LinkedIn est un site de réseau social dont l’objectif est de favoriser les interconnexions entre les individus à des fins professionnelles. On peut dire que LinkedIn est une sorte de Facebook du monde du travail. Le site est parmi les plus célèbres au monde dans le scénario des professionnels. Nombreux sont les utilisateurs qui comptent sur ce site pour exposer leur CV et leurs offres d’emploi.
Selon de nombreuses sources, environ 500 millions de profils sur LinkedIn ont été mis en vente sur le Dark Web. À l’instar de ce qui s’était passé quelques jours plus tôt avec Facebook, il semble que quelqu’un ait utilisé un système de collecte automatique de données créé pour lire les données publiques de millions de pages web et les insérer ensuite dans une base de données. La technique informatique en question est appelée « Web Scraping » et peut être réalisée à l’aide de nombreux outils.
Les sites qui font normalement l’objet de ce type de technique sont les plus célèbres et qui ont donc plusieurs utilisateurs, les sites qui font du marketing d’affiliation, les sites qui, selon les utilisateurs cibles, offrent des informations pouvant être utilisées pour la génération de leads (pratique consistant à trouver des clients potentiels), les revenus publicitaires étant contrefaits par des visites fictives.
Bien que des compétences techniques soient nécessaires pour mener à bien ce type de collecte de données, ce système ne requiert pas de compétences particulières de haut niveau. Il s’agit en fait d’un moyen de voler des informations qui sont déjà rendues publiques ou des profils privés en ajoutant les amitiés de personnes que vous ne connaissez pas.
Pour être plus clair, c’est comme si une personne, d’une manière très rapide, avait commencé à copier et coller sur une base de données ordonnée les informations qu’elle considère utiles pour la vente. Comme il s’agit d’un système automatique, cette opération se fait un million de fois plus vite.
Il convient également d’ajouter que l’enregistrement d’informations publiques dans une base de données est une pratique qui est aussi normalement effectuée par les moteurs de recherche et les sites de référencement. Si la rumeur selon laquelle ils ne s’approprient des données publiques que par le biais du web scraping était confirmée, la différence se situerait au niveau de l’utilisation et de la vente illicites de ces données. Tout le monde sait que s’il met son numéro de téléphone sur une page publique de l’internet, il sera tôt ou tard atteint par des appels inattendus et non désirés.
Fondamentalement, si une page est publique et peut être consultée par un navigateur, elle peut certainement être lue par un système automatique, ce qui est la base du web scraping. Il existe de nombreux moyens de protéger un site contre cette procédure, comme la surveillance d’une seule adresse IP qui se déplace rapidement sur plusieurs pages. Mais si la personne mal intentionnée était en possession de plusieurs IP et d’un peu de familiarité avec les langages de programmation, elle pourrait aisément simuler un accès traditionnel et aléatoire depuis différents points du globe. Et l’administrateur du site verrait une augmentation des visites mais ne pourrait avoir aucune preuve que ces visites ne sont pas celles d’utilisateurs normaux.
Étant donné la prévalence des adresses IP dynamiques utilisées par de nombreux opérateurs, même l’administrateur système le plus attentif aura de sérieuses difficultés à bannir certaines adresses qui lui semblent suspectes. Empêcher l’accès à plusieurs classes d’adresses IP pourrait priver de service les utilisateurs légitimes qui utilisent simplement le même fournisseur pour se connecter à Internet.
Il existe d’autres moyens pour le site de se défendre, par exemple en demandant aux internautes de confirmer qu’ils ne sont pas des robots, mais cela réduirait considérablement l’accès des internautes car ils trouvent fastidieux de devoir cliquer à chaque fois pour confirmer qu’ils ne sont pas un programme automatisé.
Il est donc immédiatement clair que la meilleure façon de protéger votre vie privée contre ce type d’action est sans aucun doute d’éviter de saisir des données potentiellement sensibles sur Internet. Si vous devez faire de la publicité pour vous-même, l’insertion de ces données est souvent obligatoire. Par exemple, une personne qui a besoin de trouver un emploi et qui met son CV en ligne avec son adresse électronique pour être contactée.
Les informations ainsi recueillies pourraient être vendues à n’importe qui, à des centres d’appels décidément peu professionnels et peu scrupuleux, à des fraudeurs et à des malveillants de tout acabit. Il est nécessaire de faire toujours très attention à toutes les données que vous mettez dans le réseau parce qu’il n’y a jamais la certitude de la sécurité totale.
Les informations sur la technique utilisée n’auraient cependant pas été confirmées à 100% et recommanderaient ensuite aux utilisateurs de changer leur mot de passe pour accéder au profil.
Si le même mot de passe était également utilisé pour les courriers électroniques associés au profil, ce qui est une bonne pratique à ne jamais faire, il conviendrait de changer les mots de passe de ces derniers (ainsi que les mots de passe pour l’accès à d’autres sites et systèmes). N’oubliez pas que les mots de passe doivent être aussi complexes et longs que possible, qu’ils doivent être uniques, qu’ils doivent être changés régulièrement et qu’ils ne doivent jamais être stockés sur des supports accessibles, notamment sur le réseau.
Bien que l’accès soit plus compliqué, nous vous recommandons de toujours utiliser des navigateurs avec les cookies désactivés, de toujours vous déconnecter lorsque vous avez fini de travailler sur la plateforme et d’activer l’accès en deux étapes lorsqu’il est présent.
Le garant de la vie privée, aurait également conseillé de faire attention dans les semaines à venir à toute anomalie sur votre téléphone ou sur votre compte. Il peut y avoir des tentatives d’escroquerie avec des courriels frauduleux, des appels téléphoniques non désirés ou d’autres tentatives illicites.
Gardez toujours à l’esprit que ce n’est jamais une bonne idée de mettre vos données en ligne, sauf si c’est strictement nécessaire. Si une donnée est rendue publique sur un site, n’importe qui peut l’utiliser sans votre consentement.
En outre, même si les données sont privées, il existe toujours un risque que quelqu’un exploite une cyber-vulnérabilité pour avoir accès à vos profils.
Les attaques visant à vendre des données personnelles ne concernent pas seulement LinkedIn mais aussi de nombreuses autres entreprises et portails. Pour plus d’informations, veuillez contacter directement le propriétaire du site et suivre les directives de sécurité les plus courantes.
Dans ce lien, vous trouverez les sources de l’article.