Clé à emporter
- Un tribunal américain a statué que le grattage de données publiques sur des sites Web comme LinkedIn n'est pas illégal.
- Les défenseurs de la vie privée suggèrent que l'activité peut être utilisée pour identifier de nouvelles cibles et affiner les attaques de phishing.
-
La seule option pour les gens est d'arrêter le partage excessif, disent les experts.
Les hackers grattent littéralement le fond du baril pour affiner leurs attaques, et ils ont maintenant la bénédiction des tribunaux.
Le neuvième circuit d'appel des États-Unis a statué que la suppression de données publiques n'est pas contraire à la loi. Le scraping Web est le terme technique utilisé pour extraire des informations d'un site Web. Par exemple, lorsque vous copiez du texte d'un article sous forme de citation, c'est du scraping. Il entre dans une zone grise légale lorsque le grattage est effectué par des programmes automatisés qui grattent des sites Web entiers, en particulier ceux contenant des informations personnelles, telles que des noms et des adresses e-mail.
"La quantité massive d'informations qui peuvent être librement extraites d'Internet préoccupe à la fois les particuliers et les organisations, car ces informations [par exemple] peuvent facilement être utilisées par des attaquants pour améliorer les attaques de phishing", Rick McElroy, principal stratège en cybersécurité chez VMware, a déclaré à Lifewire par e-mail.
Entrez dans le pétrin
La décision intervient dans le cadre d'une bataille juridique entre LinkedIn et hiQ Labs, une société de gestion des talents qui utilise les données publiques de LinkedIn pour analyser l'attrition des employés.
Cela ne plaît pas au réseau social professionnel, qui soutient depuis longtemps que l'activité menace la vie privée de ses utilisateurs. En outre, LinkedIn soutient que le grattage est contraire à ses conditions d'utilisation et équivaut à du piratage, comme décrit dans la loi sur la fraude et les abus informatiques (CFAA).
Des groupes de défense de la vie privée tels que l'Electronic Frontier Foundation (EFF) ont critiqué la CFAA, affirmant que la loi vieille de trois décennies n'a pas été conçue en tenant compte des sensibilités de l'ère d'Internet.
La seule solution pratique pour les personnes soucieuses de leur vie privée est d'arrêter le partage excessif…
Dans sa critique, l'EFF note qu'elle s'efforce de faire comprendre aux tribunaux et aux décideurs politiques comment le CFAA a sapé la recherche sur la sécurité. Il cible LinkedIn pour sa tentative de transformer une loi pénale destinée à lutter contre les cambriolages informatiques en un outil pour appliquer les politiques d'utilisation des ordinateurs d'entreprise, restreignant essentiellement l'accès libre et ouvert aux informations accessibles au public.
LinkedIn ne voit pas le web scraping de la même manière. Dans une déclaration à TechCrunch, le porte-parole de LinkedIn, Greg Snapper, a déclaré que la société était déçue de la décision du tribunal et continuerait à se battre pour protéger la capacité des personnes à contrôler les informations qu'elles mettent à disposition sur LinkedIn. Snapper a affirmé que l'entreprise n'est pas à l'aise lorsque les données des personnes sont prises sans autorisation et utilisées d'une manière qu'elles n'ont pas acceptée.
Demander des ennuis
Alors que hiQ a pris position sur le fait qu'une décision contre le grattage des données pourrait "avoir un impact profond sur l'accès ouvert à Internet", il y a eu plusieurs incidents de mise à disposition de données grattées sur des forums clandestins à des fins néfastes.
En 2021, CyberNews a partagé que les acteurs de la menace avaient réussi à récupérer les données de plus de 600 millions de profils d'utilisateurs sur LinkedIn, les mettant en vente pour un montant non divulgué. Notamment, c'était la troisième fois au cours des quatre derniers mois que des données extraites de millions de profils publics d'utilisateurs de LinkedIn étaient mises en vente.
CyberNews a ajouté que même si les données n'étaient pas profondément sensibles, elles pouvaient néanmoins exposer les utilisateurs à un risque de spam et les exposer à des attaques de phishing. Les détails pourraient également être (ab)utilisés par des acteurs malveillants pour trouver rapidement et facilement de nouvelles cibles.
Willy Leichter, CMO de LogicHub, pense qu'il existe des problèmes juridiques et de confidentialité difficiles des deux côtés de cette affaire.
"[La décision] codifie essentiellement la façon dont Internet fonctionne dans la pratique [donc] si vous partagez quelque chose publiquement, vous avez définitivement perdu le contrôle exclusif de ces données, photos, publications aléatoires ou informations personnelles ", a averti Leichter dans un échange de courriels avec Lifewire. "Vous devez supposer qu'il sera copié, archivé, manipulé ou même transformé en arme contre vous."
Leichter a estimé que même si les gens pouvaient exercer un certain contrôle légal sur les données publiées dans le domaine public, il serait impossible de l'appliquer et cela ne dissuaderait en aucun cas les activités néfastes.
McElroy a accepté, affirmant que la décision est un excellent rappel que les gens devraient limiter leurs informations accessibles au public car c'est le seul véritable recours disponible pour les protéger contre de futures attaques.
"La seule solution pratique pour les personnes soucieuses de leur vie privée est d'arrêter le partage excessif et de bien réfléchir à tout ce que vous publiez publiquement", a suggéré Leichter.