.
hebergeur image

Même ceux qui n'ont pas de profil sont pistés


Les internautes sont appelés à user de leurs informations privées avec prudence et à renforcer les dispositions sur la protection des données. (Photo: AFP)


D'après un chercheur de l'EPFZ, les réseaux sociaux créent des profils «fantômes» de personnes ne possédant pas de compte grâce aux contacts privés des inscrits.

Les réseaux sociaux, comme Facebook, proposent qu'un utilisateur importe sa liste de contacts, afin qu'il puisse plus facilement retrouver un ami. Le hic, c'est que les réseaux sociaux collectent toutes les données dans son carnet d'adresses (mail et postale, numéro de téléphone, etc), donc aussi des non-membres.

Ils créent ensuite un profil, incluant parfois des informations privées, observe David Garcia, de l'Ecole polytechnique fédérale de Zurich (EPFZ). Pour parvenir à ces conclusions, le chercheur a étudié les archives de la plate-forme «Friendster», qui a entre-temps disparu.

Il a notamment regardé s'il était possible d'obtenir des renseignements sur l'orientation sexuelle d'un non-membre ou sur sa situation amoureuse. Résultat: la probabilité que les renseignements qu'il a obtenus soient exacts est très élevée, relève-il dans la revue Science Advances.

Et cette probabilité augmente, plus le nombre d'utilisateurs du réseau social est grand et plus l'accès à la liste d'amis est facilité. A noter que Facebook comptait en juin de cette année, 1,32 milliard d'utilisateurs actifs quotidiennement. Friendster en recensait 115 millions par moments.

Recouper des données

Quand les utilisateurs importent leurs listes de contacts ou carnets d'adresses, le réseau social tente d'établir des modèles où les personnes sont mises en relation. Il crée des liens en fonction de leur ressemblance.

Dans le cas de l'étude, les personnes hétérosexuelles seront connectées aux personnes du sexe opposé, les homos avec celles du même sexe, de même que les célibataires entre eux. Il arrive aussi que plusieurs utilisateurs importent le même contact d'une personne qui ne possède pas de compte sur le réseau social. C'est par ce biais que le réseau social parvient à construire ce profil «fantôme».

Ce problème n'est pas nouveau. En 2013, Facebook avait fait couler beaucoup d'encre pour cette raison. Le chercheur de la haute école de Zurich appelle donc les internautes à user de leurs informations privées avec prudence et à renforcer les dispositions sur la protection des données.

ATS

Besoin d'un mot de passe ? En voici 306 millions à éviter


Le chercheur de sécurité Troy Hunt a publié un outil de recherche qui exploite une base de données des mots de passe précédemment compromis. De quoi s'assurer de ne pas réutiliser un mot de passe vulnérable. Si vous êtes sur le marché pour un nouveau mot de passe unique, Troy Hunt a une bonne idée de ce que vous ne voulez pas.



Hunt, l'expert en sécurité derrière le site Web "Have I Been Pwned", a publié jeudi un outil de recherche contenant 306 millions de mots de passe précédemment compromis. La base de données des mots de passe de l'outil, constituée sur la base de dizaines de violations de données, vise à aider les particuliers et les entreprises à améliorer leur sécurité sur Internet.

Avec la multiplication des fuites de données, il est impératif de choisir des mots de passe capables de résister aux attaques de type force brute ou brute-force. Idéalement, les mots de passe doivent comporter au moins 16 caractères, en combinant chiffres, caractères spéciaux avec des lettres majuscules et minuscules [La Cnil a elle aussi publié son guide de bonnes pratiques concernant les mots de passe].

Mais même le mot de passe le plus sécurisé au monde est inutile s'il est déjà accessible dans la trousse à outils d'un pirate informatique. Le site Web de Hunt permet déjà aux utilisateurs de voir si leur adresse électronique a été exposée dans une attaque - sans les mots de passe associés, bien entendu.

Le nouvel outil renverse ce modèle pour montrer les mots de passe, sans les noms d'utilisateur correspondants. Hunt met en garde contre l'utilisation de l'outil pour tester les mots de passe que vous utilisez déjà, car cela communique une autre option de mot de passe à des tiers.

"J'invite des gens plus compétents en technologie à utiliser ce service pour démontrer un argument à des amis, des parents et des collègues : 'vous voyez, ce mot de passe a été violé auparavant, ne l'utilisez pas!'" écrit Hunt dans un billet de blog.

"S'il y a une chose que j'ai apprise au cours des années passées à faire tourner ce service, c'est que rien n'a autant d'effet que de voir ses propres données compromises."

Les directives récentes du NIST (National Institute of Standards and Technology) recommandent que les sites contrôlent les mots de passe potentiels en les comparant aux violations de données antérieures et s'assurent ainsi qu'ils soient totalement uniques. Mais avec une base de données de 306 millions de rejets, en dénicher un d'unique risque de se révéler une tâche ardue.