La CNIL enquête sur l'extension Lusha, qui affiche téléphone et email sur des profils LinkedIn

La CNIL enquête sur l’extension Lusha, qui affiche téléphone et email sur des profils LinkedIn

Lusha et la souris

Avatar de l'auteur

Guénaël Pépin

Publié dansInternet

09/10/2018
17
La CNIL enquête sur l'extension Lusha, qui affiche téléphone et email sur des profils LinkedIn

L'autorité nous révèle scruter les activités de Lusha. Cette extension fournit des coordonnées d'internautes en visitant leur profil LinkedIn ou Twitter. La société, qui se prétend conforme au RGPD, collecte des données de sources publiques et privées. Interrogée, elle refuse de nous les détailler.

Inscrivez-vous, installez l'extension navigateur puis allez sur n'importe quel profil LinkedIn pour obtenir ses numéros et adresses email. C'est la promesse de Lusha, un service signalé sur Twitter par @Paingout qui pensait un temps à une faille de LinkedIn. En réalité, Lusha a été taillé pour afficher les coordonnées de personnes physiques en complétant les profils du réseau professionnel avec ses propres données. 

Sur la fiche LinkedIn du Premier ministre, Édouard Philippe, cet internaute a obtenu une adresse email et deux numéros de téléphone. Et selon nos tests, le répondeur du numéro mobile appartient bien à l'intéréssé. Mieux : sur sept autres essais, concernant notamment Mounir Mahjoubi et trois responsables des affaires publiques d'entreprises, cinq se sont avérés concluants. Trois ont même présenté des numéros de mobile.

Passés cinq profils consultés, sur LinkedIn, Twitter ou Salesforce, l'accès aux coordonnées devient payant. Il en coûtera au moins 300 dollars par an, pour 30 consultations mensuelles. Le service est cependant déjà sous le regard de la CNIL. « Un contrôle a été effectué concernant cette entreprise, les suites sont en cours d’instruction. En l’absence d’établissement sur le territoire français, une mesure de coopération internationale est envisagée » nous déclare l'autorité.

Mais d'où viennent ces données, et quels sont les recours ?

Une « Lusha Database » bien mystérieuse

En apparence, la société américaine, siégée à New York, semble prendre la mesure de la sensibilité de son activité. Elle présente trois pages sur la confidentialité : « Vos données »une politique de vie privée et une page pour le Règlement général sur la protection des données (RGPD).

Pour placarder ces précieuses données, elle déclare regrouper « des sources disponibles publiquement » et des données obtenues « via des partenaires commerciaux qui contribuent à la communauté Lusha ». En sus, des adresses email sont devinées via les modèles habituels des entreprises. Aucun détail n'est fourni sur ces sources. L'entreprise déclare en outre ne collecter que les coordonnées professionnelles.

Les données publiques incluent « celles disponibles sur Internet via une simple recherche Google ». La formule est innocente mais la méthode peut aller très loin, via le Google dorking, c'est-à-dire des requêtes extrêmement précises permettant de pêcher des documents laissés en ligne par inadvertance.

L'entreprise assure également qu'aucune donnée des clients interrogeant sa base, inscrits directement ou passant par des tiers, n'est incluse. Elle déclare aussi ne jamais fournir ses données en masse, mais seulement au cas par cas, à la consultation d'un profil concerné.

Nous avons néanmoins demandé à l'éditeur d'où proviennent ces fameuses informations, quelles sont ses sources « publiquement disponibles » et les garanties offertes quant au consentement des internautes.

La société s'est contentée de nous renvoyer vers sa documentation officielle, même après relance. « Comme vous le comprenez sûrement, en tant que société commerciale, Lusha ne peut pas révéler des informations si proches de son activité » a-t-elle conclu en guise de fin de non-recevoir.  

Contacté, LinkedIn nous assure ignorer la provenance des données. Aucune information en possession de Lusha ne provient de LinkedIn, jure la société.

Lusha Edouard PhilippeLusha Bruno Le Maire

Un service via Gmail indiscret

Lusha fournit également un service sur Gmail, qui lui permet au passage d'accéder à l'ensemble des données d'une boite email. Les conditions d'utilisation révèlent qu'en acceptant de connecter son compte Gmail, le service « ajoutera automatiquement les informations des contacts à la Lusha Database ».

Bien entendu, l'application est révocable via les paramètres du compte Google, comme toutes les autres. Notons que cette fonctionnalité pourrait disparaître l'an prochain. Le groupe californien vient d'annoncer un tour de vis sur les applications tierces, n'acceptant plus que celles ayant directement trait au traitement d'emails dès février.

L'intérêt légitime à la collecte

Concernant le RGPD, qui menace les indélicats d'une amende jusqu'à 4 % du chiffre d'affaires mondial, Lusha se conforme au moins dans la forme. Pour la collecte et le traitement des données personnelles, la société invoque en effet « l'intérêt légitime » à fournir un tel service.

Sur six bases de traitement, qui autorisent le malaxage des informations personnelles, c'est la plus permissive. L'intérêt légitime est une véritable carte joker, utilisée par les sociétés souhaitant esquiver le consentement préalable des internautes à la collecte et de leurs données.

En parallèle, les données peuvent sortir de l'Union européenne, notamment aux États-Unis avec le Privacy Shield. Un accord contesté par le Parlement européen.

Enfin, Lusha référence une adresse à Hambourg, en Allemagne, comme établissement européen.

Une rectification possible, mais pas de traçabilité

Pour se protéger, Lusha met en évidence de nombreux liens vers sa page de désinscription de sa base de données. Il est donc possible, via un formulaire, de retirer ses données du service.

Pour autant, elle se réserve le droit de masquer la provenance de ces informations. « Lorsque possible, nous sommes heureux de fournir aux sujets des traitements la source exacte des données associées. Mais, dans certains cas, pour des raisons techniques, localiser la source des données est impossible ou demande un effort disproportionné » écrit l'entreprise sur la page « Vos données ». Autrement dit, aucune traçabilité n'est garantie.

L'instruction par la CNIL, sur laquelle nous n'avons pas plus de détails, durera sûrement encore quelques mois. Il n'est pas certain que les conclusions soient publiques, une partie des procédures restant strictement confidentielles.

17
Avatar de l'auteur

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

#Flock a sa propre vision de l’inclusion

Retour à l’envoyeur

13:39 Flock 15
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

On est déjà à la V2 de Next ?

11:55 21
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Me voilà à poil sur Internet

17:18 Next 16

Sommaire de l'article

Introduction

Une « Lusha Database » bien mystérieuse

Un service via Gmail indiscret

L'intérêt légitime à la collecte

Une rectification possible, mais pas de traçabilité

#Flock a sa propre vision de l’inclusion

Flock 15
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

21
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 16
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 13
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 10
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 4

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 14

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 11
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 34
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 51
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 8

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 12
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 38
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 7
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Next 151

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Science 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hard 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (17)


versgui Abonné
Il y a 5 ans

Je ne vois possible comme origine que des bases de données leakées ces dernières années (je pense notamment à Domino’s Pizza en 2014, 648231 comptes avec numéros de téléphone lâchés dans la nature).

Un bon coup de RGPD dans leur gueule ne serait pas de trop.


hellmut Abonné
Il y a 5 ans

c’est plus que limite leur concept.
et ça dure depuis quelques temps


Ruzgfpegk
Il y a 5 ans

Par contre, impossible de savoir si on est dans leur base ?
Je viens d’installer l’extension pour tester… et paf, il faut s’inscrire pour pouvoir l’utiliser.

Je n’allais tout de même pas me mettre dans une base de données pour vérifier si je suis dans une base de données !
Et tout leur fournir (si ils ne l’avaient pas déjà) en remplissant le formulaire de désinscription… comment dire…


MarcRees Abonné
Il y a 5 ans






Ruzgfpegk a écrit :

Par contre, impossible de savoir si on est dans leur base ?
Je viens d’installer l’extension pour tester… et paf, il faut s’inscrire pour pouvoir l’utiliser.

Je n’allais tout de même pas me mettre dans une base de données pour vérifier si je suis dans une base de données !
Et tout leur fournir (si ils ne l’avaient pas déjà) en remplissant le formulaire de désinscription… comment dire…


en plus ils n’acceptent que les mails “pro” (donc pas gmail, et autres).



StephaneGames Abonné
Il y a 5 ans

Avec toutes les applications pour téléphone qui ont les autorisations sur les contacts cela permet facilement et à peu de frais de constituer un méga annuaire téléphonique !
Il suffit qu’un de nos contacts une application de merde qui a accès aux contacts et pouf nos coordonnées sont sauvegardées dans le “cloud” pour notre bien (pour faire du business sur nos coordonnées sans notre accord).
 


versgui Abonné
Il y a 5 ans






StephaneGames a écrit :

Avec toutes les applications pour téléphone qui ont les autorisations sur les contacts cela permet facilement et à peu de frais de constituer un méga annuaire téléphonique !
Il suffit qu’un de nos contacts une application de merde qui a accès aux contacts et pouf nos coordonnées sont sauvegardées dans le “cloud” pour notre bien (pour faire du business sur nos coordonnées sans notre accord).
 


J’y pensais également. Idem pour les extensions navigateurs qui ont potentiellement accès à tout le contenu des pages web avec l’autorisation qui va bien.

Dans tous les cas, cette société exploite des données personnelles qu’elle a acquise autrement que par consentement explicite, elle est clairement dans le viseur du RGPD. J’espère vivement que la CNIL fera son boulot jusqu’au bout.



crocodudule
Il y a 5 ans
crocodudule
Il y a 5 ans

Bon plus sérieusement, la CNIL semble avoir trouvé sa première cible hors territoire européen depuis le RGPD, on verra comment se passe la demande de coopération 


Z-os Abonné
Il y a 5 ans

La communication est interrompue depuis une semaine. <img data-src=" />


Edit : au moins !


Mimoza Abonné
Il y a 5 ans

Il n’y a que moi que ça choque de voir des politiques avoir leur page PRO sur Linkedin ?


hellmut Abonné
Il y a 5 ans

je vois pas ce qui est choquant.
le contraire m’interrogerait par contre: pourquoi vouloir supprimer des infos sur ses activités passées?


dematbreizh Abonné
Il y a 5 ans

Édouard Philippe mange donc de la pizza ;)


MarcRees Abonné
Il y a 5 ans

Merci de ne pas dévoiler de numéro de téléphone. On les a cachés dans les captures, ce n’est pas pour les retrouver en commentaire, quand bien même seraient-ils périmés ou que sais-je.&nbsp;


Abatonimus Abonné
Il y a 5 ans

J’ai testé et ca donne 2 adresses emails (gmail et élysée) et 2 numéros de téléphone (un fixe et un portable).


crocodudule
Il y a 5 ans






Z-os a écrit :

La communication est interrompue depuis une semaine. <img data-src=" />


Edit : au moins !


<img data-src=" />



crocodudule
Il y a 5 ans






abatonime a écrit :

J’ai testé et ca donne 2 adresses emails (gmail et élysée) et 2 numéros de téléphone (un fixe et un portable).


Oui j’ai vu ^^&nbsp; Et étrangement ca fait remonter les sites d’alerte arnaque & co <img data-src=" />

&nbsp;