•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

48 millions de profils détaillés fuitent en ligne

Un dessin montrant un ordinateur portable à l'écran duquel une chaîne et un cadenas sont suspendus. Derrière l'ordinateur, divers dessins représentant des objets de la vie courante sont superposés.
Les profils assemblés par Localblox sont très détaillés. Photo: iStock / Lucy2014
Radio-Canada

Une équipe de chercheurs en cybersécurité a découvert un fichier non protégé en ligne contenant 48 millions de profils très détaillés, assemblés par l'entreprise américaine Localblox à partir notamment d'informations disponibles sur les réseaux sociaux. Ces profils, qui rappellent ceux obtenus par Cambridge Analytica, pourraient exposer les personnes visées à des vols d'identité et à des fraudes, en plus de servir à orienter l'opinion publique lors d'élections.

Selon la firme UpGuard, à l’origine de la découverte, les profils sont rédigés dans un langage compréhensible par des humains et permettent d'identifier facilement les personnes auxquelles ils sont associés. Ils contiennent notamment leur nom, leur adresse, leurs numéros de téléphone, leurs adresses courriel, leurs adresses IP, leur date de naissance, l’identité de leur employeur, leur salaire, leurs photos, leurs compétences professionnelles et plusieurs autres informations personnelles.

Certains profils étaient également associés à des entreprises, et non à des individus.

Le fichier compressé contenant les profils était accessible à tous sur la plateforme d’hébergement de fichiers S3 d’Amazon Web Services.

Dans son rapport (Nouvelle fenêtre), UpGuard souligne que « ce type de données a de la valeur, car il peut être utilisé efficacement et que cette efficacité peut devenir dangereuse si elle est utilisée de façon malveillante ».

Sur son compte Twitter personnel, le directeur de la recherche en cyberrisque d’UpGuard, Chris Vickery (Nouvelle fenêtre), a donné un exemple (Nouvelle fenêtre) de l’utilisation possible de la banque de données de Localblox.

Selon lui, dans le contexte d’une campagne électorale, un parti politique X pourrait acheter des espaces publicitaires sur des sites de nouvelles locales lorsqu’un parti adverse Y prépare un rassemblement. Le parti X pourrait alors faire jouer des publicités bruyantes lorsqu’un lecteur considéré comme un partisan potentiel du parti Y se présente sur un article parlant du rassemblement.

« La publicité elle-même peut être à propos de n’importe quoi. L’important, c’est qu’elle incite à fermer la page et à ne pas lire l’article. »

Localblox, la nouvelle Cambridge Analytica?

En analysant le fichier, UpGuard est parvenue à la conclusion qu’il appartenait à l’entreprise Localblox, une firme spécialisée dans l’assemblage de profils d’une grande fidélité à partir de données et d’informations publiques disponibles sur Internet.

Sur son site web, Localblox (Nouvelle fenêtre) dit avoir une banque de données contenant les profils de 270 millions de personnes et la position géographique de 2,7 billions d’appareils électroniques dans le monde.

Des pratiques douteuses

Les profils découverts semblent avoir été créés à partir d’informations amassées automatiquement sur Facebook, LinkedIn, Twitter et Zillow, un site de courtage immobilier. D’autres informations auraient été obtenues auprès de sources privées, comme des agences de marketing.

Or, ni Facebook, ni LinkedIn, ni Twitter n’autorisent la récolte automatisée d’informations sur leur plateforme. LinkedIn est même connue pour avoir traîné des contrevenants devant les tribunaux (Nouvelle fenêtre).

Facebook a d’ailleurs modifié son moteur de recherche interne, au début du mois d’avril, après avoir découvert que des personnes s’en étaient servi pendant des années pour amasser des informations en se servant de numéros de téléphone.

Localblox se défend

UpGuard dit avoir prévenu Localblox 10 jours après la découverte du fichier, alors qu’elle venait de commencer à l’analyser. Localblox a sécurisé le fichier le jour même.

En entrevue avec ZDNet, Ashfaq Rahman, le cofondateur et directeur de la technologie de Localblox, a accusé Chris Vickery d’avoir piraté la banque de données.

M. Vickery est pourtant bien connu dans le milieu de la cybersécurité pour son travail éthique (Nouvelle fenêtre) effectué dans les limites légales.

M. Rahman a aussi affirmé à ZDNet que la majorité des données associées aux 48 millions de profils découverts par UpGuard avait été inventée par Localblox à des fins de tests à l’interne. Il n’a toutefois pas voulu spécifier le pourcentage de données inventées.

Le cofondateur de Localblox a également indiqué que les coordonnées géographiques et les adresses IP contenues dans le fichier ne pointent pas vers leurs véritables propriétaires.

Avec les informations de ZDNet, et Forbes

Réseaux sociaux

Techno