Des réseaux sociaux impliqués dans la fuite de plusieurs millions de données personnelles
En parallèle de la lutte contre les contenus haineux publiés sur leurs plateformes, les réseaux sociaux doivent faire face à une nouvelle polémique. En effet, depuis le début de l’année 2021, les fuites de données personnelles semblent se multiplier.
Le nombre de données impliquées
-
Les données d’1,3 millions de compte du réseau social Clubhouse ont été divulguées sur internet au mois d’avril 2021 ;
-
plus de 533 millions de compte Facebook, dont 20 millions de français, seraient impliqués dans une fuite de données du mois d’avril 2021 également ;
-
en juin 2021, les données de plus de 700 millions de compte LinkedIn, représentant 92% des comptes existants sur le réseau social, auraient été mis en ligne sur le dark web, soit des forums de hackeurs ;
-
les données personnelles de 500 millions d’internautes utilisant LinkedIn circulaient déjà sur internet au mois d’avril 2021, elles étaient vendues seulement pour 5 000 dollars.
En cas de non-respect des mesures de sécurité, les sociétés peuvent encourir une sanction s’élevant à plusieurs millions d’euros. En effet, une obligation de sécurité des données pèse sur les responsables de ces réseaux. Au titre de cette obligation, seule les personnes désignées doivent avoir accès aux données personnelles des utilisateurs. Ainsi, la commission nationale pour la protection des données personnelles du Luxembourg a déjà enjoint une amende de 746 millions à Amazon.
-
Fuite de données personnelles : violation des données ou scrapping ?
Facebook et le piratage
Dans l’affaire Facebook, la fuite des données personnelles est en réalité une violation de ces dernières, puisqu’elle est liée à une défaillance informatique datant de 2019.
Il s’agit donc de piratage, la conséquence directe étant que des numéros de téléphone ont notamment été divulgués sur des forums fréquentés par des cybercriminels.
LinkedIn et le scraping
Le réseau social a affirmé qu’il n’avait pas été victime de piratage, c’est-à-dire d’intrusion dans le système informatique, mais qu’une collecte des informations publiques avait été exécutée par un programme informatique. Cette technique est appelée scraping, autrement dit « grattage ».
Au nom de la nature publique des informations mises en cause, LinkedIn conteste que cette fuite des données personnelles soit assimilée à une violation.
-
Conséquences pour les personnes concernées
Bien que LinkedIn n’ait pas subi un piratage et que l’opération ne concerne que des données rendues publiques, les conséquences pour les internautes sont bien réelles.
-
Les informations publiques constituent tout de même des données personnelles, c’est-à-dire toute information se rapportant à une personne physique identifiée ou identifiable ;
-
la publication de ces informations sur le dark web sert de support à des opérations malveillantes. Le rassemblement de ces données peut servir pour des usurpations d’identité ou encore pour la technique de hameçonnage également appelée fishing. Cette pratique consiste pour le fraudeur à se faire passer pour un organisme de confiance aux yeux de l’utilisateur, comme une banque, afin d’envoyer des mails visant à obtenir des informations. Il peut s’agir de coordonnées bancaires, de numéros de compte, de codes personnels…
Concernant Facebook, l’autorité irlandaise supervisant la protection des données, la Data Protection Commission (DPC) et la Cnil, ont annoncé qu’elles allaient travailler en collaboration dans le cadre d’une enquête ouverte par la DPC.
Cette enquête portera notamment sur les mesures de sécurités qui ont été prises mais aussi sur la communication aux personnes impliquées. Il s’avère que le réseau social n’a pas prévenu les internautes étant donné que les informations en cause étaient de nature publique.
Pourtant, les risques sont bien réels pour les utilisateurs, les données collectées étant de nature privée et sont susceptibles d’être sensibles.
Par Debora Cohen - 29 octobre 2021