Les données avaient été collectées sur Facebook, LinkedIn, Twitter, ainsi que d’autres sites. / Quentin Hugon / Le Monde

Une entreprise a aspiré de manière automatique les données de 48 millions de personnes sans leur consentement, sur des sites et réseaux sociaux comme Facebook, LinkedIn ou encore Twitter. Elle les a ensuite stockées sur un serveur, qui n’était pas protégé par un mot de passe, selon un rapport publié, mercredi 18 avril, par des chercheurs d’UpGuard, une firme spécialisée dans la sécurité informatique. Les informations personnelles seraient de fait restées accessibles, potentiellement téléchargeables par n’importe quel internaute.

L’entreprise accusée de cette fuite se nomme Localblox. Il s’agit d’une société américaine d’analyse de données. Sur son site, elle vante l’efficacité de ses méthodes de collecte d’informations et explique proposer, entre autres, aux entreprises qui le souhaitent des « profils » de consommateurs, composés à partir des données récupérées sur différents sites, pour effectuer du ciblage publicitaire, par exemple.

Noms, adresses, centres d’intérêts…

Ce sont ces types de profils que LocalBlox a laissés accessibles. On y trouvait, détaille UpGuard, des noms, des adresses physiques, dates de naissance, centres d’intérêts, professions, liens familiaux, ou encore des publications et textes écrits par les utilisateurs.

Les données, qui représentaient un volume de 1,2 térabit au total, ont été aspirées sans le consentement des utilisateurs dont l’entreprise a dressé les profils. Certaines provenaient de profils publics des réseaux sociaux Facebook, Twitter et LinkedIn. D’autres étaient issues de bases de données marketing diverses que LocalBlox a pu acheter auprès d’autres entreprises, selon le rapport. UpGuard dit n’avoir pas été en mesure d’identifier avec précision certaines sources des données.

La collecte automatisée interdite sur Facebook

C’est mi-février que l’entreprise de sécurité informatique a découvert que cette base de données était stockée sur un serveur Amazon, sans être protégée par un mot de passe. « [Nous] en avons notifié LocalBlox, le 28 février, est-il expliqué dans le rapport. L’espace de stockage a été sécurisé plus tard dans la même journée. »

Contacté par le site spécialisé ZDNet, le cofondateur de LocalBlox, Ashfaq Rahman, a assuré qu’UpGuard avait « hacké » le serveur Amazon contenant les données, et que les données n’étaient donc pas accessibles aussi facilement. Il n’a, cependant, pas expliqué pourquoi il avait dû, malgré cela, restreindre les permissions d’accès au serveur en question après avoir été contacté par UpGuard.

Il a, par ailleurs, assuré que la plupart des données des 48 millions d’utilisateurs avaient été collectées pour des tests internes, et qu’« aucun autre individu [qu’UpGuard] ne semblait avoir eu accès aux fichiers hébergés sur le serveur ».

Facebook et LinkedIn ont rappelé que la collecte automatisée de données était interdite sur leurs plates-formes. Twitter a expliqué qu’elle était autorisée sur son site, mais uniquement dans le cas où les utilisateurs ont donné leur consentement express au préalable.

Facebook, qui subit encore les retombées de l’affaire Cambridge Analytica, a précisé qu’elle informerait les individus, dont les données ont été aspirées par LocalBlox.