pas balayer ces incidents d'un revers de main.
"Je ne suis pas en désaccord avec la position de Facebook et d'autres, mais j'ai l'impression que la réponse 'ce n'est pas un problème', bien qu'elle soit peut-être techniquement exacte, passe à côté du sentiment de la valeur de ces données d'utilisateur et ils minimisent peut-être leur propre rôle dans la création de ces bases de données."
Les actions de Tom lui vaudraient probablement d'être poursuivi par les réseaux sociaux pour vol de propriété intellectuelle ou violation des droits d'auteur.
Mais, lorsqu'on lui a demandé s'il craignait d'être arrêté, il a répondu que personne ne pourrait le retrouver, et a terminé notre conversation en disant "passez un bon moment".
Combien de détails mettez-vous sur votre page de profil de médias sociaux ?
Nom, lieu de résidence, âge, fonction, état civil, photo ?
La quantité d'informations que les gens sont prêts à partager varie.
Mais la plupart des gens acceptent que tout ce que nous mettons sur notre page de profil public relève du domaine public.
Alors comment vous sentiriez-vous si toutes vos informations étaient cataloguées par un pirate informatique et mises dans une feuille de calcul gigantesque de plusieurs millions pour être vendues en ligne au cybercriminel prêt à payer la plus forte somme ?
C'est ce qu'un pirate informatique se faisant appeler "Tom Liner" a fait le mois dernier "pour le plaisir" en compilant une base de données de 700 millions d'utilisateurs de LinkedIn dans le monde entier, qu'il vend pour environ 5 000 dollars.
Cet incident, ainsi que d'autres cas similaires de "raclage" des médias sociaux, a suscité un vif débat sur la question de savoir si les informations de base que nous partageons publiquement sur nos profils devraient être mieux protégées.
C'est à 8 h 57, heure du Royaume-Uni, que le message est apparu sur un forum de piratage bien connu.
C'était une heure étrangement civilisée pour les hackers, mais bien sûr, nous n'avons aucune idée du fuseau horaire dans lequel vit le hacker - qui se fait appeler "Tom Liner".
"Salut, j'ai 700 millions de comptes LinkedIn enregistrés en 2021", écrit-il.
Le message contenait un lien vers un échantillon d'un million d'enregistrements et invitait les autres pirates à le contacter en privé et à lui faire des offres pour la base de données.
Des clients aux anges
Cette vente a évidemment fait sensation dans le monde du piratage et Tom m'a dit qu'il vendait son butin à de "nombreux" clients heureux pour environ 5 000 dollars.
Il ne veut pas dire qui sont ses clients ni pourquoi ils veulent ces informations, mais il affirme que les données sont probablement utilisées pour d'autres campagnes de piratage malveillantes.
Faut-il interdire le paiement de rançons aux pirates informatiques ?
La nouvelle a également enflammé le monde de la cybersécurité et de la protection de la vie privée, qui s'est demandé si nous devions ou non nous inquiéter de cette tendance croissante aux méga-braquages.
Ces bases de données ne sont pas créées en s'introduisant dans les serveurs ou les sites web des réseaux sociaux.
Elles sont en grande partie créées en écumant la surface des plateformes accessibles au public, à l'aide de programmes automatiques qui prennent toutes les informations librement disponibles sur les utilisateurs.
En théorie, la plupart des données compilées pourraient être trouvées en parcourant simplement les pages de profil des médias sociaux individuels. Bien entendu, il faudrait plusieurs vies pour rassembler autant de données que les pirates sont capables de faire.
Depuis le début de l'année, trois autres incidents majeurs de "raclage" ont eu lieu :
- En avril, un pirate a vendu une autre base de données contenant environ 500 millions de données extraites de LinkedIn.
- La même semaine, un autre pirate a publié gratuitement sur un forum une base de données contenant des informations extraites de 1,3 million de profils Clubhouse.
- Toujours en avril, 533 millions d'informations sur les utilisateurs de Facebook ont été compilées à partir d'un mélange d'anciens et de nouveaux "raclages" avant d'être proposées sur un forum de piratage avec une demande de dons.
Le hacker responsable de la base de données de Facebook : "Tom Liner".
J'ai parlé avec Tom pendant trois semaines par messages Telegram. Certains messages et même des appels manqués ont été passés au milieu de la nuit et d'autres pendant les heures de travail, de sorte qu'il n'y avait aucun indice quant à sa localisation.
Les seuls indices sur sa vie normale étaient lorsqu'il disait qu'il ne pouvait pas parler au téléphone car sa femme dormait et qu'il avait un travail de jour et que le piratage était son "hobby".
Un travail très complexe
Tom m'a dit qu'il avait créé la base de données LinkedIn de 700 millions de personnes en utilisant " presque exactement la même technique " que celle utilisée pour créer la liste Facebook.
"Il m'a fallu plusieurs mois pour le faire. C'était très complexe. J'ai dû pirater l'API de LinkedIn. Si vous faites trop de demandes de données utilisateur en une seule fois, alors le système vous bannit définitivement", a-t-il expliqué.
Comment les pirates utilisent les joueurs pour s'enrichir en cryptomonnaies ?
API signifie "application programming interface" et la plupart des réseaux sociaux vendent des partenariats API permettant à d'autres entreprises d'accéder aux données de la plateforme, par exemple pour le marketing ou la création d'applications.
Privacy Shark, qui a été le premier à découvrir la vente de la base de données, a examiné l'échantillon gratuit et a constaté qu'il comprenait des noms complets, des adresses électroniques, le sexe, des numéros de téléphone et des informations sur le secteur d'activité.
Pas de violation
LinkedIn dit que leurs preuves suggèrent que Tom Liner n'a pas utilisé leur API, mais a confirmé que l'ensemble de données "comprend des informations trouvées à partir de LinkedIn ainsi que des informations obtenues à partir d'autres sources".
Ils poursuivent : "Il ne s'agit pas d'une violation de données de LinkedIn et aucune donnée privée de membre de LinkedIn n'a été exposée. Le "raclage" de données de LinkedIn est une violation de nos conditions de service et nous travaillons constamment pour assurer la protection de la vie privée de nos membres."
En réponse à sa frayeur liée au vol des données du mois d'avril, Facebook a également minimisé l'incident , le décrivant comme un ancien "raclage'.
Cependant, le fait que les pirates gagnent de l'argent à partir de ces bases de données inquiète certains cyber experts.
Des détails complexes volés
Amir Hadzipasic, PDG et fondateur de SOS Intelligence, parcourt jour et nuit les forums de hackers sur le dark web. Dès que la nouvelle de la fuite de 700 millions de données de LinkedIn s'est répandue, lui et son équipe ont commencé à analyser les données.
"Les fuites à grande échelle comme celle-ci sont préoccupantes, étant donné la complexité de certaines de ces informations, comme les lieux géographiques ou les adresses privées de téléphones portables et d'e-mails.
"Pour la plupart des gens, il sera surprenant que ces services d'enrichissement d'API détiennent autant d'informations", a-t-il ajouté.
Tom Liner dit qu'il sait que sa base de données est susceptible d'être utilisée pour des attaques malveillantes.
Il dit que cela le "dérange" mais ne veut pas dire pourquoi il continue à effectuer des opérations de "raclage".
Selon Amir, les pirates qui achètent les données LinkedIn pourraient les utiliser pour lancer des campagnes de piratage personnalisées sur des cibles de haut niveau, comme les patrons d'entreprises, par exemple.
Il a également déclaré que le nombre important d'e-mails actifs dans la base de données pouvait être utilisé pour envoyer des campagnes de phishing (hameçonnage) en masse.
Les données sont publiques
L'expert en cybersécurité Troy Hunt, qui passe la majeure partie de sa vie professionnelle à étudier le contenu de bases de données piratées pour son site Web haveibeenpwned.com, est moins préoccupé par les récents incidents de "raclage" et affirme que nous devons les accepter comme faisant partie de notre partage de profil public.
"Il ne s'agit absolument pas de violations. La plupart de ces données sont de toute façon publiques.
"La question à se poser dans chaque cas est de savoir quelle part de ces informations est accessible au public par choix de l'utilisateur et quelle part n'est pas censée être accessible au public."
Troy est d'accord avec Amir pour dire que les contrôles sur les programmes d'API des réseaux sociaux doivent être améliorés et affirme que nous ne pouvons pas balayer ces incidents d'un revers de main.
"Je ne suis pas en désaccord avec la position de Facebook et d'autres, mais j'ai l'impression que la réponse 'ce n'est pas un problème', bien qu'elle soit peut-être techniquement exacte, passe à côté du sentiment de la valeur de ces données d'utilisateur et ils minimisent peut-être leur propre rôle dans la création de ces bases de données."
Les actions de Tom lui vaudraient probablement d'être poursuivi par les réseaux sociaux pour vol de propriété intellectuelle ou violation des droits d'auteur.
Mais, lorsqu'on lui a demandé s'il craignait d'être arrêté, il a répondu que personne ne pourrait le retrouver, et a terminé notre conversation en disant "passez un bon moment".
Autres articles
-
France: l’ex-Premier ministre François Fillon définitivement coupable pour des emplois fictifs
-
Gaza: le ministère de la Santé du Hamas annonce un nouveau bilan de 34262 morts
-
RDC: scandale autour du coût de construction d'un millier de stations de traitement d'eau
-
Qualité dans l'enseignement supérieur : l'UCAD met en place le projet QADoc
-
Découverte macabre au large du Brésil : Neuf cadavres identifiés comme des migrants en provenance de Mauritanie et du Mali
France: l’ex-Premier ministre François Fillon définitivement coupable pour des emplois fictifs
