Vous avez une impression de déjà-vu après avoir lu ce titre ? C’est normal, car c’est presque le même que celui d’un article écrit en avril dernier. Seul le chiffre était différent. On ne parlait alors que de 500 millions de profils qui étaient mis en vente.
Cette nouvelle proposition, plus importante, a été détectée sur Raidsforum.com, un forum dédié à la vente illégale de données personnelles. Plusieurs chercheurs en sécurité ont analysé un échantillon d’un million de profils. On y trouve des noms, des adresses e-mail, des adresses physiques, des numéros de téléphone, des données de géolocalisation, des informations professionnelles, des liens vers d’autres réseaux sociaux, etc.
D’où viennent ces données ? Contacté par RestorePrivacy.com, l’auteur de cette proposition malhonnête explique avoir collecté ces données directement depuis l’interface de programmation de LinkedIn. Une explication qui est cohérente avec celle du réseau social lui-même, qui soutient que « ces données ont été ‘grattées’ [scraped, ndlr] sur LinkedIn et sur d’autres sites ».
L’entreprise américaine précise par ailleurs que ce nouveau lot de données inclut celui détecté en avril dernier, qui provenait déjà d’une collecte par « scraping ».
LinkedIn, qui ne souhaite visiblement pas porter de responsabilité dans cette affaire, souligne que son infrastructure n’a pas été piratée et que les données privées des utilisateurs n’ont pas été exposées.
A découvrir aussi en vidéo :
Le « scraping » suppose que les données collectées étaient accessibles publiquement. Sur LinkedIn, il est possible, en effet, de créer un profil public qui sera indexé par les moteurs de recherche. L’utilisateur peut alors choisir les données qu’il souhaite y faire figurer. Et c’est d’ailleurs cohérent avec le lot de données qui a été mis en vente. Selon RestorePrivacy.com, la quantité de données exposées varie pour chaque profil.
Un procès perdu en 2019
Dans ses conditions d’utilisation générales, LinkedIn interdit toute collecte automatisée de données d’utilisateurs, ce qui semble avoir été le cas ici. Mais cette clause n’est pas respectée. Même des sociétés qui ont pignon sur rue siphonnent ouvertement les profils publics de LinkedIn.
C’est le cas par exemple de hiQ Labs, qui collecte ces données pour créer son propre service de recrutement. Le réseau social leur a fait un procès qu’il a perdu en 2019. Un tribunal d’appel américain avait décidé que le scraping de données était parfaitement légal, car les données étaient publiques.
LinkedIn n’a donc pas le droit d’interdire à hiQ Labs son accès aux profils publics. Par la suite, LinkedIn a sollicité la Cour suprême, qui vient de renvoyer l’affaire à la Cour d’appel. Mais il n’est pas certain que celle-ci va changer son jugement.
On ne sait pas si LinkedIn dispose de techniques permettant de détecter la collecte automatisée de données publiques. Mais même si c’est le cas, il n’est pas certain que la société ait le droit d’empêcher un tel accès.
Si l’on mène le raisonnement jusqu’au bout, la personne qui propose les données de 700 millions de profils LinkedIn n’est peut-être pas forcément dans l’illégalité, en tous les cas au regard du droit américain. À l’heure du RGPD, une telle situation semble paradoxale.
Sources : LinkedIn, RestorePrivacy, SocialMediaToday
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.