Piratage : les données de 500 millions d'utilisateurs de LinkedIn hackées et mises en vente en ligne

Alexandre Boero
Par Alexandre Boero, Journaliste-reporter, chargé de l'actu.
Publié le 09 avril 2021 à 16h14
© LinkedIn
© LinkedIn

Après Facebook il y a quelques jours, LinkedIn est à son tour touché par une fuite XXL de données retrouvées sur le dark web. Une majorité d'utilisateurs a été touchée.

La série noire continue pour les réseaux sociaux d'envergure. Selon le média spécialisé Cybernews, les données de plus de 500 millions d'utilisateurs de LinkedIn ont été dérobées par des pirates informatiques et ont depuis été mises en vente sur un célèbre forum de hackers. De nombreuses informations personnelles ont été divulguées, et la base de données contenant la totalité des informations recueillies aurait été mise aux enchères sur le dark web.

Des identifiants, noms ou encore adresses mails publiés

Pour prouver son « sérieux », outre la mise aux enchères de la base de données, celui qui semble être le détenteur de cette dernière a mis en ligne un échantillon de 2 millions de profils enregistrés, échantillon accessible, sur le forum de hackers, pour seulement 2 dollars. La base de données, elle, serait en vente en échange de Bitcoin.

Parmi les données exposées et consultées par Cybernews, on retrouve des identifiants, des noms, des adresses électroniques, des numéros de téléphone, mais aussi différentes lignes et informations professionnelles liées au « CV » des utilisateurs, qui sert de profil.

Des experts en cybersécurité ont confirmé que les données divulguées provenaient bien de LinkedIn et qu'elles appartiennent donc à des utilisateurs du réseau social professionnel, propriété de Microsoft. On ignore cependant à quand remonte exactement la fuite.

Un aperçu de "l'offre" du détenteur de la base de données (Capture d'écran © Cybernews)
Un aperçu de "l'offre" du détenteur de la base de données (Capture d'écran © Cybernews)

Seules les données « publiques » ont été captées par les hackers

Le 8 avril, LinkedIn a publié un communiqué dans lequel l'entreprise indique avoir « enquêté sur un ensemble présumé de données LinkedIn qui ont été mises en vente ». Selon elle, il s'agissait d'une « agrégation de données provenant d'un certain nombre de sites web et d'entreprises », ce qui inclut des données de profils de membres qui étaient visibles publiquement et ont, donc, été extraites de la plateforme professionnelle.

LinkedIn soutient qu'il ne s'agit pas d'une violation de données de l'entreprise et que les données de membres dont le profil n'est pas public n'ont pas été divulguées. La CNIL italienne a en tout cas annoncé ce jeudi avoir ouvert une enquête sur le réseau social.

Alors, quels risques peuvent courir les utilisateurs ? Étant donné qu'aucune donnée « critique » (comme les coordonnées bancaires) n'a été divulguée, les risques restent limités, mais comme pour la fuite géante de données Facebook, on peut tout à fait parier que des campagnes de spam et de phishing seront lancées par des individus malveillants bien décidés à profiter de la situation. En attendant, et même en ignorant le nombre de Français touchés par la fuite (le réseau social comptant plus de 20 millions de membres dans l'Hexagone), on ne peut que vous inviter à la prudence et à vérifier si votre mail n'est pas concerné par la fuite, à l'aide d'une petite visite sur le site Have I Been Pwned, qui regroupe les principales violations de données mondiales.

Par Alexandre Boero
Journaliste-reporter, chargé de l'actu

Journaliste, chargé de l'actualité de Clubic. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

A découvrir en vidéo

Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
Pronimo

Ca n’a pas l’air de la meme fuite de 2016 avec 164 millions de comptes concernés… Je m’étais plain d’ailleurs au support pour leurs crier a la gueule qu’ils ont laisser exploiter mes données LinkedIn sans mon consentement et par ailleurs disponible en public sur des sites comme apollo .io: nom, email, tel, employeur actuel, anciens emplois et qui semble toujours référencé sur Google malgré de nombreuses plaintes.

Bien sure a l’époque ils niaient le fait que les infos provenaient de chez eux ce qui était faux car il y’avais des infos que j’avais rentrée uniquement sur linkedin et pas sur mes CV… Bon au moins cette fois ci, ils ne vont plus se cacher de leur incompétence et nier les faits!

Felaz

Ca va en faire des appels de commerciaux !

ogaude_2020

Toutes ces histoires de fuite de données, montrent à quel point ces énormes sociétés n’accordent aucune attention aux lois/réglements européens. Compte tenu du montant des amendes (Sanction | CNIL), le RGPD devrait faire trembler l’ensemble de l’économie numérique et aucune entreprise ne devrait prendre le moindre risque. Au final, c’est juste un truc administratif de plus qui pénalise les PME européennes, et dont les USA et les Chinois se moquent totalement. Merci l’Europe !

AlexLex14

Une base de données constituées à partir des informations fournies par une plateforme mondiale, publiée illégalement sur un forum de piratage lui aussi illégal, par un hacker réputé, tu appelles ça une œuvre de bienfaisance toi ? :smiley: Moi j’appelle ça du piratage :wink:

C’est justement avoir une définition trop restrictive du piratage qui est une erreur. Le but n’est pas de faire du clic (je précise que je n’ai pas choisi ce titre-ci, chose rare, mais je l’approuve néanmoins).

Après, on a le droit de ne pas être d’accord, c’est bien normal :slight_smile:

AlexLex14

T’inquiète, pas de souci :wink:

D’ailleurs, chose non précisée dans l’article, j’ai tenté de contacter LinkedIn France, notamment pour savoir si justement des données d’utilisateurs FR étaient dans le pack. Pour le moment, pas de réponse… Et je ne pense pas en avoir ^^

twenty94470

Pour en avoir le cœur net tu peux faire une offre pour acheter les données :wink:

chicour

Concernant le rgpd ma boîte fait attention pour les amendes. Par contre on invite les gens à braver le confinement pour venir signer des assurances bidon car pas moyen de signer electroniquement. C’est dire le niveau

Iceslash

Dire qu’avant, toutes nos informations, nom+prénom+tel+adresse étaient en libre accès dans un bottin ou envoyé à la maison, on ne s’en plaignait pas…alalala.

bmustang

si c’est le cas! Que peut bien faire des coordonnées bancaires sur un site comme linkedin?
On n’a pas fini d’avoir des fuites de donnée dans la nature, ce n’est que le commencement.

cyrano66

Si c’est le cas ça a intérêt à être bien planqué parce que depuis la loi sur la protection des données personnelles la moindre donnée est qualifiée de sensible et l’exploitation de données personnelles par l’employeur (y compris un simple CV) ne peut pas se faire sans le consentement du salarié.

Sinon je suis assez d’accord que chacun dépose des données sur Linkedin à des fins de représentation personnelle.
C’est pas sûr linkedin qu’on risque de trouver la photo de tata Yvonne saoule en topless au bord de la piscine.
Ce site est public, visible et accessible.
Si le piratage en question est un simple siphonage automatique des données professionnelles publiques y’a pas de quoi jouer les vierges effarouchées.

Maintenant ça n’excuse pas le piratage. Bien sûr on ne colle pas son CV sur un site pour qu’il soit vendu 2$ sur le Darkweb.
Mais quand on cherche du boulot peut-être que c’est une solution pour augmenter l’audience.

Pas sûr que la simple extraction soit illégale.
Après tout c’est bien le fond de commerce de certains progiciels et même des moteurs de recherche. C’est inquiétant par l’ampleur et le côté systématique et automatique.
Et La revente est probablement illégale.

Parce que linkedin propose une prestation « premium » payante