Les informations personnelles voles au courtier en donnes National Public Data seraient toujours en cours de divulgation. Un nouveau fichier publi comprend 2,7 milliards d’enregistrements d’informations personnelles, dont les noms, les numros de scurit sociale, les pseudonymes potentiels et toutes les adresses physiques o elles ont vcu. Le fichier a t partag gratuitement par un prtendu membre du groupe de cybercriminels l’origine du piratage de National Public Data sur une place de march en ligne pour les donnes personnelles voles. Les analyses indiquent que la fuite de donnes pourrait concerner les citoyens des tats-Unis et d’autres pays.
Un acteur de la menace divulgue une base de donnes de 2,7 milliards d’enregistrements
En avril, le collectif de pirates informatiques USDoD a tent de vendre sur une place de march en ligne une base de donnes de 2,9 milliards d’enregistrements. Il prtendait avoir vol la base de donnes National Public Data et qu’elle comprend des informations sur tous les habitants des tats-Unis, du Royaume-Uni et du Canada. Le groupe demandait 3,5 millions de dollars pour l’ensemble de la base de donnes de 4 To, mais depuis lors, diverses entits ont publi gratuitement des morceaux de donnes sur le forum de pirates informatiques Breached, ce qui a probablement acclr leur diffusion en ligne.
Il s’agit de l’une des plus grandes violations de donnes jamais survenues. Les fuites prcdentes incluaient des numros de tlphone et des adresses lectroniques, mais il semblerait que ces lments n’aient pas t inclus dans la dernire fuite, qui est aussi la plus complte. Le 6 aot, un acteur connu sous le nom de Fenice a diffus gratuitement la version la plus complte des donnes voles National Public Data sur le forum de pirates informatiques Breached.
Toutefois, Fenice affirm que la violation de donnes a t mene par un autre acteur de menace nomm « SXUL », plutt que par USDoD. Les informations divulgues consistent en deux fichiers texte totalisant 277 Go et contenant prs de 2,7 milliards d’enregistrements en clair, au lieu des 2,9 milliards communiqus l’origine par USDoD. Les analystes n’ont pas pu confirmer que la base de donnes contient des informations personnelles sur chaque personne aux tats-Unis.
De nombreuses personnes ont signal que la fuite incluait leurs informations lgitimes et celles des membres de leur famille, y compris ceux qui sont dcds. Chaque enregistrement comprend les informations suivantes : le nom de la personne, son adresse postale et son numro de scurit sociale. Mais certains enregistrements contiennent des informations supplmentaires, comme d’autres noms associs la personne. Aucune de ces donnes n’est chiffre.
Il est important de noter qu’une personne pourrait avoir plusieurs enregistrements, un pour chaque adresse o elle a vcu. Cela signifie que la violation de donnes n’a peut-tre pas touch 3 milliards de personnes, comme cela a t prcdemment rapport. Certaines personnes auraient galement indiqu que leur numro de scurit sociale est associ d’autres personnes qu’elles ne connaissent pas, de sorte que toutes les informations ne sont probablement pas exactes.
Enfin, ces donnes peuvent tre obsoltes, ce qui pourrait indiquer que les donnes ont t extraites d’une ancienne sauvegarde. Cette violation de donnes a donn lieu de multiples recours collectifs contre Jerico Pictures, qui semble exercer ses activits sous le nom de National Public Data. La plainte allgue que National Public Data a illgalement collect les informations personnelles des Amricains et n’a pas t en mesure de les protger de manire adquate.
La collecte massive de donnes par National Public Data suscite plusieurs proccupations
Comment une socit comme National Public Data peut-elle obtenir les donnes personnelles d’autant de personnes ? La rponse se trouve dans le Web scraping (grattage Web), une technique utilise par les entreprises pour collecter des donnes partir de sites Web et d’autres sources en ligne. National Public Data se prsente comme un fournisseur de donnes d’archives publiques spcialis dans la vrification des antcdents et la prvention des fraudes.
L’entreprise explique qu’elle obtient les donnes partir de diverses bases de donnes d’archives publiques, de dossiers judiciaires, de bases de donnes nationales et d’tat et d’autres rfrentiels. Le mode opratoire consiste explorer le Web la recherche de tout type d’information, ce qui signifie que les informations ne sont pas donnes volontairement cette entreprise. Le caractre lgal du grattage Web reste flou. Dans l’ensemble, il est illgal selon certains experts.
La manire dont National Public Data a procds est d’autant plus proccupante que l’entreprise a rcupr des informations personnelles identifiables (PII) de milliards de personnes partir de sources non publiques. Par consquent, un grand nombre des personnes aujourd’hui impliques dans le recours collectif n’ont pas fourni leurs donnes personnelles l’entreprise de leur plein gr. Pire encore, certaines victimes ne savent peut-tre mme pas qu’elles sont concernes.
National Public Data n’a pas ragi la plainte, mais la socit devra probablement publier une notification de violation de donnes prochainement, tant donn le dsordre dans lequel l’a entrane l’utilisation de sources non publiques pour obtenir des donnes. Les propritaires de ces sources de donnes non publiques pourraient galement dcider de poursuivre National Public Data pour exploitation illgale de leurs bases de donnes et de collecte de donnes illgale.
L’entreprise est accuse de ngligence, de manquement l’obligation fiduciaire et au contrat de tiers bnficiaire, et d’enrichissement sans cause. Le principal plaignant rclame une compensation financire et demande l’entreprise de segmenter les donnes, d’analyser les bases de donnes, d’utiliser un systme de gestion des menaces et de nommer un valuateur tiers charg de procder une valuation de ses cadres de cyberscurit chaque anne pendant dix ans.
De nombreuses questions sur cette violation de donnes restent encore sans rponse. En attendant, vous devez tre prudent lorsque vous consultez votre bote de rception ou mme vos messages, car les cybercriminels utilisent souvent ce type de donnes pour lancer des attaques d’hameonnage cibles. Paralllement, vous devez surveiller attentivement vos comptes bancaires et autres comptes financiers pour dtecter tout signe de fraude ou d’activit suspecte.
Une Cour de justice estime qu’il n’est pas illgal de collecter des donnes publiques d’un site
HiQ effectue du Web scraping de profils publics des utilisateurs de LinkedIn, puis les utilise pour aider les entreprises mieux comprendre leurs propres effectifs. Le Web scraping est une technique permettant l’extraction des donnes d’un site via un programme, un logiciel automatique ou un autre site. L’objectif est donc d’extraire le contenu d’une page d’un site de faon structure. Le scraping permet ainsi de pouvoir rutiliser ces donnes.
Aprs avoir tolr les activits de Web scraping de hiQ pendant plusieurs annes, LinkedIn a envoy la socit une lettre de cessation et d’abstention en 2017 lui demandant de cesser de collecter des donnes partir de profils LinkedIn. LinkedIn a notamment fait valoir que hiQ violait la Computer Fraud and Abuse Act, la principale loi antipiratage des tats-Unis.
Cela reprsentait une menace existentielle pour hiQ, car le site Web de LinkedIn est la principale source de donnes de hiQ sur les employs de ses clients. HiQ a donc poursuivi LinkedIn en justice, cherchant non seulement dclarer que ses activits de Web scraping ne constituaient pas un piratage, mais galement une ordonnance interdisant LinkedIn dinterfrer.
Un tribunal de premire instance sest rang du ct de hiQ en 2017. Dbut septembre 2019, la Cour dappel du 9e circuit a entrin la dcision de la juridiction infrieure, estimant que la loi sur la fraude et les abus informatiques ne sappliquait tout simplement pas aux informations accessibles au grand public.
La CFAA a t promulgue pour empcher toute intrusion intentionnelle dans l’ordinateur de quelqu’un d’autre, notamment le piratage informatique , a crit un panel de trois juges. La cour a not que lorsque les lgislateurs dbattaient de cette loi, des analogies avec des crimes physiques tels que l’introduction par effraction ont t faites plusieurs reprises. Du point de vue du neuvime circuit, cela implique que la CFAA ne sapplique quaux systmes dinformation ou informatiques qui taient au dpart privs, ce que les propritaires de sites Web signalent gnralement avec un mot de passe.
D’ailleurs en octobre de cette anne-l, la 9e Cour dappel du circuit des tats-Unis a confirm linjonction prliminaire daot 2017 exigeant que LinkedIn permette hiQ Labs Inc davoir accs aux profils de membres disponibles au public. La dcision l’unanimit de la cour dappel de San Francisco a pench en faveur de hiQ sur la question du Web scraping qui, selon les critiques, peut tre assimil un vol ou la violation de la vie prive des utilisateurs.
Une activit encadre
En fonction de la position gographique, les rgles ne sont pas ncessairement les mmes. Dans le droit franais, le Web scraping est encadr par larticle L. 342-3 du Code de la proprit intellectuelle, qui autorise les pratiques suivantes :
l’extraction ou la rutilisation d’une partie non substantielle apprcie de faon qualitative ou quantitative, du contenu de la base, par la personne qui y a licitement accs. Cela signifie que le propritaire du site Web peut limiter le contenu pouvant tre collect de son site, en le prcisant dans ses conditions gnrales dutilisation ;
lextraction des fins prives est autorise, dans le respect des dispositions lgislatives et rglementaires en matire de droits dauteurs et de droits voisins sur les uvres ou les lments incorpors dans la base ;
lextraction et la rutilisation dune partie substantielle, apprcie de faon qualitative ou quantitative, des fins exclusives dillustration dans le cadre de lenseignement et de la recherche et pour un public compos dlves, dtudiants, denseignants ou de chercheurs directement concerns. Ainsi, ce cas de figure tant limit des fins pdagogiques, il est totalement exclu de faire usage des donnes extraites titre commercial par exemple.
Plusieurs sanctions peuvent sappliquer en cas de violation des rgles du Web scraping :
larticle 323-3 du Code pnal punit de 150.000 euros damende et cinq demprisonnement le fait d’introduire frauduleusement des donnes dans un systme de traitement automatis, d’extraire, de dtenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les donnes qu’il contient . Bien entendu, il faut pouvoir prouver lintention frauduleuse du Web scraping dans ce cas-l ;
en droit de la concurrence, le Web scraping peut tre qualifi dun acte de concurrence dloyale ou de parasitisme, si les critres de qualification sont remplis. Dans ce cas, le site Web victime pourra intenter une action en responsabilit dlictuelle et lauteur du Web scraping pourra tre condamn au paiement de dommages et intrts ;
lauteur du Web scraping peut galement tre sanctionn sur le fondement de la proprit intellectuelle en cas de non-respect de larticle L. 342-3 du Code de la proprit intellectuelle ;
enfin, la CNIL (Commission nationale de l’informatique et des liberts), qui a un pouvoir de contrle et de sanction en matire de RGPD, peut sanctionner des pratiques de Web scraping litigieuses sur le fondement du non-respect de la protection des donnes personnelles.
Sources : document de la plainte (PDF), National Public Data
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des pratiques de collecte de donnes de National Public Data ?
Que pensez-vous des risques auxquels il a expos les personnes dont les donnes ont t collectes ?
Le Web scraping est-il lgal de votre point de vue ? Pourquoi fait-il l’objet d’un dbat sans fin ?
Que pensez-vous des demandes des plaignants au tribunal dans le cadre du recours collectif contre National Public Data ?
Y a-t-il des chances que ces demandes soient satisfaites par le tribunal ? Pourquoi ?
Voir aussi