C’est une fuite d’une ampleur rare. Vinny Troia, un chercheur en sécurité informatique, a découvert en juin une base de données contenant les informations personnelles d’environ 230 millions d’Américains et 110 millions d’entreprises, a rapporté le site spécialisé Wired mercredi 27 juin. Elle appartenait à l’entreprise Exactis, spécialisée dans le marketing et l’agrégation de données.

Au total, Vinny Troia a trouvé près de deux téraoctets de données, accessibles depuis Internet, concernant « presque tous les citoyens américains » : des nom, adresse, numéro de téléphone, adresse e-mails, âge, et des informations sur de potentiels centres d’intérêt comme le statut de fumeur, la religion, le genre des enfants ou encore la possession ou non d’animaux de compagnie. Plus de quatre cents variables par personne figurent dans la base, grâce à des méthodes que ne détaille pas la firme sur son site tout en assurant être en conformité avec la loi dans sa collecte de données.

Des données disponibles publiquement

Il semblerait, selon Wired, que les numéros de carte bancaire et de sécurité sociale ne soient en revanche pas concernés.

Les données étaient non protégées, disponibles publiquement, et donc accessibles à n’importe quel internaute. On ignore pour le moment si elles ont été consultées et utilisées avant la trouvaille du chercheur. Vinny Troia dit avoir contacté Exactis et le FBI la semaine dernière pour les avertir de la faille. Il a expliqué que l’entreprise avait depuis protégé ses données, qui n’étaient plus accesibles. Exactis n’a pas encore réagi publiquement.

C’est la deuxième fois ces derniers mois qu’une entreprise américaine spécialisée dans l’agrégation de données est visée par un piratage. A l’automne, on apprenait que la société Equifax, spécialisée dans l’évaluation de la solvabilité des demandeurs de crédit, avait été visée. Des données de 145 millions d’Américains s’étaient retrouvées dans la nature.

Lire aussi Le piratage d’Equifax dû à une faille informatique non corrigée