ActualitésCybersécuritéNouvellesVie privée

Les responsables de la protection de la vie privée exhortent les sites Web à bloquer le moissonnage de données

Par Howard Solomon
Image : Getty Images

Les commissaires à la protection de la vie privée et à l’information de 12 pays, dont le Canada, le Royaume-Uni, la Chine et l’Australie, ont exhorté les sociétés de médias sociaux à faire davantage pour empêcher les acteurs de la menace de récupérer les données personnelles de leurs systèmes informatiques.

« Les sociétés de médias sociaux et les opérateurs de sites Web qui hébergent des données personnelles accessibles au public ont l’obligation, en vertu des lois sur la protection des données et la vie privée, de protéger les informations personnelles sur leurs plateformes contre le moissonnage illégal de données », a déclaré le groupe dans une lettre conjointe publiée jeudi dernier.

Non seulement la lettre commune a été rendue publique, mais elle a également été envoyée directement à Alphabet Inc. (opérateur de YouTube), ByteDance Ltd. (TikTok), Meta Platforms, Inc. (Instagram, Facebook et Threads), Microsoft (LinkedIn), Sina Corp (Weibo) et X Corp. (X, auparavant Twitter).

Il n’est pas rare que des entreprises effectuent du moissonnage de données. L’un des exemples les plus connus est ClearviewAI, qui a récupéré les images de millions de personnes pour alimenter sa base de données commerciale de reconnaissance faciale. Plusieurs commissaires à la protection de la vie privée dans le monde, y compris au Canada, affirment que c’est illégal.

Mais les cybercriminels avides de grands volumes de noms, d’adresses de courriel et d’autres informations personnelles à des fins d’usurpation d’identité, de fraude et de piratage d’organisations le font également – ​ si l’occasion se présente – en grande partie parce que c’est plus facile que de pirater les bases de données des organisations.

L’un des exemples les plus récents a été révélé la semaine dernière : en janvier, quelqu’un a mis en vente les données de 2,6 millions d’utilisateurs du site d’apprentissage des langues DuoLingo sur un forum criminel. Un porte-parole de l’entreprise a déclaré à The Record que les données avaient été moissonnées et n’étaient pas le résultat d’un piratage. Un pirate informatique a affirmé sur X/Twitter que les données avaient été extraites d’une interface de programmation d’application (API) exposée.

En février, une archive contenant des données prétendument extraites de 500 millions de profils LinkedIn a été mise en vente sur un forum de pirates informatiques populaire.  En janvier, un groupe a commencé à divulguer des données sur des dizaines de millions d’utilisateurs de Twitter qui auraient été supprimées du site.

Dans leur lettre commune, les commissaires à la protection de la vie privée et à l’information affirment que le moissonnage de données implique généralement l’extraction automatisée de données du Web. Ils ont lancé cet appel à l’action car ils constatent une augmentation des incidents impliquant le moissonnage de données, en particulier sur les réseaux sociaux et autres sites Web hébergeant des données accessibles au public.

Toute entreprise en ligne a des obligations de protection des données en ce qui concerne le moissonnage par des tiers de ses sites, affirment les commissaires. « Ces obligations s’appliqueront généralement aux informations personnelles, que ces informations soient accessibles au public ou non. Le moissonnage massif de données personnelles peut constituer une violation de données à signaler dans de nombreuses juridictions. »

« Les commissaires exhortent les organisations à mettre en œuvre des contrôles techniques et procéduraux à plusieurs niveaux pour atténuer les risques de moissonnage de données. » Ils ont déclaré qu’une combinaison de ces contrôles devrait être utilisée, proportionnellement à la sensibilité des informations, et peuvent inclure :

  • Désigner une équipe et/ou des rôles spécifiques au sein de l’organisation pour identifier et mettre en œuvre des contrôles pour se protéger, surveiller et répondre aux activités de moissonnage.
  • « Limiter » le nombre de visites par heure ou par jour d’un compte vers d’autres profils de compte, et limiter l’accès si une activité inhabituelle est détectée.
  • Surveiller la rapidité et l’agressivité avec lesquelles un nouveau compte commence à rechercher d’autres utilisateurs. Si une activité anormalement élevée est détectée, cela pourrait indiquer une utilisation inacceptable.
  • Prendre des mesures pour détecter les moissonneurs en identifiant des modèles dans l’activité des « robots ». Par exemple, un groupe d’adresses IP suspectes peut être détecté en surveillant l’endroit où on accède à une plateforme en utilisant les mêmes informations d’identification à partir de plusieurs emplacements. Cela serait suspect lorsque ces accès se produisent dans un court laps de temps.
  • Prendre des mesures pour détecter les robots, par exemple en utilisant des CAPTCHA, et en bloquant l’adresse IP où l’activité de moissonnage de données est identifiée.
  • Lorsque le moissonnage de données est suspecté et/ou confirmé, prendre les mesures juridiques appropriées telles que l’envoi de lettres de mise en demeure, exigeant la suppression des informations récupérées.
  • Obtenir la confirmation de la suppression et d’autres actions en justice pour faire respecter les termes et conditions interdisant le moissonnage de données.
  • Dans les juridictions où le moissonnage de données peut constituer une violation de données, en informer les personnes concernées et les régulateurs de la vie privée, si nécessaire.

Les individus peuvent se protéger contre le moissonnage de données en lisant les déclarations de confidentialité des sites Web sur la manière dont ils partagent leurs informations personnelles, y compris la politique de confidentialité. Cela aidera les gens à déterminer les informations qu’ils doivent partager avec un site lors de leur inscription ou du paiement d’un produit ou d’un service. Certains sites Web, notent les commissaires à la protection de la vie privée, permettent aux utilisateurs d’accroître le contrôle dont ils disposent sur la manière dont leurs informations personnelles sont partagées en ligne.

La lettre demande aux sociétés de médias sociaux de montrer dans un délai d’un mois comment elles se conforment aux attentes décrites dans la déclaration commune.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.
Plus d'articles de Howard Solomon

Articles connexes

Actualités

Les protecteurs canadiens de la vie privée publient des principes pour le développement responsable de l’IA

Dans la foulée des directives de cybersécurité pour les systèmes d’IA générative publiées par le gouvernement fédéral, les régulateurs fédéraux, provinciaux et territoriaux de la protection de la vie privée du Canada ont publié leur propre ensemble de lignes directrices liées à la confidentialité.
Actualités

Les commissaires à la protection de la vie privée provinciaux s’opposent au projet de tribunal fédéral chargé de la protection de la vie privée

Les commissaires à la protection de la vie privée du Québec, de l'Alberta et de la Colombie-Britannique affirment que la refonte proposée de la loi fédérale sur la protection de la vie privée du Canada ne devrait pas ajouter un tribunal chargé de la protection de la vie privée pour entendre les appels de certaines décisions prises par le commissaire national à la protection de la vie privée.
Actualités

Une loi canadienne régissant les plateformes de médias sociaux est nécessaire rapidement

Le Canada doit adopter rapidement une législation pour superviser les plateformes de médias sociaux, déclare un expert en droit de la cybersécurité, notamment en nommant un régulateur indépendant qui peut imposer de « lourdes » sanctions financières.
Actualités

Le protecteur de la vie privée du Canada enquête sur le vol de données d’employés fédéraux auprès d’entreprises de relocalisation

Le commissaire à la protection de la vie privée du Canada a ouvert une enquête sur le vol de 24 ans de données d'employés fédéraux auprès de deux entreprises de relocalisation sous contrat avec le gouvernement.
Actualités

La législation proposée sur la confidentialité et l’IA ne limite pas la reconnaissance faciale, se plaignent des groupes de défense des droits

Une nouvelle législation limitant l'utilisation de la reconnaissance faciale au Canada est nécessaire selon les groupes de défense des libertés civiles, qui affirment que les lois proposées sur la vie privée et l'intelligence artificielle actuellement soumises au Parlement sont inadéquates.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.

OBTENEZ LES NOUVELLES ET LES PERSPECTIVES QUI COMPTENT POUR VOUS

Nos journalistes et rédacteurs chevronnés vous offrent un contenu varié et pertinent conçu spécialement pour les professionnels et les cadres des TI.

Abbonement

La seule source d’information en gestion des TI au Québec

Nouvelles

Catégories Populaire

Réseau ITWC

Autre

© 2022 Direction Informatique - ITWC