L'Assemblée mondiale pour la protection de la vie privée met en garde contre les risques liés au scraping en matière de protection de la vie privée

Le scraping de données est l'extraction automatisée de données à partir d'applications Web et mobiles. Les scrapers extraient des données pour de nombreuses raisons, allant de l'obtention d'un avantage concurrentiel à l'agrégation de données à des fins de comparaison de prix. Les organisations tentent souvent d’empêcher le scraping parce qu’elles ne veulent pas que leurs concurrents aient accès à leurs données de tarification ou d’inventaire ou parce que le volume du trafic de scraping a un impact sur les performances de l’application. Dans de nombreux cas, le scraping du trafic peut représenter plus de 95 % du trafic global et peut ralentir, voire faire planter les applications.

Les réglementations en matière de confidentialité visent à protéger les droits des individus en matière de confidentialité des données, en leur permettant de décider qui peut utiliser leurs données, à quelle fin et pendant combien de temps. Lorsque les utilisateurs partagent des données sur les réseaux sociaux, ils souhaitent qu’elles soient consultées par un certain groupe de personnes, comme indiqué dans les paramètres et les politiques de confidentialité de l’application. Lorsque ces données sont récupérées à leur insu, les individus perdent le contrôle de leurs informations personnelles, car les récupérateurs peuvent les utiliser à des fins autres que celles prévues.

Le scraping de données viole également le droit des individus à demander la suppression ou la correction de leurs données personnelles. Une fois les données récupérées, même si le créateur supprime les données du site de médias sociaux, les récupérateurs continueront à utiliser et à partager ces données.

Cette perte de contrôle sur les données personnelles, selon la déclaration commune du GPA, met les individus en danger de plusieurs manières. Les criminels peuvent utiliser ces données à des fins d’ingénierie sociale, de phishing ciblé et de fraude d’identité. Ces données peuvent permettre aux criminels de profiler des individus dans le but de contourner les systèmes d’autorisation. Et les spécialistes du marketing les moins scrupuleux peuvent utiliser ces données à des fins de marketing direct et de spam.

Selon la déclaration conjointe du GPA, les informations personnelles, même lorsqu’elles sont accessibles au public sur Internet, sont soumises aux lois sur la protection des données. Cela signifie que le grattage massif de données personnelles peut constituer une violation de données à signaler dans de nombreuses juridictions.

La déclaration commune recommande des mesures visant à empêcher le grattage de données, qui sont requises par les exigences légales dans de nombreuses juridictions et peuvent être « interprétées comme telles par les tribunaux et les autorités de protection des données ».

Pour atténuer les risques d’atteinte à la vie privée liés au scraping de données, le GPA recommande des contrôles techniques et procéduraux à plusieurs niveaux, commençant par la création d’une équipe désignée pour mettre en œuvre les contrôles et surveiller leur efficacité. D’autres contrôles incluent la limitation du nombre d’utilisateurs, la surveillance des liens rapides au sein du réseau social, la prise de mesures juridiques contre les récupérateurs de données pour garantir la suppression des données et la notification des individus et des régulateurs des activités de récupération qui constituent une violation de données.

En tant que composant des contrôles multicouches, le GPA recommande également d'atténuer les robots qui récupèrent les données. La déclaration commune mentionne spécifiquement le CAPTCHA et la limitation du débit IP. Les organisations qui souhaitent une protection multicouche efficace doivent envisager des solutions de gestion des robots qui utilisent la collecte de signaux et l'IA pour atténuer les robots avancés qui contournent le CAPTCHA et la limitation du débit IP.

Si l’on considère le scraping de données à la lumière des récents développements en matière de phishing , la menace pour la vie privée des individus devient encore plus alarmante. Les fournisseurs de phishing en tant que service (PhaaS) proposent des ensembles d'outils complets pour lancer des attaques de phishing, notamment des modèles d'e-mails, de faux sites Web conçus pour paraître authentiques, des coordonnées de cibles potentielles, des instructions détaillées et un support client, ce qui rend le phishing plus efficace, même pour les attaquants peu qualifiés. De plus, le phishing est devenu le principal moyen de contourner l’authentification multifacteur via des proxys de phishing en temps réel qui incitent les utilisateurs à soumettre des mots de passe à usage unique dans des applications contrôlées par les attaquants. (Voir le rapport de F5 Labs sur la façon dont le phishing rend l’authentification multifacteur inefficace.)

Nous devrions nous attendre à ce que le phishing devienne de plus en plus efficace grâce à l’application de grands modèles linguistiques. Des rapports sur de nouveaux outils d'attaque en vente sur le dark web, notamment WormGPT et FraudGPT , indiquent que les criminels ont commencé à adapter l'IA générative à des fins malveillantes, notamment le phishing. Ces outils bénéficieront presque certainement de l’ingestion de données personnelles récupérées à partir de plusieurs applications pour créer des messages de phishing efficaces et personnalisés, une évolution qui pourrait conduire à l’automatisation du spear phishing.