BFM Tech

Découverte d'un "mégafichier" de données concernant 1,2 milliard d'internautes

Lourde des informations de plus d'un milliard de personnes, cette base de données est l'une des plus vastes jamais découvertes.

Lourde des informations de plus d'un milliard de personnes, cette base de données est l'une des plus vastes jamais découvertes. - Pixabay/ Colossus Cloud

Le chercheur en sécurité Vinny Troia a mis la main sur une immense base de données, facilement accessible en ligne. Des informations personnelles, bien que non confidentielles, y étaient agrégées.

Ce "mégafichier" était à portée de clic. En naviguant sur Shodan, l'équivalent d'un moteur de recherche d'objets connectés, le chercheur en sécurité Vinni Troia a fait une découverte d'ampleur: une immense base de données, comprenant 4 téraoctets d'informations personnelles, relate Wired. En tout, 1,2 milliard de personnes se trouvent incluses à leur insu dans cette base. 

Le fichier ne comprend ni identifiants, ni mots de passe, ni numéros de cartes de crédit ou de sécurité sociale. En revanche, il abrite des liens vers des millions de comptes Facebook ou Twitter, ainsi que certains numéros de téléphone associés. Inoffensives au premier abord, ces données peuvent être utilisées à des fins de phishing (envoi de mails pouvant mener à des escroqueries), une fois mises entre des mains malveillantes.

Une provenance mystérieuse

Le chercheur en question indique n’avoir jamais eu à parcourir une base de données d’une telle ampleur. Des doutes subsistent quant à la façon dont ce gigantesque fichier a été constitué. Les informations personnelles semblent avoir été rassemblées à partir de fichiers de courtiers en données. Ces entreprises constituent, à partir de données glanées en ligne, des profils très ciblés à revendre à leurs clients, bien souvent annonceurs.

L'un des courtiers en question porte le nom de People Data Labs, et officie depuis San Francisco. L'entreprise revendique sur son site disposer de données sur plus d'un milliard et demi de personnes, dont près de 260 millions rien qu'aux Etats-Unis. Parmi son très large lot de données, plus d'un milliard d'adresses électroniques personnelles, plus de 420 millions de profils LinkedIn, et surtout, plus d'un milliard de profils Facebook. 

Les raisons de la présence d'une telle base de données en ligne, et sans réelle protection, restent à élucider. Il est en revanche possible de savoir si un profil ou une adresse mail figurent dans cet immense fichier. Plus de 662 millions d'adresses électroniques ont été ajoutées au site HaveIBeenPwned, qui suit depuis plusieurs années une mission simple: donner aux internautes la possibilité de savoir si leurs identifiants ou mots de passe figurent dans des bases de données piratées. 

Aucune preuve d'utilisation malveillante de l'ensemble de ces informations n'a encore été apportée. Vinni Troia a par ailleurs signalé l'existence d'un tel "mégafichier" auprès du FBI. Ce dernier a depuis disparu du Web.

https://twitter.com/Elsa_Trujillo Elsa Trujillo Journaliste BFM Tech