Smartphone France Android Edition : Grosse faille de sécurité chez Linkedin ?

Un pirate vient de mettre en vente, sur le darknet, les données de 700 millions d'utilisateurs du réseau social professionnel Linkedin. Cela représente 92 % des 756 millions d'utilisateurs du réseau social professionnel aujourd'hui propriété de Microsoft ! Selon le site RestorePrivacy, une faille dans l'interface de programmation (API) a permis au pirate de se télécharger tranquillement ces données. Le voleur de données les a ensuite mises en vente sur un forum du darknet, en exposant un échantillon des données d'un million d'utilisateurs.

En examinant cet échantillon, RestorePrivacy a pu estimer la nature des données volées. Elles contiennent des adresses mails, l'identité des utilisateurs, leur numéro de téléphone, leur adresse physique, leur géolocalisation. La plateforme a indiqué « enquêter sur ce problème ». LinkedIn assure qu’il ne s’agit pas « d’une violation de données de LinkedIn » mais plutôt d’un « scraping » (extraction) des données et que leurs investigations ont déterminé « qu’aucune donnée privée de membre de LinkedIn n’a été exposée ». Une affaire qui rappelle un peu celle du Pôle Emploi où ces services en ligne proposent en libre accès pas mal d'informations laissées volontairement par les utilisateurs. Des données qu'il est assez facile de récupérer sans piratage en automatisant une sorte de navigation.

Pour rappel un communiqué similaire avait déjà été publié par LinkedIn en avril dernier, lors d’une précédente fuite de données. Un pirate avait alors annoncé mettre en vente les données de 500 millions d’utilisateurs ayant un profil public sur la plateforme. Des affaires qui doivent nous rappeler à tous qu'il ne faut pas mettre sur ce type de site des données réellement personnelles. Il ne faut y publier que des informations qu'on n'a pas peur de rendre publiques et surtout ne jamais utiliser le même mot de passe pour plusieurs de ces services. Si comme moi vous utilisez LinkedIn, il y a de fortes chances que vous soyez présents sans le vouloir sur le darknet ;)