Deux chercheurs de Carnegie Mellon University à Philadelphie en Pensylvanie (USA) ont réussi à créer un algorithme capable de trouver le numéro d’assurance sociale d’un individu en se basant uniquement sur l’information que contient la page Facebook de l’individu ainsi que les données gouvernementales accessibles au public.

Les SSN aux États-Unis (Social Security Number) sont générés à partir de 2 éléments. Ces 2 éléments sont ensuite combinés pour générer un code. Ces deux éléments sont  : la date de naissance de l’individu et l’État dans lequel il/elle est né(e). Ce type d’information, avouons le, est trouvable moyennant un minimum d’efforts sur les médias sociaux, dont Facebook en particulier.

Aux USA, le gouvernement rend public les noms ainsi que les SSN des personnes décédées – cette basse de données accessible au grand public s’appelle le Death Master File. Le gouvernement Américain rend cette banque d’informations disponible à tous pour aider les petits organismes, entreprises et d’autres institutions à lutter contre divers types de fraude (allocations gouvernementales, pensions d’invalidité, bien-être social,  etc…) et les usurpations d’identités.

À l’aide de la Death Master File, les chercheurs on pu déterminer quelle partie des chiffres du SSN correspondent à la naissance d’un individu. Lorsqu’ils appliquaient leur algorithme aux SSN qu’ils n’avaient pas encore testés, ils pouvaient deviner avec précision les cinq premiers numéros d’un SSN avec une précision allant jusqu’à 90% dans les petits États, ou la population est moins grande.

Le plus compliqué dans tout le processus est de “craquer” les 4 derniers chiffres d’un SSN, qui sont apparemment attribués au hasard. Ceci réduit considérablement le taux de précision; les chercheurs de l’étude en question ont été en mesure d’obtenir un nombre juste après environ 10 essais, plus qu’assez de tentatives infructueuses pour verrouiller une adresse IP sur la plupart des sites bancaires.

Malgré tout,  ils font remarquer qu’un “Bot” travaillant en partenaire avec leur algorithme pourrait attaquer les petits États en très peu de temps. Ceux-cis pourraient mettre en branle l’identité des résidents de West-Virginia à une vitesse d’environ 2 800 résidents par minute, basée uniquement sur des informations de base que l’on retrouve Facilement sur un compte Facebook.