Discussion :

[Citrax]

C'est totalement nul et le combat s'annonce tres tordu,
Mais les gens etaient prevenus depuis des années que TOUT ce qui tombait sur le net, restait sur le NET eternellement.

Alors ou est la logique si les cannards qui ont laissé poussé leur plumes s'etonnent de se faire plumer dans la douleur a present !?
D'autant que fait en douce par fcbk, amstramgram, twiteur, et cie ca ne les derange pas si ouvertement tous les jours qui passent.
Hypocrisie de ces personnes !

Les seuls qui peuvent la ramener ce sont ceux qui ne balancent rien de leur vie privé sur le net et ont encore a coeur leur anonymat. De quel droit devraient ils etre retrouvé indirectement par telle ou telle boite sauvage ?
Parce que malheureusement il est impossible de rester 100% invisible a present : metro, aeroport, radars, smartphones, cookies, ...........on est fliqué partout, mais la ce n'est pas de notre fait* !

Faudra t'il qu'une partie de l'humanité se promene masquée pour vivre en PAIX ???

[Nancy Rey]

L'extraction automatique de données publiques sur le web est toujours autorisée,
une cour d'appel des États-Unis réaffirme la légalité du Web Scraping

Une cour d'appel a statué hier que le web scraping, c'est-à-dire l'extraction automatique d'informations de sites web et leur stockage en vue d'une utilisation ultérieure, est légal, protégeant ainsi un outil utilisé par les chercheurs, mais portant un coup au site de réseautage social LinkedIn, propriété de Microsoft, qui affirmait que cette pratique mettait en danger la vie privée des utilisateurs. Bonne nouvelle donc pour les archivistes, les universitaires, les chercheurs et les journalistes : l'extraction de données accessibles au public est légale.

L’extraction automatique de données sur un site web public ne viole pas la loi américaine sur la fraude et les abus informatiques (CFAA : America's Computer Fraud and Abuse Act), a décidé lundi la cour d'appel pour le neuvième circuit des États-Unis (Ninth Circuit). La décision fait écho à la décision de la cour d'appel de 2019, qui a confirmé la décision de 2017 d'un tribunal inférieur dans l'affaire HiQ contre LinkedIn, selon laquelle la récolte des données de sites Web ne constitue pas un accès sans autorisation à un ordinateur protégé.

L'affaire a débuté en Californie en 2017 lorsque HiQ, une société d'analyse de l'emploi, a intenté une action en justice pour contester les efforts juridiques et techniques de LinkedIn pour empêcher HiQ de copier les données de profil public des utilisateurs de LinkedIn. HiQ utilise des données collectées à partir des sections publiques de LinkedIn pour créer des rapports pour les entreprises clientes, identifiant lesquels de leurs employés sont les plus susceptibles de démissionner et lesquels sont les plus susceptibles d'être ciblés par les recruteurs.

Le juge de district chargé de l'affaire a accordé une injonction préliminaire à HiQ qui interdisait à LinkedIn d'interférer avec le raclage de données de HiQ pendant que l'affaire progressait. Il a décidé que cela n'avait aucun sens d'appliquer la CFAA (une loi qui criminalise l'accès à un ordinateur protégé "sans autorisation" ou d'une manière qui "dépasse l'accès autorisé") à la collecte de données publiques sur le site Web de LinkedIn. LinkedIn a néanmoins fait appel et, deux ans plus tard, le neuvième circuit s'est rangé du côté de HiQ et a renvoyé l'affaire au Northern District of California pour qu'elle soit résolue.

Sans se décourager, LinkedIn a fait appel devant la Cour suprême des États-Unis. En mars 2020, elle a demandé à la Cour suprême d'examiner la décision du Ninth Circuit. L'entreprise a fait valoir que la mise en place d'obstacles techniques au grattage du Web, conjuguée à l'envoi d'une lettre de cessation et d'abstention, devrait être considérée comme un mécanisme d'autorisation. En effet, le site de médias sociaux détenu par Microsoft souhaite bénéficier des avantages concurrentiels d'un accès contrôlé sans en subir les conséquences, à savoir l'invisibilité pour le trafic des moteurs de recherche.

« En vertu de la règle du neuvième circuit, toutes les entreprises dont la partie publique du site Web fait partie intégrante de leurs activités, qu'il s'agisse de détaillants en ligne comme Ticketmaster et Amazon ou de plateformes de réseaux sociaux comme Twitter, seront exposées aux robots envahissants déployés par les resquilleurs, à moins qu'elles ne placent ces sites Web entièrement derrière des barricades de mots de passe… Mais si cela se produit, ces sites web ne seront plus indexables par les moteurs de recherche, ce qui rendra les informations moins accessibles à la découverte par le principal moyen par lequel les gens obtiennent des informations sur Internet », ont écrit les avocats de LinkedIn dans la requête de l'entreprise qui sera entendue par la Cour suprême.

Le 3 juin 2021, la Cour suprême, dans une affaire connexe, Van Buren contre United States, a restreint le champ d'application de la CFAA, qui avait été critiquée pendant des années pour ne pas avoir défini les expressions "sans autorisation" et "dépasse l'accès autorisé". Dans l'affaire Van Buren, la haute cour a déclaré que le fait d'enfreindre les conditions d'utilisation d'un service ne constituait pas en soi un "accès non autorisé" au sens du CFAA. Cependant, elle a laissé planer une certaine ambiguïté sur la question de savoir si le contrôle basé sur les justificatifs d'identité est le seul moyen de déterminer si l'accès était "sans autorisation".

Puis, deux semaines plus tard, la Cour suprême a renvoyé l'affaire HiQ contre LinkedIn au neuvième circuit pour qu'il la réexamine à la lumière de la manière dont l'arrêt Van Buren avait remodelé la responsabilité au titre du CFAA. Aujourd'hui, la cour d'appel a réexaminé sa décision antérieure et est parvenue à la même conclusion qu'il y a deux ans, quoique renforcée par l'affaire Van Buren. « L'une des caractéristiques des sites Web publics est que leurs sections accessibles au public ne sont soumises à aucune restriction d'accès ; au contraire, ces sections sont ouvertes à toute personne disposant d'un navigateur Web », indique la décision du neuvième circuit .

En d'autres termes, si l'on applique l'analogie des "portes" à un ordinateur hébergeant des pages Web accessibles au public, cet ordinateur n'a pas érigé de portes à soulever ou à abaisser en premier lieu. Van Buren renforce donc notre conclusion selon laquelle le concept de 'sans autorisation' ne s'applique pas aux sites web publics". L'arrêt ne résout cependant pas le différend entre HiQ et LinkedIn. Il empêche simplement LinkedIn de bloquer la collecte de données publiques par HiQ et de déposer une plainte contre la société d'analyse en vertu de la CFAA. Les questions relatives à la concurrence déloyale, à la protection de la vie privée et à la législation nationale n'ont pas encore été abordées.

Dans une déclaration, un porte-parole de LinkedIn a indiqué que la société avait l'intention de continuer à se battre devant les tribunaux. « Nous sommes déçus, mais il s'agissait d'une décision préliminaire et l'affaire est loin d'être terminée. Nous continuerons à nous battre pour protéger la capacité de nos membres à contrôler les informations qu'ils rendent disponibles sur LinkedIn », a déclaré un porte-parole de la société.

Le scraping n'est pas nécessairement une activité illicite : les moteurs de recherche comme Google utilisent le scraping pour recueillir automatiquement les adresses et les descriptions de pages Web à inclure dans les résultats de recherche. Le scraping peut également être utilisé pour collecter et traiter plus efficacement des données dans le cadre d'études scientifiques. Une étude gouvernementale britannique en cours sur les décès dus aux drogues opioïdes a utilisé le scraping pour extraire des informations des rapports des coroners à un rythme de plus de 1 000 rapports par heure, contre environ 25 rapports par heure lorsque la tâche était effectuée manuellement. Bien que LinkedIn reconnaisse que le scraping peut être utilisé à des fins légitimes, il affirme que le scraping des profils LinkedIn effectué sans l'approbation de la société met en danger la vie privée des utilisateurs.

Sources : Décision de justice

Et vous ?

Que pensez-vous du Web scraping ? L'avez-vous déjà fait ?
Le Web scraping sur des informations explicitement définies comme étant publiques doit-il être prohibé ? Pourquoi ?

Voir aussi :

Une décision de justice US a légalisé la collecte des données publiques d'un site pour les utiliser dans ses activités, certains sites veulent se protéger en y mettant des moyens techniques

Facebook : les informations personnelles de plus de 1,5 milliard d'utilisateurs vendues sur un forum de pirates, nom, adresse électronique, numéro de téléphone, localisation sont divulguées

Collecter des données publiques d'un site pour les utiliser dans ses activités n'est probablement pas illégal, d'après une décision de justice

Le Web scraping de 700 millions d'utilisateurs de LinkedIn a été fait « pour le fun », explique le hacker

[smarties]

Que pensez-vous du Web scraping ? L'avez-vous déjà fait ?
Tant que les données sont publiques on ne peut pas limiter l'accès de toute façon.
Je l'ai déjà fait pour améliorer les données consultées et la recherche (en pro et en perso)

Le Web scraping sur des informations explicitement définies comme étant publiques doit-il être prohibé ? Pourquoi ?
Non, car ça tuerait l'innovation.
Il y a assez de choses propriétaires/fermées qui nous mettent aussi des freins sur comment on veut voir ses données. Il y a quelque temps je m'étais fait un scrapper pour récupérer des articles et les lire sur ma liseuse.

[Invité]

Bonsoir

L'extraction automatique de données publiques sur le web est toujours autorisée, une cour d'appel des États-Unis réaffirme la légalité du Web Scraping

Que pensez-vous du Web scraping ?

Quand la donnée est partagée de manière consentie le scraping ne relève pas du piratage.

Quand la donnée est partagée de manière non consentie, le scraping du cas de linkedin EST du piratage. Linkedin a dans son organisation, participé indirectement "au piratage" via le scraping, en "manipulant" les utilisateurs dans le partage de leurs data.

L'avez-vous déjà fait ?

Chercher des coordonnées sur internet relève du scraping ... Déduire un numéro de téléphone sur une plage à partir d'un autre ...

Le Web scraping sur des informations explicitement définies comme étant publiques doit-il être prohibé ?

non

Pourquoi ?

Si la data est publique , c'est que celle ci a consentie a être partagée.

[petitours]

Si la data est publique , c'est que celle ci a consentie a être partagée.

partagée ne veut pas dire exploitée.

Çà vous arrange bien qu'une montagne d'utilisateurs du web soit naïfs, inconscients ou se sont trompés mais votre principe/justificatif est beurk.

[Invité]

Bonjour,

partagée ne veut pas dire exploitée.

Çà vous arrange bien qu'une montagne d'utilisateurs du web soit naïfs, inconscients ou se sont trompés mais votre principe/justificatif est beurk.

Comme je le dis plus haut : " Linkedin a dans son organisation, participé indirectement "au piratage" via le scraping, en "manipulant" les utilisateurs dans le partage de leurs data. " .

C'est dans l’intérêt de Linkedin d'avoir un défaut de communication .

Dans le fond je suis tout à fait d'accord avec toi. Des boites comme Linkedin et autre profitent de la naïveté de leurs utilisateurs.

[petitours]

pour ma part je ne vois pas le problème dans l’accès au données publiques, je vois le problème dans ce qui en est fait

Celui qui récupère pleins de données pour étudier un domaine, imaginer un nouveau truc, comprendre pour résoudre des problèmes, très bien.
Celui qui récupère les mêmes données pour faire de la pub ciblée, faire suer les gens en démarchage ou truc du genre est à jeter aux méduses.

[Stéphane le calme]

Web scraping, entre liberté d’accès et violation des droits : Ryanair remporte son procès contre Booking.com
pour non respect de la loi sur l’abus informatique aux États-Unis

Ryanair, un acteur majeur de l’aviation européenne, a remporté un procès devant un tribunal américain contre Booking.com, l’une des plus grandes agences de voyage en ligne au monde. Le tribunal américain a statué que l’agence néerlandaise avait violé la loi sur l’abus informatique en accédant au site Web de Ryanair sans autorisation.

Le web scraping consiste à utiliser des moyens technologiques -notamment logiciels- pour collecter industriellement des données publiques présentes sur des supports digitaux sur Internet. Il peut s’agir de tous types de supports, comme des blogs ou des sites web. L’objectif de la collecte réalisée par le web scraping consiste à les restituer de manière organisée dans une base de données.

L’intérêt du web scraping est multiple. Certaines entreprises l'utilisent dans le but d’alimenter leur veille concurrentielle, d’autres pour enrichir leur propre base de données. La régularité de ces opérations permet d’offrir aux utilisateurs de ces outils de web scraping un véritable « trésor de données » qu’ils peuvent réutiliser par la suite dans de multiples cas d’usages : construction d’une stratégie de pricing et de prédiction de la demande, étude du paysage concurrentiel de leur entreprise, alimentation de modèles d’intelligence artificielle, enrichissement pertinent de données internes à l’entreprise…

Une question essentielle vient vite à l’esprit quand nous parlons de web scraping : est-ce que cette pratique est légale ?

Le cas de Ryanair

Un tribunal américain a jugé que Booking.com avait violé le Computer Fraud and Abuse Act en accédant à une partie du site web de Ryanair sans son autorisation, selon des documents judiciaires.

La Computer Fraud and Abuse Act (CFAA) est une loi du gouvernement fédéral américain mise en vigueur en 1986 qui porte sur la sécurité des systèmes d'information. Il s'agit d'un amendement à une loi sur les fraudes informatiques qui fait maintenant partie du Comprehensive Crime Control Act of 1984. Cette loi interdit tout accès à un ordinateur sans autorisation préalable ou tout accès qui excède les autorisations.

La compagnie aérienne, la plus importante d'Europe en nombre de passagers, a lancé ces dernières années une série d'actions en justice contre des plateformes de réservation tierces qui revendent ses billets sans autorisation. Elle affirme que ces sociétés, qui utilisent des logiciels de capture d'écran pour trouver et revendre des billets, ajoutent des frais supplémentaires et compliquent la tâche de la compagnie pour contacter les passagers.

Le jury du tribunal de district du Delaware a conclu à l'unanimité que Booking.com avait violé la loi sur la fraude et les abus informatiques et qu'il avait incité un tiers à accéder sans autorisation à certaines parties du site web de Ryanair « dans l'intention de frauder », selon le verdict. Le tribunal a également rejeté les demandes reconventionnelles de Booking.com selon lesquelles Ryanair avait diffamé la plateforme de réservation et que la compagnie aérienne se livrait à une concurrence déloyale.

Ryanair Holdings Plc a salué aujourd'hui (vendredi 19 juillet) les verdicts unanimes du jury du tribunal de district du Delaware, qui a statué hier soir à l'unanimité en faveur des plaintes de Ryanair selon lesquelles Booking.com avait violé le US Computer Fraud and Abuse Act, causant ainsi un préjudice à Ryanair. Le jury a également jugé que Booking.com avait agi en connaissance de cause avec « l'intention de frauder » et que Ryanair avait subi un préjudice économique du fait de l'activité illégale de capture d'écran de Booking.com.

Le jury du tribunal du Delaware a également rejeté toutes les demandes reconventionnelles de Booking.com à l'encontre de Ryanair, qui comprenaient des plaintes pour diffamation, concurrence déloyale et pratiques commerciales trompeuses. Ces décisions du tribunal du Delaware prouvent que Booking.com s'est sciemment engagé dans une activité illégale de capture d'écran du site Ryanair.com, avec l'intention de frauder Ryanair. Ryanair se plaint depuis longtemps des pratiques trompeuses des OTA Pirates comme Booking.com, qui utilisent des fournisseurs de logiciels intermédiaires pour faire du scraping sur le site web de Ryanair, puis utilisent ces informations pour surfacturer aux consommateurs les tarifs aériens de Ryanair et/ou les services auxiliaires, tout en masquant ces pratiques anti-consommateurs en effectuant des réservations à l'aide de faux courriels de clients et de fausses cartes de paiement de clients.

Dans une déclaration, Booking.com s'est dit déçu par cette décision, avec laquelle il n'est pas d'accord. « Nous maintenons que le fait de permettre aux clients d'accéder aux tarifs et de les comparer dans l'ensemble de l'industrie du voyage favorise le choix des consommateurs, et nous prévoyons de faire appel », a ajouté le site.

« Nous espérons que cette décision mettra fin au piratage sur Internet et à la surfacturation dont sont victimes les compagnies aériennes, les autres sociétés de voyage et les consommateurs, du fait de l'activité illégale des OTA (agences de voyage en ligne) Pirates », a déclaré Michael O'Leary, directeur général de Ryanair. Il a déclaré qu'il espérait que cette décision obligerait les agences de protection des consommateurs de Grande-Bretagne et d'Europe à prendre des mesures pour interdire le grattage d'écran illégal et la surfacturation des consommateurs pour les vols et les services auxiliaires.

Ces derniers mois, Ryanair a signé des accords avec un certain nombre d'agences de voyage en ligne pour la revente autorisée des billets de la compagnie aérienne.

Une Cour de justice estime qu'il n'est pas illégal de collecter des données publiques d'un site

HiQ effectue du web scraping de profils publics des utilisateurs de LinkedIn, puis les utilise pour aider les entreprises à mieux comprendre leurs propres effectifs. Le web scraping est une technique permettant l'extraction des données d'un site via un programme, un logiciel automatique ou un autre site. L'objectif est donc d'extraire le contenu d'une page d'un site de façon structurée. Le scraping permet ainsi de pouvoir réutiliser ces données.

Après avoir toléré les activités de web scraping de hiQ pendant plusieurs années, LinkedIn a envoyé à la société une lettre de cessation et d'abstention en 2017 lui demandant de cesser de collecter des données à partir de profils LinkedIn. LinkedIn a notamment fait valoir que hiQ violait la Computer Fraud and Abuse Act, la principale loi antipiratage des États-Unis.

Cela représentait une menace existentielle pour hiQ car le site Web de LinkedIn est la principale source de données de hiQ sur les employés de ses clients. HiQ a donc poursuivi LinkedIn en justice, cherchant non seulement à déclarer que ses activités de web scraping ne constituaient pas un piratage, mais également une ordonnance interdisant à LinkedIn d’interférer.

Un tribunal de première instance s’est rangé du côté de hiQ en 2017. Début septembre 2019, la Cour d’appel du 9^e circuit a entériné la décision de la juridiction inférieure, estimant que la loi sur la fraude et les abus informatiques ne s’appliquait tout simplement pas aux informations accessibles au grand public.

« La CFAA a été promulguée pour empêcher toute intrusion intentionnelle dans l'ordinateur de quelqu'un d'autre, notamment le piratage informatique », a écrit un panel de trois juges. La cour a noté que lorsque les législateurs débattaient de cette loi, des analogies avec des crimes physiques tels que l'introduction par effraction ont été faites à plusieurs reprises. Du point de vue du neuvième circuit, cela implique que la CFAA ne s’applique qu’aux systèmes d’information ou informatiques qui étaient au départ privés, ce que les propriétaires de sites Web signalent généralement avec un mot de passe.

D'ailleurs en octobre de cette année-là, la 9^e Cour d’appel du circuit des États-Unis a confirmé l’injonction préliminaire d’août 2017 exigeant que LinkedIn permette à hiQ Labs Inc d’avoir accès aux profils de membres disponibles au public. La décision à l'unanimité de la cour d’appel de San Francisco a penché en faveur de hiQ sur la question du Web scraping qui, selon les critiques, peut être assimilé à un vol ou à la violation de la vie privée des utilisateurs.

Une activité encadrée

En fonction de la position géographique, les règles ne sont pas nécessairement les mêmes. Dans le droit français, le web scraping est encadré par l’article L. 342-3 du Code de la propriété intellectuelle, qui autorise les pratiques suivantes :

• L'extraction ou la réutilisation d'une partie non substantielle appréciée de façon qualitative ou quantitative, du contenu de la base, par la personne qui y a licitement accès. Cela signifie que le propriétaire du site web peut limiter le contenu pouvant être collecté de son site, en le précisant dans ses conditions générales d’utilisation.
• L’extraction à des fins privées est autorisée, dans le respect des dispositions législatives et réglementaires en matière de droits d’auteurs et de droits voisins sur les œuvres ou les éléments incorporés dans la base.
• L’extraction et la réutilisation d’une partie substantielle, appréciée de façon qualitative ou quantitative, à des fins exclusives d’illustration dans le cadre de l’enseignement et de la recherche et pour un public composé d’élèves, d’étudiants, d’enseignants ou de chercheurs directement concernés. Ainsi, ce cas de figure étant limité à des fins pédagogiques, il est totalement exclu de faire usage des données extraites à titre commercial par exemple.

Plusieurs sanctions peuvent s’appliquer en cas de violation des règles du web scraping :

• L’article 323-3 du code pénal punit de 150.000 euros d’amende et cinq d’emprisonnement « le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient ». Bien entendu, il faut pouvoir prouver l’intention frauduleuse du web scraping dans ce cas là.
• En droit de la concurrence, le web scraping peut être qualifié d’un acte de concurrence déloyale ou de parasitisme, si les critères de qualification sont remplis. Dans ce cas, le site web victime pourra intenter une action en responsabilité délictuelle et l’auteur du web scraping pourra être condamné au paiement de dommages et intérêts.
• L’auteur du web scraping peut également être sanctionné sur le fondement de la propriété intellectuelle en cas de non-respect de l’article L. 342-3 du Code de la propriété intellectuelle.
• Enfin, la CNIL (Commission Nationale de l'Informatique et des Libertés), qui a un pouvoir de contrôle et de sanction en matière de RGPD, peut sanctionner des pratiques de web scraping litigieuses sur le fondement du non-respect de la protection des données personnelles.

Sources : Ryanair, maître Marie Marcotte

Et vous ?

Quelle est votre opinion sur le web scraping ? Considérez-vous cette pratique comme légitime ou pensez-vous qu’elle viole la confidentialité des données ? Comment est-elle encadrée dans votre pays ?
Pensez-vous que les entreprises devraient avoir le droit de protéger leurs données contre le web scraping ? Quel serait, selon vous, l’équilibre entre l’accès libre aux informations en ligne et la protection des droits des propriétaires de sites Web ?
Comment les tribunaux devraient-ils évaluer les cas de web scraping ? Pensez-vous que les juges devraient se concentrer davantage sur les droits de propriété intellectuelle ou sur l’intérêt public ?
Quelles mesures les entreprises devraient-elles prendre pour se protéger contre le web scraping ? Partagez vos idées sur les meilleures pratiques pour prévenir le scraping non autorisé.
Pensez-vous que le web scraping peut être bénéfique dans certains contextes ? Voyez-vous des avantages légitimes à l’extraction de données à des fins de recherche, d’analyse ou d’innovation ?

[ParseCoder]

En quoi le problème a quelque chose à voir avec le web scraping!? Booking.com s'est permit d'être un intermédiaire sans aucune autorisation et ça n'a aucun rapport avec la façon dont ont été récupérées les données!

[Mathis Lucas]

L'une des plus grandes violations de données jamais survenues expose les informations sensibles de 2,9 milliards de personnes sur le dark Web
et relance le débat sur les préoccupations liées au Web scraping

Une faille dans l'entreprise de vérification d'antécédents National Public Data aurait entraîné la divulgation des données personnelles de 2,9 milliards de personnes sur le dark Web. National Public Data s'appuie sur le scraping pour collecter et stocker des informations d'identification personnelle à partir de sources non publiques afin de vérifier les antécédents de milliards de personnes. Il le fait sans le consentement des personnes concernées. Cela signifie que de nombreuses victimes ne savent peut-être pas que leurs informations sensibles telles que les numéros de sécurité sociale, les noms complets, les adresses, les informations sur les parents ont été exposées.

Les informations personnelles d'environ 3 milliards de personnes exposées sur le dark Web

National Public Data (également connue sous le nom de Jerico Pictures) se présente comme un fournisseur de données d'archives publiques spécialisé dans la vérification des antécédents et la prévention des fraudes. L'entreprise explique qu'elle obtient ses informations à partir de diverses bases de données d'archives publiques, de dossiers judiciaires, de bases de données nationales et d'État et d'autres référentiels dans tout le pays. Le mode opératoire consiste à explorer (gratter) le Web à la recherche de tout type d'information, ce qui signifie que les informations ne sont pas données volontairement à cette entreprise.

National Public Data a déclaré que ses services sont actuellement utilisés par des enquêteurs, des sites Web de vérification d'antécédents, des revendeurs de données, des applications mobiles, des applications et bien plus encore. Cependant, une gigantesque brèche dans son réseau a permis à un groupe de pirates informatiques d'exfiltrer des données personnelles sur des milliards de personnes. Cette nouvelle violation massive de données a été révélée dans le cadre d'une action collective intentée au début du mois contre National Public Data. La plainte indique que plus de 2,9 milliards de personnes sont concernées.

La plainte a été déposée auprès du tribunal de district des États-Unis pour le district sud de la Floride. Le principal plaignant Christopher Hofmann affirme avoir été alerté par son fournisseur de services de protection contre l'usurpation d'identité que ses données ont été exposées et diffusées sur le dark Web. Le groupe de cybercriminels ASDoD avait mis en vente, pour 3,5 millions de dollars, une base de données contenant les données personnelles des personnes concernées.

Les plaignants accusent National Public Data de négligence, de manquement à l'obligation fiduciaire et au contrat de tiers bénéficiaire, et d'enrichissement sans cause. Hofman réclame une compensation financière et demande à l'entreprise de segmenter les données, d'analyser les bases de données, d'utiliser un système de gestion des menaces et de nommer un évaluateur tiers chargé de procéder à une évaluation de ses cadres de cybersécurité chaque année pendant dix ans.

Il a été demandé au tribunal d'exiger de National Public Data qu'il purge les données personnelles de toutes les personnes concernées et qu'il chiffre toutes les informations collectées à l'avenir. Si cette décision est confirmée, il s'agirait de l'une des plus importantes violations de données jamais survenues (après celle de Yahoo! en 2013 qui a touché trois milliards de clients.). Et l'on ignore toujours comment la violation de données s'est produite.

La collecte massive de données par National Public Data suscite plusieurs préoccupations

Comment une société comme National Public Data peut-elle obtenir les données personnelles de près de 3 milliards de personnes ? La réponse se trouve dans le Web scraping (grattage Web), une technique utilisée par les entreprises pour collecter des données à partir de sites Web et d'autres sources en ligne. Le caractère légal du grattage Web reste flou. Dans l'ensemble, il est illégal selon certains experts. La manière dont National Public Data a procédés est d'autant plus préoccupante que l'entreprise a récupéré des informations personnelles identifiables (PII) de milliards de personnes à partir de sources non publiques.

Par conséquent, un grand nombre des personnes aujourd'hui impliquées dans le recours collectif n'ont pas fourni leurs données personnelles à l'entreprise de leur plein gré. Pire encore, certaines victimes ne savent peut-être même pas qu'elles sont concernées. Il convient de noter qu'en raison du nombre de personnes touchées, les données proviennent probablement à la fois des États-Unis et d'autres pays. Les informations divulguées comprennent : noms et prénoms, adresses anciennes et actuelles, numéros de sécurité sociale ainsi que des informations liées aux membres de la famille et aux proches, vivants ou décédés.

National Public Data n'a pas encore réagi à la plainte, mais la société devra probablement publier une notification de violation de données prochainement, étant donné le désordre dans lequel l'a entraînée l'utilisation de sources non publiques pour obtenir des données. Les propriétaires de ces sources de données non publiques pourraient également décider de poursuivre National Public Data pour exploitation illégale de leurs bases de données et de collecte de données illégale.

De nombreuses questions sur cette violation de données restent encore sans réponse. En attendant, vous devez être prudent lorsque vous consultez votre boîte de réception ou même vos messages, car les cybercriminels utilisent souvent ce type de données pour lancer des attaques d'hameçonnage ciblées. Parallèlement, vous devez surveiller attentivement vos comptes bancaires et autres comptes financiers pour détecter tout signe de fraude ou d'activité suspecte.

Une Cour de justice estime qu'il n'est pas illégal de collecter des données publiques d'un site

HiQ effectue du Web scraping de profils publics des utilisateurs de LinkedIn, puis les utilise pour aider les entreprises à mieux comprendre leurs propres effectifs. Le Web scraping est une technique permettant l'extraction des données d'un site via un programme, un logiciel automatique ou un autre site. L'objectif est donc d'extraire le contenu d'une page d'un site de façon structurée. Le scraping permet ainsi de pouvoir réutiliser ces données.

Après avoir toléré les activités de Web scraping de hiQ pendant plusieurs années, LinkedIn a envoyé à la société une lettre de cessation et d'abstention en 2017 lui demandant de cesser de collecter des données à partir de profils LinkedIn. LinkedIn a notamment fait valoir que hiQ violait la Computer Fraud and Abuse Act, la principale loi antipiratage des États-Unis.

Cela représentait une menace existentielle pour hiQ, car le site Web de LinkedIn est la principale source de données de hiQ sur les employés de ses clients. HiQ a donc poursuivi LinkedIn en justice, cherchant non seulement à déclarer que ses activités de Web scraping ne constituaient pas un piratage, mais également une ordonnance interdisant à LinkedIn d’interférer.

Un tribunal de première instance s’est rangé du côté de hiQ en 2017. Début septembre 2019, la Cour d’appel du 9e circuit a entériné la décision de la juridiction inférieure, estimant que la loi sur la fraude et les abus informatiques ne s’appliquait tout simplement pas aux informations accessibles au grand public.

« La CFAA a été promulguée pour empêcher toute intrusion intentionnelle dans l'ordinateur de quelqu'un d'autre, notamment le piratage informatique », a écrit un panel de trois juges. La cour a noté que lorsque les législateurs débattaient de cette loi, des analogies avec des crimes physiques tels que l'introduction par effraction ont été faites à plusieurs reprises. Du point de vue du neuvième circuit, cela implique que la CFAA ne s’applique qu’aux systèmes d’information ou informatiques qui étaient au départ privés, ce que les propriétaires de sites Web signalent généralement avec un mot de passe.

D'ailleurs en octobre de cette année-là, la 9e Cour d’appel du circuit des États-Unis a confirmé l’injonction préliminaire d’août 2017 exigeant que LinkedIn permette à hiQ Labs Inc d’avoir accès aux profils de membres disponibles au public. La décision à l'unanimité de la cour d’appel de San Francisco a penché en faveur de hiQ sur la question du Web scraping qui, selon les critiques, peut être assimilé à un vol ou à la violation de la vie privée des utilisateurs.

Une activité encadrée

En fonction de la position géographique, les règles ne sont pas nécessairement les mêmes. Dans le droit français, le Web scraping est encadré par l’article L. 342-3 du Code de la propriété intellectuelle, qui autorise les pratiques suivantes :

• l'extraction ou la réutilisation d'une partie non substantielle appréciée de façon qualitative ou quantitative, du contenu de la base, par la personne qui y a licitement accès. Cela signifie que le propriétaire du site Web peut limiter le contenu pouvant être collecté de son site, en le précisant dans ses conditions générales d’utilisation ;
• l’extraction à des fins privées est autorisée, dans le respect des dispositions législatives et réglementaires en matière de droits d’auteurs et de droits voisins sur les œuvres ou les éléments incorporés dans la base ;
• l’extraction et la réutilisation d’une partie substantielle, appréciée de façon qualitative ou quantitative, à des fins exclusives d’illustration dans le cadre de l’enseignement et de la recherche et pour un public composé d’élèves, d’étudiants, d’enseignants ou de chercheurs directement concernés. Ainsi, ce cas de figure étant limité à des fins pédagogiques, il est totalement exclu de faire usage des données extraites à titre commercial par exemple.

Plusieurs sanctions peuvent s’appliquer en cas de violation des règles du Web scraping :

• l’article 323-3 du Code pénal punit de 150.000 euros d’amende et cinq d’emprisonnement « le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient ». Bien entendu, il faut pouvoir prouver l’intention frauduleuse du Web scraping dans ce cas-là ;
• en droit de la concurrence, le Web scraping peut être qualifié d’un acte de concurrence déloyale ou de parasitisme, si les critères de qualification sont remplis. Dans ce cas, le site Web victime pourra intenter une action en responsabilité délictuelle et l’auteur du Web scraping pourra être condamné au paiement de dommages et intérêts ;
• l’auteur du Web scraping peut également être sanctionné sur le fondement de la propriété intellectuelle en cas de non-respect de l’article L. 342-3 du Code de la propriété intellectuelle ;
• enfin, la CNIL (Commission nationale de l'informatique et des libertés), qui a un pouvoir de contrôle et de sanction en matière de RGPD, peut sanctionner des pratiques de Web scraping litigieuses sur le fondement du non-respect de la protection des données personnelles.

Sources : document de la plainte (PDF), National Public Data

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des pratiques de collecte de données de National Public Data ?
Le Web scraping est-il légal de votre point de vue ? Pourquoi fait-il l'objet d'un débat sans fin ?
Quels sont les risques de cette violation de données pour National Public Data et les personnes concernées ?
Que pensez-vous des demandes des plaignants au tribunal dans le cadre du recours collectif contre National Public Data ?
Y a-t-il des chances que ces demandes soient satisfaites par le tribunal ? Pourquoi ?

Voir aussi

Web scraping, entre liberté d'accès et violation des droits : Ryanair remporte son procès contre Booking.com pour non-respect de la loi sur l'abus informatique aux États-Unis

Une fuite massive expose plus de 26 milliards d'enregistrements et est qualifiée de "mère de toutes les brèches" par les chercheurs, elle comprend des données provenant de Dropbox, LinkedIn, etc.

Le piratage de Ticketmaster touche un demi-milliard de personnes. Il expose 400 millions de cartes de crédit chiffrées, 440 millions d'adresses e-mail uniques et 680 millions de détails de commandes

[Mathis Lucas]

Des pirates informatiques pourraient avoir divulgué les numéros de sécurité sociale de millions d'Américains
ainsi que leurs noms complets, leurs adresses physiques et leurs pseudonymes potentiels

Les informations personnelles volées au courtier en données National Public Data seraient toujours en cours de divulgation. Un nouveau fichier publié comprend 2,7 milliards d'enregistrements d'informations personnelles, dont les noms, les numéros de sécurité sociale, les pseudonymes potentiels et toutes les adresses physiques où elles ont vécu. Le fichier a été partagé gratuitement par un prétendu membre du groupe de cybercriminels à l'origine du piratage de National Public Data sur une place de marché en ligne pour les données personnelles volées. Les analyses indiquent que la fuite de données pourrait concerner les citoyens des États-Unis et d'autres pays.

Un acteur de la menace divulgue une base de données de 2,7 milliards d'enregistrements

En avril, le collectif de pirates informatiques USDoD a tenté de vendre sur une place de marché en ligne une base de données de 2,9 milliards d'enregistrements. Il prétendait avoir volé la base de données à National Public Data et qu'elle comprend des informations sur tous les habitants des États-Unis, du Royaume-Uni et du Canada. Le groupe demandait 3,5 millions de dollars pour l'ensemble de la base de données de 4 To, mais depuis lors, diverses entités ont publié gratuitement des morceaux de données sur le forum de pirates informatiques Breached, ce qui a probablement accéléré leur diffusion en ligne.

Il s'agit de l'une des plus grandes violations de données jamais survenues. Les fuites précédentes incluaient des numéros de téléphone et des adresses électroniques, mais il semblerait que ces éléments n'aient pas été inclus dans la dernière fuite, qui est aussi la plus complète. Le 6 août, un acteur connu sous le nom de « Fenice » a diffusé gratuitement la version la plus complète des données volées à National Public Data sur le forum de pirates informatiques Breached.

Toutefois, Fenice affirmé que la violation de données a été menée par un autre acteur de menace nommé "SXUL", plutôt que par USDoD. Les informations divulguées consistent en deux fichiers texte totalisant 277 Go et contenant près de 2,7 milliards d'enregistrements en clair, au lieu des 2,9 milliards communiqués à l'origine par USDoD. Les analystes n'ont pas pu confirmer que la base de données contient des informations personnelles sur chaque personne aux États-Unis.

De nombreuses personnes ont signalé que la fuite incluait leurs informations légitimes et celles des membres de leur famille, y compris ceux qui sont décédés. Chaque enregistrement comprend les informations suivantes : le nom de la personne, son adresse postale et son numéro de sécurité sociale. Mais certains enregistrements contiennent des informations supplémentaires, comme d'autres noms associés à la personne. Aucune de ces données n'est chiffrée.

Il est important de noter qu'une personne pourrait avoir plusieurs enregistrements, un pour chaque adresse où elle a vécu. Cela signifie que la violation de données n'a peut-être pas touché 3 milliards de personnes, comme cela a été précédemment rapporté. Certaines personnes auraient également indiqué que leur numéro de sécurité sociale est associé à d'autres personnes qu'elles ne connaissent pas, de sorte que toutes les informations ne sont probablement pas exactes.

Enfin, ces données peuvent être obsolètes, ce qui pourrait indiquer que les données ont été extraites d'une ancienne sauvegarde. Cette violation de données a donné lieu à de multiples recours collectifs contre Jerico Pictures, qui semble exercer ses activités sous le nom de National Public Data. La plainte allègue que National Public Data a illégalement collecté les informations personnelles des Américains et n'a pas été en mesure de les protéger de manière adéquate.

La collecte massive de données par National Public Data suscite plusieurs préoccupations

Comment une société comme National Public Data peut-elle obtenir les données personnelles d'autant de personnes ? La réponse se trouve dans le Web scraping (grattage Web), une technique utilisée par les entreprises pour collecter des données à partir de sites Web et d'autres sources en ligne. National Public Data se présente comme un fournisseur de données d'archives publiques spécialisé dans la vérification des antécédents et la prévention des fraudes.

L'entreprise explique qu'elle obtient les données à partir de diverses bases de données d'archives publiques, de dossiers judiciaires, de bases de données nationales et d'État et d'autres référentiels. Le mode opératoire consiste à explorer le Web à la recherche de tout type d'information, ce qui signifie que les informations ne sont pas données volontairement à cette entreprise. Le caractère légal du grattage Web reste flou. Dans l'ensemble, il est illégal selon certains experts.

La manière dont National Public Data a procédés est d'autant plus préoccupante que l'entreprise a récupéré des informations personnelles identifiables (PII) de milliards de personnes à partir de sources non publiques. Par conséquent, un grand nombre des personnes aujourd'hui impliquées dans le recours collectif n'ont pas fourni leurs données personnelles à l'entreprise de leur plein gré. Pire encore, certaines victimes ne savent peut-être même pas qu'elles sont concernées.

National Public Data n'a pas réagi à la plainte, mais la société devra probablement publier une notification de violation de données prochainement, étant donné le désordre dans lequel l'a entraînée l'utilisation de sources non publiques pour obtenir des données. Les propriétaires de ces sources de données non publiques pourraient également décider de poursuivre National Public Data pour exploitation illégale de leurs bases de données et de collecte de données illégale.

L'entreprise est accusée de négligence, de manquement à l'obligation fiduciaire et au contrat de tiers bénéficiaire, et d'enrichissement sans cause. Le principal plaignant réclame une compensation financière et demande à l'entreprise de segmenter les données, d'analyser les bases de données, d'utiliser un système de gestion des menaces et de nommer un évaluateur tiers chargé de procéder à une évaluation de ses cadres de cybersécurité chaque année pendant dix ans.

De nombreuses questions sur cette violation de données restent encore sans réponse. En attendant, vous devez être prudent lorsque vous consultez votre boîte de réception ou même vos messages, car les cybercriminels utilisent souvent ce type de données pour lancer des attaques d'hameçonnage ciblées. Parallèlement, vous devez surveiller attentivement vos comptes bancaires et autres comptes financiers pour détecter tout signe de fraude ou d'activité suspecte.

Une Cour de justice estime qu'il n'est pas illégal de collecter des données publiques d'un site

HiQ effectue du Web scraping de profils publics des utilisateurs de LinkedIn, puis les utilise pour aider les entreprises à mieux comprendre leurs propres effectifs. Le Web scraping est une technique permettant l'extraction des données d'un site via un programme, un logiciel automatique ou un autre site. L'objectif est donc d'extraire le contenu d'une page d'un site de façon structurée. Le scraping permet ainsi de pouvoir réutiliser ces données.

Après avoir toléré les activités de Web scraping de hiQ pendant plusieurs années, LinkedIn a envoyé à la société une lettre de cessation et d'abstention en 2017 lui demandant de cesser de collecter des données à partir de profils LinkedIn. LinkedIn a notamment fait valoir que hiQ violait la Computer Fraud and Abuse Act, la principale loi antipiratage des États-Unis.

Cela représentait une menace existentielle pour hiQ, car le site Web de LinkedIn est la principale source de données de hiQ sur les employés de ses clients. HiQ a donc poursuivi LinkedIn en justice, cherchant non seulement à déclarer que ses activités de Web scraping ne constituaient pas un piratage, mais également une ordonnance interdisant à LinkedIn d’interférer.

Un tribunal de première instance s’est rangé du côté de hiQ en 2017. Début septembre 2019, la Cour d’appel du 9e circuit a entériné la décision de la juridiction inférieure, estimant que la loi sur la fraude et les abus informatiques ne s’appliquait tout simplement pas aux informations accessibles au grand public.

« La CFAA a été promulguée pour empêcher toute intrusion intentionnelle dans l'ordinateur de quelqu'un d'autre, notamment le piratage informatique », a écrit un panel de trois juges. La cour a noté que lorsque les législateurs débattaient de cette loi, des analogies avec des crimes physiques tels que l'introduction par effraction ont été faites à plusieurs reprises. Du point de vue du neuvième circuit, cela implique que la CFAA ne s’applique qu’aux systèmes d’information ou informatiques qui étaient au départ privés, ce que les propriétaires de sites Web signalent généralement avec un mot de passe.

D'ailleurs en octobre de cette année-là, la 9e Cour d’appel du circuit des États-Unis a confirmé l’injonction préliminaire d’août 2017 exigeant que LinkedIn permette à hiQ Labs Inc d’avoir accès aux profils de membres disponibles au public. La décision à l'unanimité de la cour d’appel de San Francisco a penché en faveur de hiQ sur la question du Web scraping qui, selon les critiques, peut être assimilé à un vol ou à la violation de la vie privée des utilisateurs.

Une activité encadrée

En fonction de la position géographique, les règles ne sont pas nécessairement les mêmes. Dans le droit français, le Web scraping est encadré par l’article L. 342-3 du Code de la propriété intellectuelle, qui autorise les pratiques suivantes :

l'extraction ou la réutilisation d'une partie non substantielle appréciée de façon qualitative ou quantitative, du contenu de la base, par la personne qui y a licitement accès. Cela signifie que le propriétaire du site Web peut limiter le contenu pouvant être collecté de son site, en le précisant dans ses conditions générales d’utilisation ;
l’extraction à des fins privées est autorisée, dans le respect des dispositions législatives et réglementaires en matière de droits d’auteurs et de droits voisins sur les œuvres ou les éléments incorporés dans la base ;
l’extraction et la réutilisation d’une partie substantielle, appréciée de façon qualitative ou quantitative, à des fins exclusives d’illustration dans le cadre de l’enseignement et de la recherche et pour un public composé d’élèves, d’étudiants, d’enseignants ou de chercheurs directement concernés. Ainsi, ce cas de figure étant limité à des fins pédagogiques, il est totalement exclu de faire usage des données extraites à titre commercial par exemple.

Plusieurs sanctions peuvent s’appliquer en cas de violation des règles du Web scraping :

l’article 323-3 du Code pénal punit de 150.000 euros d’amende et cinq d’emprisonnement « le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient ». Bien entendu, il faut pouvoir prouver l’intention frauduleuse du Web scraping dans ce cas-là ;
en droit de la concurrence, le Web scraping peut être qualifié d’un acte de concurrence déloyale ou de parasitisme, si les critères de qualification sont remplis. Dans ce cas, le site Web victime pourra intenter une action en responsabilité délictuelle et l’auteur du Web scraping pourra être condamné au paiement de dommages et intérêts ;
l’auteur du Web scraping peut également être sanctionné sur le fondement de la propriété intellectuelle en cas de non-respect de l’article L. 342-3 du Code de la propriété intellectuelle ;
enfin, la CNIL (Commission nationale de l'informatique et des libertés), qui a un pouvoir de contrôle et de sanction en matière de RGPD, peut sanctionner des pratiques de Web scraping litigieuses sur le fondement du non-respect de la protection des données personnelles.

Sources : document de la plainte (PDF), National Public Data

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des pratiques de collecte de données de National Public Data ?
Que pensez-vous des risques auxquels il a exposé les personnes dont les données ont été collectées ?
Le Web scraping est-il légal de votre point de vue ? Pourquoi fait-il l'objet d'un débat sans fin ?
Que pensez-vous des demandes des plaignants au tribunal dans le cadre du recours collectif contre National Public Data ?
Y a-t-il des chances que ces demandes soient satisfaites par le tribunal ? Pourquoi ?

Voir aussi

L'une des plus grandes violations de données jamais survenues expose les informations sensibles de 2,9 milliards de personnes sur le dark Web, et relance le débat sur les préoccupations liées au Web scraping

Web scraping, entre liberté d'accès et violation des droits : Ryanair remporte son procès contre Booking.com pour non respect de la loi sur l'abus informatique aux États-Unis

Une fuite massive expose plus de 26 milliards d'enregistrements et est qualifiée de "mère de toutes les brèches" par les chercheurs, elle comprend des données provenant de Dropbox, LinkedIn, etc.

[Jade Emy]

Le National Public Data des États-Unis confirme l'existence d'une faille exposant les numéros de sécurité sociale et d'autres informations personnelles sensibles telles que les noms et les adresses postales.

Le National Public Data des États-Unis confirme l'existence d'une faille exposant les numéros de sécurité sociale et d'autres informations personnelles sensibles telles que les noms, les adresses électroniques, les numéros de téléphone et les adresses postales. Le NPD déclare avoir enquêté sur l'incident, coopéré avec les forces de l'ordre et examiné les dossiers potentiellement affectés. En cas d'évolution significative, l'entreprise "essaiera d'informer" les personnes concernées.

D'après de récents rapports, les informations personnelles volées au courtier en données National Public Data seraient toujours en cours de divulgation. Il s'agit de l'une des plus grandes violations de données jamais survenues. Un nouveau fichier publié comprend 2,7 milliards d'enregistrements d'informations personnelles, dont les noms, les numéros de sécurité sociale, les pseudonymes potentiels et toutes les adresses physiques où elles ont vécu. Le fichier a été partagé gratuitement par un prétendu membre du groupe de cybercriminels à l'origine du piratage de National Public Data sur une place de marché en ligne pour les données personnelles volées.

En réponse à cela, le service de vérification des antécédents National Public Data confirme que des pirates informatiques se sont introduits dans ses systèmes après que des acteurs de la menace ont divulgué une base de données volée contenant des millions de numéros de sécurité sociale et d'autres informations personnelles sensibles. L'entreprise précise que les données divulguées peuvent inclure des noms, des adresses électroniques, des numéros de téléphone, des numéros de sécurité sociale (SSN) et des adresses postales.

La société reconnaît les "fuites de certaines données en avril 2024 et en été 2024" et pense que la violation est associée à un acteur de la menace "qui essayait de pirater les données à la fin du mois de décembre 2023." Le NPD déclare avoir enquêté sur l'incident, coopéré avec les forces de l'ordre et examiné les dossiers potentiellement affectés. En cas d'évolution significative, l'entreprise "essaiera d'informer" les personnes concernées.

Il convient de noter que des tests ont révélé que l'accès à la déclaration du NPD sur l'incident de sécurité a été bloqué pour des adresses IP dans de nombreux endroits aux États-Unis ainsi que dans des régions à l'extérieur du pays. Plus d'une douzaine de captures de la page existent cependant sur l'Archive d'Internet.

Bien qu'une grande partie de la base de données volée à National Public Data (NPD) ait fait l'objet d'une fuite il y a dix jours, des copies partielles avaient déjà été partagées par divers acteurs de la menace. Les fuites ont commencé après qu'un acteur utilisant le pseudonyme USDoD a proposé en avril de vendre pour 3,5 millions de dollars 2,9 milliards d'enregistrements prétendument volés à NPD. Au début du mois, un autre acteur connu sous le nom de Fenice a partagé gratuitement la variante la plus complète de la base de données, avec 2,7 milliards d'enregistrements, dont plusieurs se rapportent à une seule personne.

On ne sait pas exactement combien de personnes sont concernées, mais plusieurs personnes ont confirmé que les enregistrements comprenaient des détails les concernant ainsi que des membres de leur famille, y compris des personnes décédées. Par exemple, Troy Hunt déclare qu'il y avait 134 millions d'adresses électroniques uniques dans une version de la base de données de la NPD qu'il a analysée. L'analyse par Hunt de l'ensemble des données qu'il a reçues semble le confirmer, puisqu'il a trouvé l'une de ses adresses électroniques associée à deux dates de naissance uniques, dont aucune n'est la sienne.

Cependant, toutes les informations ne sont pas nécessairement exactes. D'autres tests ont montré que certaines personnes étaient associées à un autre nom. En outre, on a constaté que certains détails de la base de données pouvaient également être obsolètes, puisqu'elle ne contient l'adresse actuelle d'aucune des personnes que nous avons vérifiées.

Les inexactitudes mises à part, l'incident NPD a donné lieu à au moins un recours collectif contre Jerico Pictures, l'entité qui exploite le service National Public Data. On pense que les données de NPD proviennent de fichiers publics tels que les archives gouvernementales (fédérales, étatiques et locales), qui comprennent tous les documents juridiques relatifs à une personne.

Les personnes touchées par la faille de NPD doivent surveiller leurs comptes financiers pour détecter les signes d'une activité potentiellement frauduleuse et les signaler aux agences d'évaluation du crédit. Les informations de contact étant présentes dans la fuite, il est également possible qu'il y ait des tentatives d'hameçonnage pour vous inciter à fournir des détails plus sensibles qui pourraient être utilisés pour des activités frauduleuses.

Source : US National Public Data

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

Des pirates informatiques pourraient avoir divulgué les numéros de sécurité sociale de millions d'Américains, ainsi que leurs noms complets, leurs adresses physiques et leurs pseudonymes potentiels

L'une des plus grandes violations de données jamais survenues expose les informations sensibles de 2,9 milliards de personnes sur le dark Web, et relance le débat sur les préoccupations liées au Web scraping

Augmentation de 49 % du nombre de victimes signalées par les sites de fuite de ransomware en 2023, en raison de l'impact massif des attaques qui exploitent des vulnérabilités de type "zero-day"

[Jade Emy]

L'US National Public Data a publié les mots de passe de sa base de données dans un fichier librement accessible depuis sa page d'accueil, et a ainsi divulgué des données privées d'Américains.

L'US National Public Data a publié par inadvertance les mots de passe de sa base de données back-end dans un fichier librement accessible depuis sa page d'accueil. Un rapport de KrebsOnSecurity montre que le fichier contenait le code source et les noms d'utilisateur et mots de passe en texte clair d'une société sœur de NPD, mais possédant des pages de connexion identiques. Cela aurait permis aux pirates d'accéder aux données privées de 272 millions de personnes.

Depuis avril 2024, des rapports faisaient état d'une fuite massive de donnée provenant du piratage du National Public Data des États-Unis (NPD). Le NPD a confirmé l'existence d'une faille exposant les numéros de sécurité sociale et d'autres informations personnelles sensibles telles que les noms, les adresses électroniques, les numéros de téléphone et les adresses postales. Le NPD déclarait enquêter sur l'incident et "essaierait d'informer" les personnes potentiellement affectées.

De nouveaux détails émergent sur le piratage du National Public Data (NPD), un courtier en données de consommation qui a récemment mis en ligne les numéros de sécurité sociale, les adresses et les numéros de téléphone de centaines de millions d'Américains. KrebsOnSecurity a appris qu'un autre courtier en données du NPD qui partage l'accès aux mêmes dossiers de consommateurs a publié par inadvertance les mots de passe de sa base de données back-end dans un fichier qui était jusqu'à aujourd'hui disponible en téléchargement gratuit sur sa page d'accueil.

L'US National Public Data aurait publié ses propres mots de passe

En avril, un cybercriminel nommé USDoD a commencé à vendre des données volées à NPD. En juillet, quelqu'un a divulgué ce qui avait été volé, notamment les noms, adresses, numéros de téléphone et, dans certains cas, les adresses électroniques de plus de 272 millions de personnes (dont beaucoup sont aujourd'hui décédées).

Le NPD a reconnu la faille le 12 août, indiquant qu'elle remontait à un incident de sécurité survenu en décembre 2023. Dans une interview accordée la semaine dernière, l'USDoD a attribué la violation de juillet à un autre pirate informatique malveillant qui avait également accédé à la base de données de l'entreprise. Cette base de données circule sous le radar depuis décembre 2023.

Selon le rapport de KrebsOnSecurity, une propriété sœur de NPD - le service de recherche d'antécédents recordscheck.net - hébergeait une archive contenant les noms d'utilisateur et les mots de passe de l'administrateur du site. L'examen de ces archives, qui étaient disponibles sur le site de RecordsCheck jusqu'à la veille de leur publication ce matin (19 août), montre qu'elles contiennent le code source et les noms d'utilisateur et mots de passe en texte clair pour diverses parties de recordscheck.net, qui ressemble visuellement à nationalpublicdata.com et possède des pages de connexion identiques.

L'archive exposée, appelée "members.zip", indique que tous les utilisateurs de RecordsCheck ont initialement reçu le même mot de passe à six caractères et ont été invités à le changer, mais beaucoup ne l'ont pas fait. Selon le service de suivi des violations Constella Intelligence, les mots de passe contenus dans l'archive du code source sont identiques aux identifiants de connexion exposés lors de précédentes violations de données impliquant des comptes de messagerie appartenant au fondateur de NPD, un acteur et un adjoint du shérif de Floride à la retraite, Salvatore "Sal" Verini.

M. Verini a déclaré par courriel que l'archive exposée contenant les identifiants recordscheck.net a été supprimée du site Web de l'entreprise et que le site devrait cesser ses activités "d'ici une semaine environ". "En ce qui concerne le fichier .zip, il a été supprimé, mais il s'agissait d'une ancienne version du site dont le code et les mots de passe étaient cassés", a déclaré M. Verini à KrebsOnSecurity. "En ce qui concerne votre question, il s'agit d'une enquête en cours, que nous ne pouvons pas commenter pour le moment."

La fuite du code source de recordscheck.net indique que le site a été créé par une société de développement web basée à Lahore, au Pakistan, appelée creationnext.com. La page d'accueil de CreationNext.com contient un témoignage positif de Sal Verini. Plusieurs sites web ont été créés pour aider les gens à savoir si leur BSN et d'autres données ont été exposées dans le cadre de cette violation. L'un d'entre eux est npdbreach.com, une page de recherche créée par Atlas Data Privacy Corp. Un autre service de recherche est disponible sur npd.pentester.com. Les deux sites montrent que NPD disposait de données anciennes et largement inexactes sur Yours Truly.

Il est également intéressant de noter qu'il existe de nombreux services cybercriminels qui proposent des vérifications détaillées des antécédents des consommateurs, y compris des numéros de sécurité sociale complets. Ces services sont alimentés par des comptes compromis avec des courtiers en données qui ciblent les enquêteurs privés et les forces de l'ordre, et certains sont maintenant entièrement automatisés via des bots de messagerie instantanée Telegram.

En novembre 2023, KrebsOnSecurity a fait état d'un de ces services, qui était alimenté par des comptes piratés chez le courtier en données de consommation américain USInfoSearch.com. Ce cas est remarquable car le code source divulgué indique que RecordsCheck demandait des rapports d'antécédents sur des personnes en interrogeant la base de données d'USInfoSearch et les données du NPD.

KrebsOnSecurity partage quelques conseils en réponse à cet incident :

Le meilleur conseil que l'on puisse donner à ceux qui s'inquiètent de cette violation est de geler leur dossier de crédit auprès de chacune des principales agences d'évaluation du crédit. En gelant votre dossier, il est beaucoup plus difficile pour les usurpateurs d'identité de créer de nouveaux comptes en votre nom et cela limite le nombre de personnes qui peuvent consulter vos informations de crédit.

Le gel est une bonne idée car toutes les informations dont les voleurs d'identité ont besoin pour usurper votre identité sont aujourd'hui largement disponibles auprès de multiples sources. Cela est dû à la multitude de violations de données et qui concernent les numéros de sécurité sociale et d'autres données statiques importantes sur les individus.

Le fait est que si vous êtes un Américain qui n'a pas gelé ses dossiers de crédit et que vous n'avez pas subi de fraude sur un nouveau compte, les voleurs d'identité n'ont probablement pas encore réussi à vous atteindre.

Tous les Américains ont également droit à une copie gratuite de leur rapport de solvabilité chaque semaine de la part de chacun des trois principaux bureaux de crédit. Auparavant, les consommateurs étaient autorisés à recevoir un rapport gratuit par an de chacun des bureaux, mais en octobre 2023, la Federal Trade Commission a annoncé que les bureaux ont étendu de manière permanente un programme qui vous permet de consulter gratuitement votre rapport de crédit une fois par semaine.

Si vous ne l'avez pas fait depuis longtemps, c'est le moment idéal pour commander vos dossiers. Pour placer un gel, vous devez ouvrir un compte auprès de chacune des trois principales agences d'évaluation du crédit, Equifax, Experian et TransUnion. Une fois que vous avez ouvert un compte, vous devriez être en mesure de consulter et de geler votre dossier de crédit. Si vous constatez des erreurs, telles que des adresses et des numéros de téléphone aléatoires que vous ne reconnaissez pas, ne les ignorez pas. Contestez toutes les inexactitudes que vous trouvez.

Source : KrebsOnSecurity

Et vous ?

Pensez-vous que le rapport de KrebsOnSecurity est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Des pirates informatiques pourraient avoir divulgué les numéros de sécurité sociale de millions d'Américains, ainsi que leurs noms complets, leurs adresses physiques et leurs pseudonymes potentiels

Augmentation de 49 % du nombre de victimes signalées par les sites de fuite de ransomware en 2023, en raison de l'impact massif des attaques qui exploitent des vulnérabilités de type "zero-day"

Une fuite massive expose plus de 26 milliards d'enregistrements et est qualifiée de "mère de toutes les brèches" par les chercheurs. Elle comprend des données provenant de Dropbox, LinkedIn, etc.

[marsupial]

Comme si le login/mdp codé en dur dans le code source n'était pas assez pratique, les accès dans le fichier directement accessible sur la page d'accueil. Ils ont une CNIL aux Etats-Unis ? Non parce qu'il faudrait peut-être y songer avec une loi sur l'informatique et les libertés encadrant sévèrement la sûreté des données sensibles. Ou même moins sensibles.

Nous on peste car nos données de sécurité sociale sont hébergées chez Microsoft, mais là, c'est carrément le pompon niveau confidentialité des données. J'avoue ils font forts les américains.