Clé à emporter
- La semaine dernière, LinkedIn a répondu à de nouvelles allégations de violation de données en expliquant que les données des utilisateurs récemment découvertes pour la vente en ligne avaient été obtenues grâce à la récupération de données.
- Le scraping, c'est quand les entreprises utilisent des programmes automatisés pour "scraper" le Web à la recherche d'informations publiques, contrairement à une violation où des données privées sont accessibles.
- Le grattage est généralement légal, mais les experts disent qu'il existe toujours des problèmes de confidentialité.
Après que la nouvelle se soit rapidement répandue la semaine dernière selon laquelle les données de 700 millions d'utilisateurs de LinkedIn auraient été trouvées en vente sur le Web, les consommateurs ont rapidement appris que la prétendue violation de données était en fait le résultat d'un grattage - quelque chose que les experts disent être différent d'un violation et ne peut être facilement évitée.
Avec une histoire controversée remontant aux années précédentes, le scraping de données (ou web scraping) est essentiellement la collecte automatisée de données accessibles au public à partir de sites Web sur Internet. Bien que ce ne soit pas toujours une mauvaise chose en fonction de son utilisation, le grattage peut comporter des risques pour la vie privée lorsqu'il implique des informations personnelles.
"Tout le monde doit se rendre compte qu'à la minute où vous allumez votre téléphone, vos données vont partout", a déclaré Raffaele Mautone, PDG et fondateur d'AaDya Security, une entreprise de cybersécurité qui travaille avec des petites et moyennes entreprises, à Lifewire dans un entretien téléphonique. "Je dis toujours ça aux gens, et ils sont sous le choc de ne pas pouvoir protéger leurs données."
Signature de vos données
Selon Mautone, les utilisateurs acceptent souvent de renoncer aux droits sur leurs données lorsqu'ils s'inscrivent à de nouveaux comptes en ligne, laissant les données ouvertes à des programmes de grattage automatisés qui les collecteront, parfois pour des entreprises qui les vendront ou les utiliseront ensuite pour le marketing.
"Vous savez ce petit bouton sur lequel nous cliquons tous sur 'accepter' et ne lisons probablement pas les 400 pages qui se cachent derrière ? … Il dit fondamentalement que [l'entreprise] peut utiliser vos données comme elle le souhaite", Mautone a dit. "Donc, je pense qu'en tant que consommateurs, ou même entreprises, nous devons vraiment comprendre que c'est la ligne de base, et il n'y a vraiment aucun moyen de la contourner."
A cause de cela, une grande partie des informations que les utilisateurs publient en ligne deviennent disponibles à la vente, souvent à des courtiers en données ou à des spécialistes du marketing qui cherchent à faire la publicité de produits. Cela vaut même pour les informations destinées au public sur les profils de réseaux sociaux, comme les données récemment extraites de LinkedIn.
"Il y a tellement d'entreprises qui récupèrent des données, extraient des données, accèdent à différentes sources de données et finissent par trouver votre nom, votre adresse, votre numéro de téléphone, votre adresse e-mail", a déclaré Mautone.
En quoi les violations de données sont différentes
Alors que le web scraping est le processus de collecte de données publiques en ligne, telles que des informations provenant de profils publics, Mautone a déclaré que les violations de données impliquent que des pirates accèdent à des informations utilisateur sensibles stockées par l'entreprise, mais non accessibles au public. Cela inclut des informations telles que les numéros de carte de crédit, les numéros de sécurité sociale et les mots de passe.
"Une violation de données signifie qu'ils ont effectivement obtenu vos informations [privées]", déclare Mautone. "A titre d'exemple, il y a trois semaines, nous avons vu que des millions de logins et de mots de passe ont été déversés sur le dark web. Cela signifie qu'ils ont pu soit violer l'entreprise, soit accéder au réseau ou à la base de données et extraire toutes ces informations.."
Mautone affirme que les violations se produisent généralement à la suite d'un hameçonnage, où les pirates trompent des individus ou même des employés d'entreprises avec des liens malveillants dans des messages frauduleux qui semblent provenir d'une personne que la cible connaît, comme un membre de la famille ou un ami.
Tout le monde doit comprendre qu'à la minute où vous allumez votre téléphone, vos données vont partout.
Améliorer votre sécurité
Bien qu'il n'y ait pas de moyen parfait ou absolu de protéger les données en ligne, Mautone a déclaré qu'il existe des mesures que les consommateurs peuvent prendre pour se protéger contre les violations et le scraping.
Mautone a recommandé d'être plus prudent quant aux informations qu'ils fournissent aux entreprises, même jusqu'aux adresses e-mail.
"Vous voyez beaucoup de professionnels qui n'utilisent pas leurs adresses e-mail d'entreprise ou leurs coordonnées liées à leur entreprise [sur leurs comptes sociaux]", a déclaré Mautone, expliquant que l'utilisation d'un autre compte de messagerie sur les réseaux sociaux peut aider à protéger les utilisateurs d'être ciblés si leur adresse e-mail est récupérée ou obtenue par des pirates.
Mautone a également conseillé aux utilisateurs d'activer l'authentification multifacteur, d'activer les alertes bancaires et de s'assurer de verrouiller leurs numéros de sécurité sociale auprès des bureaux de crédit pour éviter le vol d'identité en cas de violation de données.
Les utilisateurs doivent également se familiariser avec les paramètres de confidentialité des applications de réseaux sociaux qu'ils utilisent, selon Mautone, et réfléchir attentivement aux informations qu'ils choisissent de rendre publiques en ligne.
"En tant qu'utilisateur de n'importe quelle application, quelles données voulez-vous voir ? Parce qu'en fin de compte, ce sera le cas", a déclaré Mautone.
