Clubhouse ne voit pas de fuite de données de son côté

Clubhouse ne voit pas de fuite de données de son côté

Le schéma est toujours un peu le même : sur un forum bien connu pour autoriser la revente de données de provenance douteuse, un utilisateur propose à la vente un fichier contenant 3,8 milliards de numéros de téléphone tirés selon lui de l’application Clubhouse, réseau social basé sur les interactions vocales qui a connu un début de gloire dans les premiers mois de l’année 2021.

De quoi suspecter une fuite massive de données de la part de l’application. La mise en vente du fichier a été signalée par un chercheur en sécurité sur twitter, qui signalait au passage que la profusion de numéros laissait entendre que Clubhouse avait également indexé les numéros de téléphone issus du carnet de contact de ses utilisateurs Le sujet est epineux pour Clubhouse, déjà dans le viseur de la CNIL sur les sujets liés aux données personnelles de ses utilisateurs. Le nombre total de numéros de téléphone présent dans la base de données mise en vente paraît néanmoins suspect, ainsi que le peu d’informations contextuelles sur leur provenance.

Sur le forum, l’utilisateur donne accès à un échantillon de données, qui contient assez peu d’informations complémentaires : la liste contient uniquement les numéros de téléphone en question ainsi qu’un « score » attaché à chaque numéro, qui correspondrait à un « score de popularité » basé sur le nombre d’autres numéros disposant du numéro dans son répertoire. Aucune information personnelle, type nom, prénom, ou identifiant de compte Clubhouse, n’est attachée aux entrées de la base.

Mais le scénario retenu par Clubhouse est différent. Pour l’entreprise américaine: « Il n’y a eu aucune violation de la sécurité de Clubhouse. » La société indique se ranger à une autre interprétation : « Il existe une série de robots générant des milliards de numéros de téléphone aléatoires. Dans le cas où l’un de ces nombres aléatoires existerait sur notre plate-forme en raison d’une coïncidence mathématique, l’API de Clubhouse ne renvoie aucune information identifiable par l’utilisateur. »

publicité

Un scraping de plus

Cette piste avait déjà été évoquée par plusieurs chercheurs en sécurité ayant analysé l’échantillon mis à disposition par l’internaute : les vendeurs du fichier ont ainsi pu générer à la pelle des numéros de téléphone correspondant à des formats connus, puis exploiter l’API de Clubhouse pour vérifier le numéro, récupérer l’information sur le « score de popularité » associé, agréger le tout et mettre ensuite le fichier en vente. Dans ce cas de figure, pas de brèche dans la sécurité de l’application, mais plutôt un « scraping » laborieux et incomplet qu’on tente de faire passer pour une fuite de données. L’absence de données dans la base permettant d’identifier les utilisateurs associés aux numéros de téléphone rend la vente de ce fichier moins inquiétante pour les utilisateurs que les affaires de scraping ayant par exemple affecté Facebook en début d’année.

Le sujet du scraping de données est un problème pour de nombreux réseaux sociaux, car il s’opère en zone grise d’un point de vue légal : certains, comme LinkedIn, luttent activement contre les entreprises qui s’y adonnent, d’autres comme Facebook ont opté pour une attitude plus laxiste à l’égard de ces pratiques. Si celles-ci exploitent parfois des vulnérabilités et faiblesses des sites victimes, elles sont difficilement assimilables à une fuite de données classique, car les attaquants récupèrent ici des données accessibles publiquement sur le réseau. Elles n’en restent pas moins un sujet d’inquiétude pour les victimes, car l’agrégat de données diverses peut permettre d’établir des profils utilisés pour du spam ou des attaques de phishing. Mais en la matière, la pseudo fuite de Clubhouse est loin d’être la pire.

Leave a Reply

Your email address will not be published. Required fields are marked *