Les responsables de la protection de la vie privée exhortent les sites Web à bloquer le moissonnage de données

Les commissaires à la protection de la vie privée et à l’information de 12 pays, dont le Canada, le Royaume-Uni, la Chine et l’Australie, ont exhorté les sociétés de médias sociaux à faire davantage pour empêcher les acteurs de la menace de récupérer les données personnelles de leurs systèmes informatiques.

« Les sociétés de médias sociaux et les opérateurs de sites Web qui hébergent des données personnelles accessibles au public ont l’obligation, en vertu des lois sur la protection des données et la vie privée, de protéger les informations personnelles sur leurs plateformes contre le moissonnage illégal de données », a déclaré le groupe dans une lettre conjointe publiée jeudi dernier.

Non seulement la lettre commune a été rendue publique, mais elle a également été envoyée directement à Alphabet Inc. (opérateur de YouTube), ByteDance Ltd. (TikTok), Meta Platforms, Inc. (Instagram, Facebook et Threads), Microsoft (LinkedIn), Sina Corp (Weibo) et X Corp. (X, auparavant Twitter).

Il n’est pas rare que des entreprises effectuent du moissonnage de données. L’un des exemples les plus connus est ClearviewAI, qui a récupéré les images de millions de personnes pour alimenter sa base de données commerciale de reconnaissance faciale. Plusieurs commissaires à la protection de la vie privée dans le monde, y compris au Canada, affirment que c’est illégal.

Mais les cybercriminels avides de grands volumes de noms, d’adresses de courriel et d’autres informations personnelles à des fins d’usurpation d’identité, de fraude et de piratage d’organisations le font également – ​ si l’occasion se présente – en grande partie parce que c’est plus facile que de pirater les bases de données des organisations.

L’un des exemples les plus récents a été révélé la semaine dernière : en janvier, quelqu’un a mis en vente les données de 2,6 millions d’utilisateurs du site d’apprentissage des langues DuoLingo sur un forum criminel. Un porte-parole de l’entreprise a déclaré à The Record que les données avaient été moissonnées et n’étaient pas le résultat d’un piratage. Un pirate informatique a affirmé sur X/Twitter que les données avaient été extraites d’une interface de programmation d’application (API) exposée.

En février, une archive contenant des données prétendument extraites de 500 millions de profils LinkedIn a été mise en vente sur un forum de pirates informatiques populaire.  En janvier, un groupe a commencé à divulguer des données sur des dizaines de millions d’utilisateurs de Twitter qui auraient été supprimées du site.

Dans leur lettre commune, les commissaires à la protection de la vie privée et à l’information affirment que le moissonnage de données implique généralement l’extraction automatisée de données du Web. Ils ont lancé cet appel à l’action car ils constatent une augmentation des incidents impliquant le moissonnage de données, en particulier sur les réseaux sociaux et autres sites Web hébergeant des données accessibles au public.

Toute entreprise en ligne a des obligations de protection des données en ce qui concerne le moissonnage par des tiers de ses sites, affirment les commissaires. « Ces obligations s’appliqueront généralement aux informations personnelles, que ces informations soient accessibles au public ou non. Le moissonnage massif de données personnelles peut constituer une violation de données à signaler dans de nombreuses juridictions. »

« Les commissaires exhortent les organisations à mettre en œuvre des contrôles techniques et procéduraux à plusieurs niveaux pour atténuer les risques de moissonnage de données. » Ils ont déclaré qu’une combinaison de ces contrôles devrait être utilisée, proportionnellement à la sensibilité des informations, et peuvent inclure :

  • Désigner une équipe et/ou des rôles spécifiques au sein de l’organisation pour identifier et mettre en œuvre des contrôles pour se protéger, surveiller et répondre aux activités de moissonnage.
  • « Limiter » le nombre de visites par heure ou par jour d’un compte vers d’autres profils de compte, et limiter l’accès si une activité inhabituelle est détectée.
  • Surveiller la rapidité et l’agressivité avec lesquelles un nouveau compte commence à rechercher d’autres utilisateurs. Si une activité anormalement élevée est détectée, cela pourrait indiquer une utilisation inacceptable.
  • Prendre des mesures pour détecter les moissonneurs en identifiant des modèles dans l’activité des « robots ». Par exemple, un groupe d’adresses IP suspectes peut être détecté en surveillant l’endroit où on accède à une plateforme en utilisant les mêmes informations d’identification à partir de plusieurs emplacements. Cela serait suspect lorsque ces accès se produisent dans un court laps de temps.
  • Prendre des mesures pour détecter les robots, par exemple en utilisant des CAPTCHA, et en bloquant l’adresse IP où l’activité de moissonnage de données est identifiée.
  • Lorsque le moissonnage de données est suspecté et/ou confirmé, prendre les mesures juridiques appropriées telles que l’envoi de lettres de mise en demeure, exigeant la suppression des informations récupérées.
  • Obtenir la confirmation de la suppression et d’autres actions en justice pour faire respecter les termes et conditions interdisant le moissonnage de données.
  • Dans les juridictions où le moissonnage de données peut constituer une violation de données, en informer les personnes concernées et les régulateurs de la vie privée, si nécessaire.

Les individus peuvent se protéger contre le moissonnage de données en lisant les déclarations de confidentialité des sites Web sur la manière dont ils partagent leurs informations personnelles, y compris la politique de confidentialité. Cela aidera les gens à déterminer les informations qu’ils doivent partager avec un site lors de leur inscription ou du paiement d’un produit ou d’un service. Certains sites Web, notent les commissaires à la protection de la vie privée, permettent aux utilisateurs d’accroître le contrôle dont ils disposent sur la manière dont leurs informations personnelles sont partagées en ligne.

La lettre demande aux sociétés de médias sociaux de montrer dans un délai d’un mois comment elles se conforment aux attentes décrites dans la déclaration commune.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Le ​​Centre pour la cybersécurité avertit encore une fois les entreprises canadiennes de ne pas ignorer la cybercriminalité

La principale agence de cybersécurité du Canada a une fois de plus mis en garde les responsables informatiques, les dirigeants d'entreprise et les résidents des risques s'ils ne sont pas préparés à la cybercriminalité.

Un groupe de défense soulève des problèmes de confidentialité alors que l’utilisation de reconnaissance faciale explose

La sécurité, l'efficacité et la rentabilité sont présentées comme les principaux moteurs de la popularité croissante des technologies d'identification numérique comme la reconnaissance faciale, mais elles présentent d'importants risques pour la vie privée, révèle dans un nouveau rapport l'organisation de défense juridique Justice Centre for Constitutional Freedoms (JCCF) de Calgary.

Les développeurs d’applications QuickBlox sont invités à mettre à jour la plate-forme pour combler de sérieuses vulnérabilités

Les développeurs d'applications utilisant le kit de développement de logiciel QuickBlox et l'interface de programmation d'applications pour les applications de clavardage et de vidéo sont invités à mettre à jour le cadre dès que possible pour éliminer des vulnérabilités graves.

Likuid.com fait l’acquisition de HostMantis.com

Likuid.com, une entreprise de Mirabel du domaine de l'hébergement Web fondée il y a plus de 15 ans, annonce l'acquisition de HostMantis.com, un autre fournisseur d’hébergement Web exploitant des serveurs dans plusieurs pays. Par cette acquisition, Likuid.com entend renforcer sa position dans le domaine de l'hébergement Web local.

Une étude révèle que les Québécois font de plus en plus confiance aux médias sociaux comme source d’information

L'Académie de la transformation numérique de l'Université Laval révèle, dans son enquête NETendances, que 38 % des adultes québécois font confiance aux nouvelles et aux actualités qui se trouvent sur les médias sociaux (réseaux sociaux, forums de discussion, blogues, wikis, etc.), en hausse de 13 points de pourcentage par rapport à l'année précédente.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.