BFM Business

TOUT COMPRENDRE - Qu'est-ce que le scrapping, cette méthode qui permet d'aspirer nos données

"Un bon hacker suffisamment motivé peut pirater presque n'importe quoi aujourd'hui", estime Dan Geer, expert américain en sécurité informatique.

"Un bon hacker suffisamment motivé peut pirater presque n'importe quoi aujourd'hui", estime Dan Geer, expert américain en sécurité informatique. - Thomas Samson - AFP

Régulièrement, les réseaux sociaux sont victimes de ce que l’on appelle des "fuites de données". Ce terme n’est pas toujours le plus approprié. Il peut aussi s'agir de scrapping, une méthode de collecte massive de données publiques.

Le 29 juin 2021, un pirate proposait à l'achat les données de 700 millions d'utilisateurs de LinkedIn. Un chiffre vertigineux, puisqu'il représente près de 92% du total des personnes inscrites. Si l'intitulé peut inquiéter, en vérité, il ne s'agit pas forcément d'une faille: cela peut être le résultat d'un "scrapping".

• Qu’est-ce que le "datascrapping" ?

Le "datascrapping", littéralement "grattage de données", consiste à aspirer un très grand nombre de données sur un site web. Concrètement, on peut parler de copier-coller automatique et structuré. Grâce à un logiciel spécifique, les gratteurs de données peuvent récupérer de façon organisée toutes les données publiques présentes sur ces sites.

Si la cible est un réseau social, on pourra y trouver prénom, nom, adresse mail, numéro de téléphone ou encore date de naissance, mais aussi toutes les informations spécifiques au profil des utilisateurs selon les différents réseaux. Dans la majorité des cas, les voleurs de données ne parviennent pas à mettre la main sur les mots de passe, qui sont du domaine des données chiffrées.

• Est-ce illégal ?

Dans le texte, la légalité du "scrapping" est ambigüe. L’article 323-3 du Code pénal dispose que:

Le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150.000 € d'amende. Lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à sept ans d'emprisonnement et à 300.000 € d'amende.

Alexandre Archambault, avocat spécialisé dans le numérique, considère que la question est complexe. "Ce n’est pas parce que c’est en ligne que c’est utilisable par tout le monde. Les réseaux sociaux ont des obligations quant à la protection des données personnelles. Le consentement est l’un des élements qui rend licite un traitement de données".

Le fait de s'inscrire sur un réseau social met l'utilisateur dans une démarche contractuelle avec celui-ci. Facebook, par exemple, est autorisé à disposer des données qui lui sont fournies. En revanche, l'utilisation qu'il en fait doit être explicite et claire pour chaque personne.

Donc, dans les termes du RGPD (Règlement général sur la protection des données), l'utilisation et la revente de données sans le consentement de l’internaute ne sont pas autorisées. "Il faut présenter l’information de façon loyale à l’utilisateur. Y manquer est un motif de sanction pénale en France", précise Alexandre Archambault.

• Quelles sont les principales cibles ?

Les cibles principales sont les sites web et réseaux qui fédèrent un grand nombre d’utilisateurs. Régulièrement, les réseaux sociaux comme LinkedIn ou Facebook en font les frais. Lorsque le "scrapper" se procure ces données, il peut les revendre sur des forums dédiés, que ce soit sur le "dark web" ou non.

Autre exemple, les aspirations de données des sites de vente en ligne. Dans ce type de cas, les données peuvent être volées pour être reproduites sur des sites factices.

Enfin, il faut également mentionner les comparateurs de voyage ou de transport, qui "minent" les données des agences et des sites de réservation. En revanche, ce type de "scrapping" n'est pas illégal: on considère en effet qu'il va dans l'intérêt du client.

• Quels sont les risques pour les utilisateurs ?

Le principal risque du grattage de données réside dans les adresses mails. Les personnes affectées peuvent être la cible de campagnes d'hammeçonnage (phishing) de grande envergure. Les risques sont spécifiques selon les cas. Pour LinkedIn, les données portent sur les postes et recherches d’emploi des utilisateurs. Ces derniers peuvent donc être la cible d’annonces d’emploi frauduleuses, les invitant à donner leur identifiants et mots de passe.

• Comment prévenir le scrapping ?

A partir du moment où les sites web sont, par nature, vulnérables à ces collectes de données, il est difficile de garantir une vraie protection individuelle pour les utilisateurs. Le conseil principal est de ne pas divulguer des données sensibles, comme l'adresse postale ou le numéro de téléphone. Dans la mesure du possible, passer ses comptes personnels en privé peut être une solution.

Et, dans un deuxième temps, s'armer de vigilance contre les potentielles campagnes de hammeçonnage: ne jamais ouvrir une pièce jointe d'un mail inconnu, et ne jamais communiquer ses informations personnelles par mail ou sur une plateforme inconnue.

Victoria Beurnez