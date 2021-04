Lorsque nous apprenons que des données personnelles d’un service Web, d’un réseau social ou de toute autre plateforme sont apparues, la première chose qui nous vient à l’esprit est que le portail concerné a subi une faille de sécurité. Cependant, ce n’est pas toujours le cas: à l’occasion, les informations ont été obtenues par d’autres moyens sans compromettre la sécurité du site Web concerné.

Actuellement, à moins que vous n’ayez décidé d’éviter d’avoir une présence sur Internet, sur le net, il y a une infinité d’informations sur vous. Tout le monde peut voir votre nom et prénom sur Facebook, le titre de votre poste sur LinkedIn ou connaître vos intérêts via Twitter. De plus, si vous ne mettez pas vos données privées, vos contacts peuvent avoir accès à votre email ou à votre numéro de téléphone, entre autres informations confidentielles.

La collecte manuelle des données personnelles affichées publiquement serait une tâche ardue, mais il existe des moyens d’automatiser l’extraction de ces informations. Cette pratique s’appelle le grattage et nous allons vous expliquer en quoi elle consiste.

Qu’est-ce que le grattage

Qu’est-ce que le grattage exactement? Le grattage (grattage en espagnol) est un ensemble de techniques utilisées pour extraire des informations de sites Web et les stocker de manière structurée. Ce travail n’est pas effectué manuellement, mais est réalisé de manière automatisée à l’aide d’un logiciel spécialement créé à cet effet.

Bien que ces dernières semaines, nous ayons vu des grattages liés à des collectes de données illégitimes, cette activité ne doit pas nécessairement être à des fins malveillantes. C’est la technique utilisée par les moteurs de recherche, tels que Google ou Bing, pour indexer des informations publiques sur des pages Web de manière automatisée.

Grâce à cette technique, il est possible d’obtenir des données structurées qui peuvent être stockées dans une base de données, une feuille de calcul ou un autre format de stockage. Outre les moteurs de recherche, le scraping est également largement utilisé par les comparateurs de prix de différents magasins, les applications d’historique des prix, les portails proposant des scores sportifs, des initiatives d’archivage Web et un long etc.

Quel est le meilleur antivirus de 2021? Choisissez l’antivirus le plus adapté à vos besoins et protégez votre smartphone, tablette et ordinateur grâce à nos conseils.

Ce qui se passe, c’est que le grattage peut aller à l’encontre des conditions d’utilisation des sites Web. Le fichier Robots.txt d’un portail indique si l’extraction automatique des données est autorisée, et si ce n’est pas le cas, les informations collectées sur ses pages ne doivent pas être collectées, même si elles sont dans le domaine public. Par exemple, dans le cas de Facebook, le réseau social ne permet pas l’extraction automatique de données, sauf si vous avez une autorisation expresse par écrit.

Bien qu’il puisse s’agir d’une pratique tout à fait légitime, le grattage peut également enfreindre la propriété intellectuelle, être lié à une concurrence déloyale et enfreindre le règlement général sur la protection des données ou la loi sur la protection des données.

Le rôle du scraping dans les dernières fuites Facebook, LinkedIn ou ClubHouse

Au cours des dernières semaines, nous avons su Trois pauses Big Data: Facebook, LinkedIn et ClubHouse. Cependant, aucun d’entre eux n’a été le résultat d’un piratage, mais les informations collectées dans les bases de données gérées par des cybercriminels proviennent de grattage.

Lorsque des criminels piratent un site Web, ils peuvent accéder aux informations utilisateur confidentielles que le portail stocke mais qui ne sont pas affichées publiquement, telles que les noms d’utilisateur, les mots de passe, les numéros de compte ou de carte de crédit, les e-mails, les numéros de téléphone, etc.

En échange, avec le grattage, il n’est pas possible d’obtenir des données confidentielles telles que des mots de passe, mais il est possible de collecter toutes les informations publiques des utilisateurs. Ces informations peuvent également être très larges et inclure le nom et le prénom, l’email, le numéro de téléphone, des liens vers des profils sociaux, des photographies et d’autres données personnelles.

Le cas de Facebook: le vol de données de plus de 533 millions d’utilisateurs

Début avril, nous avons rencontré l’une des plus grandes violations de données personnelles de Facebook. Spécifique, Plus de 533 millions d’utilisateurs ont été touchés, dont 11 millions d’Espagnols, dont les informations figuraient dans une base de données publiée sur un forum de piratage. Les informations comprenaient le nom complet, le lieu, l’adresse e-mail, le numéro de téléphone, l’identifiant Facebook, la date de naissance et les biographies.

Bien qu’à priori il ait été dit que Facebook avait subi une nouvelle faille de sécurité, la société l’a nié, soulignant que ses systèmes n’avaient pas été piratés, mais plutôt Les données recueillies dans la fuite avaient été obtenues par grattage.

Selon le réseau social de Mark Zuckerberg, les criminels ont collecté les données avant septembre 2019, date à laquelle un bug a été corrigé qui exposait le numéro de téléphone des utilisateurs, qui pouvait être extrait des serveurs de Facebook.

Si quelqu’un “pirate” votre compte Facebook, la première chose qu’il fera probablement est de changer votre mot de passe et de vous empêcher d’entrer. Mais que se passe-t-il si ce n’est pas le cas et est dédié à l’espionnage de votre compte Facebook? Ici, nous vous montrons comment savoir si quelqu’un a entré votre compte Facebook.

“Nous pensons que les données en question ont été extraites des profils Facebook des personnes par des acteurs malveillants utilisant notre importateur de contacts avant septembre 2019”, écrit la société. “Cette fonctionnalité a été conçue pour aider les gens à trouver facilement leurs amis à l’aide de leurs listes de contacts.”

Vous pouvez savoir si vous avez été victime de cette grande fuite en utilisant Have I Been Pwned?, Soit en entrant votre email ou votre numéro de téléphone au format international. Facebook a décidé de ne pas informer les utilisateurs dont les données ont été exposées, arguant qu’il n’est pas tout à fait clair qui a été affecté et que rien ne peut plus être fait, puisque les données ont été exposées publiquement.

LinkedIn: les données personnelles de 500 millions d’utilisateurs apparaissent

Mais Facebook n’est pas le seul réseau social à avoir été récemment touché par le scraping. Quelques jours après avoir appris la fuite, un utilisateur qui vendait une base de données de plus de 500 millions d’utilisateurs LinkedIn est apparu sur le Dark Web.

Cybernews, le média spécialisé qui a découvert la base de données, a vérifié qu’elle contenait des informations réelles à travers un échantillon. Il comprenait l’identifiant LinkedIn, le nom complet, l’adresse e-mail, le numéro de téléphone, le sexe, le lien vers le profil LinkedIn, des liens vers d’autres profils de réseaux sociaux, des titres professionnels et d’autres données liées à la carrière. Les mots de passe n’étaient pas inclus cette fois non plus.

Les experts de Cybernews ne peuvent pas savoir s’il s’agit d’informations actuelles ou si elles proviennent de failles de sécurité antérieures, bien qu’ils soupçonnent qu’il s’agit d’un autre cas de grattage.

ClubHouse: données personnelles de plus de 1,3 million de comptes

Le troisième majeur touché par le grattage au cours de cette courte période de temps a été ClubHouse. À la mi-avril, la nouvelle a annoncé que le réseau social à la mode aurait pu être piraté, car il avait été détecté dans un forum de hackers bien connu. un fichier contenant les données personnelles de 1,3 million de comptes.

A cette occasion, la base de données contient le code d’identification de l’utilisateur, le vrai nom, la photo de profil, le nom d’utilisateur, le nom d’utilisateur Twitter et Instagram, le nombre de followers et de personnes qui sont suivis, la date de création du compte et l’utilisateur qui vous a invité à ClubHouse.

Toutes ces informations sont publiques et peuvent être toute personne qui entre votre profil sur le réseau social, c’est pourquoi l’entreprise a rapidement nié avoir subi une faille de sécurité. ClubHouse a expliqué que ces données peuvent être obtenues via l’application ou l’API, de sorte que les informations ont été collectées par des techniques de grattage.

Comment vous protéger de la collecte de vos données

Bien que les sites Web puissent prendre certaines mesures pour arrêter les scrapers, telles que l’ajout d’entrées dans le fichier Robots.txt, le blocage de l’adresse IP des bots, l’ajout d’un captcha ou d’un autre système de vérification manuelle ou l’utilisation des services de sociétés anti-raclage, ils le font. cette il est très difficile d’éviter l’extraction de données à l’aide de techniques de grattage.

Alors, comment pouvons-nous nous protéger pour que nos données personnelles n’apparaissent pas dans ces types de bases de données? La réponse rapide n’est pas de créer des profils sur des services qui affichent des informations publiques, mais il est clair que c’est une option que presque personne ne choisit aujourd’hui.

Si vous ne voulez pas renoncer à avoir des profils sur les réseaux sociaux, il est préférable de saisir le moins d’informations personnelles possible. Ne fournissez pas votre numéro de téléphone, ni l’adresse e-mail que vous utilisez habituellement dans vos communications quotidiennes, et essayez d’avoir un profil privé qui ne peut pas être consulté par tout le monde.

Profitant de la célébration de la journée Safe Internet, Google a lancé Password Checkup, une extension pour Chrome qui vérifie si vos mots de passe sont sécurisés.

Et si vos données personnelles sont apparues dans une fuite? Dans le cas où vos informations de contact seraient tombées entre de mauvaises mains, vous pourriez recevoir des e-mails malveillants, ainsi que des SMS ou des appels frauduleux. Gardez à l’esprit que les criminels vendent les bases de données au plus offrant et qu’ils sont souvent utilisés pour mener des campagnes de phishing, distribuer des logiciels malveillants ou mener toutes sortes d’escroqueries.

De plus, ayant votre nom d’utilisateur, votre e-mail et d’autres données personnelles, même si le mot de passe n’est pas inclus parmi les informations divulguées, les cybercriminels peuvent utiliser les informations d’identification des failles de sécurité arrêtées pour essayer de trouver votre mot de passe et entrer dans vos comptes.

Pour éviter les mauvaises surprises, suivez des pratiques Internet sûres et protégez-vous.