La base révèle le nom, l’email, le numéro de téléphone et l’employeur de ces millions d’utilisateurs du réseau social professionnel.
Un fichier listant les informations personnelles de 500 millions d’utilisateurs de LinkedIn, avec une mise à prix à 1000 dollars minimum : voilà ce qu’a découvert le site CyberNews sur un forum fréquenté par des pirates informatiques.
Pour démontrer la valeur de son fichier, le hacker à l’origine de ce dernier propose, contre deux dollars, un échantillon listant les données de 2 millions d’utilisateurs de LinkedIn. À l’intérieur se trouvent le nom, l’adresse email, le numéro de téléphone, les employeurs actuels et passés, les postes occupés, et les comptes sur les autres réseaux sociaux de ces personnes.
LinkedIn a confirmé jeudi l’information de CyberNews. Mais la plateforme réfute le terme piratage : ses serveurs n’ont pas été attaqués et compromis. Le fichier a été créé grâce à «une agrégation de données issues d’un certain nombre de sites et d’entreprises. Il inclut des informations visibles publiquement sur les profils d’utilisateurs LinkedIn, qui semblent avoir été scrapées».
Des informations publiques aspirées et compilées
Ce terme fait référence à l’aspiration automatisée et à grande échelle des informations accessibles librement sur un site Web. Les pirates se sont ici attaqués aux informations qu’ont volontairement mis en accès public les utilisateurs de LinkedIn, comme leur nom réel, leur parcours professionnel et leur compte Twitter, afin d’attirer les recruteurs. «Le scraping contrevient à nos conditions d’utilisation», rappelle le réseau social.
Les données aspirées sur LinkedIn semblent avoir été croisées avec de précédentes fuites. Fin mars, une base a ainsi été volée à une entreprise de marketing digital et mise en vente. Elle comprend les informations personnelles de 11 millions d’utilisateurs français de LinkedIn.
Enquête de la Cnil italienne
Qu’il s’agisse d’un piratage ou d’un scraping, le résultat reste le même pour les utilisateurs : ils risquent d’être la cible d’arnaques ou de tentative de piratage. Les hackers pourront par exemple facilement trier la base de données par entreprises afin de tenter de pénétrer dans leurs systèmes en envoyant des emails piégés à leurs salariés – ce que l’on appelle «hameçonnage» ou «phishing».
D’autres pirates exploiteront les numéros de téléphone afin de mettre en place des escroqueries : inciter les personnes à appeler des numéros surtaxés, ou les amener sur des sites les invitant à donner leurs informations de carte bancaire.
La Garante, l’autorité italienne de protection des données personnelles, a annoncé ouvrir une enquête contre LinkedIn au vu du nombre important d’internautes italiens présents dans cette base de données. Elle appelle en parallèle l’opinion publique à la plus grande prudence face aux emails, SMS ou appels téléphoniques suspicieux, et «porter une attention particulière à toute anomalie liée à votre numéro de téléphone et votre compte LinkedIn.»
Par Chloé Woitier
