Comment se protéger du doxing

De nos jours, constituer un dossier sur n’importe quel internaute est plus facile que vous ne le pensez. Apprenez-en davantage sur ces doxeurs et leurs méthodes.

Chaque fois que vous aimez une publication sur les réseaux sociaux, que vous rejoignez une communauté de quartier, que vous publiez votre CV ou que vous êtes filmé par une caméra dans la rue, les informations sont collectées dans une base de données. Vous n’avez peut-être pas idée d’à quel point le fait de laisser toutes ces traces (chaque action sur le Web et quasiment toutes celles du monde réel) vous rend vulnérable.

Le mauvais cycliste, conducteur et père

La divulgation de données personnelles (doxing en anglais) peut toucher n’importe qui, comme l’illustrent les trois anecdotes suivantes.

Quand Peter Weinberg, le cycliste du Maryland a commencé à recevoir des insultes et des menaces de la part d’inconnus, il a su que l’application qu’il utilisait pour son entraînement publiait son parcours cyclable et qu’une personne avait utilisé cette information pour en déduire que Weinberg était récemment passé non loin de l’endroit où quelqu’un avait agressé un enfant. La foule l’a rapidement – et à tort – identifié comme suspect et a trouvé et révélé son adresse. Les tweets corrigeant cette erreur et clarifiant quelques faits ont été bien moins répandus que l’information d’origine.

À l’autre bout du monde, un défenseur des droits des animaux de Singapour a publié le nom et l’adresse d’une personne qui a percuté un chien avec sa voiture, dans le but de lui faire vivre un enfer. Selon la propriétaire de la voiture, cette accusation publique a eu des conséquences sur sa carrière : une fois que les « justiciers » ont découvert où elle travaillait, des publications incitant à la haine se retrouvèrent sur la page Facebook de l’entreprise. Il se trouve qu’une autre personne conduisait la voiture lorsque l’accident s’est produit.

Une histoire plus connue raconte que l’ancien joueur professionnel de baseball Curt Schilling, aurait vu des tweets inappropriés et insultants impliquant sa fille. Ce dernier aurait traqué leurs auteurs (ce qui, selon ses dires, lui aurait pris moins d’une heure), a consolidé un gros dossier sur chacun d’entre eux et a publié certaines informations sur son blog. Les coupables liés à la communauté du baseball ont été virés ou renvoyés de leurs équipes le jour même.

Que s’est-il passé ?

Ces trois histoires sont des exemples pertinents de ce qu’est le doxing. Il s’agit de la collecte et de la publication sur Internet des données d’identification d’une personne sans son consentement. En plus d’être déplaisant, cela peut également nuire à la réputation des victimes, avoir des conséquences fâcheuses dans la vie de tous les jours et au travail, et même porter atteinte physiquement.

Les intentions des doxeurs peuvent être multiples. Certains pensent dénoncer les criminels, d’autres essaient d’intimider leur adversaire en ligne tandis que d’autres veulent régler des problèmes personnels. Le doxing a pris de l’ampleur dans les années 1990, mais est bien plus dangereux aujourd’hui. Avec la quantité de données personnelles maintenant accessibles à tous, le doxing ne requiert aucune compétence particulière ni aucun privilège.

Nous ne sommes pas ici pour analyser la légalité et l’éthique du doxing. En tant qu’experts en sécurité, notre travail est d’exposer les méthodes utilisées et de partager des conseils sur comment vous en protéger.

Le doxing vu de l’intérieur

Comme le doxing ne requiert aucune connaissance spéciale ni un grand nombre de ressources, ce dernier s’est répandu. Les outils utilisés par les doxeurs sont aussi la plupart du temps légaux et publics.

Moteurs de recherche

Les moteurs de recherche ordinaires peuvent fournir de nombreuses informations personnelles et grâce aux fonctions de recherche avancée (par exemple faire des recherches sur un site Web en particulier ou un type de fichier) permettent aux doxeurs de trouver l’information qu’ils cherchent plus rapidement.

En plus du prénom et du nom de famille, le pseudonyme peut également trahir les habitudes en ligne d’une personne. Par exemple, le fait d’utiliser le même pseudo sur plusieurs sites Internet, ce qu’on a tous tendance à faire, facilite les recherches pour les détectives en ligne qui peuvent l’utiliser pour poster des commentaires et faire des publications à partir de n’importe quelle ressource disponible au public.

Réseaux sociaux

Les réseaux sociaux, y compris ceux qui sont spécialisés comme LinkedIn, contiennent un grand nombre de données personnelles.

Un profil en mode public possédant de vraies données représente un dossier déjà tout prêt. Même si un profil est en privé et accessible seulement aux amis, un enquêteur dévoué peut collecter quelques petites informations en analysant les commentaires de la victime, sa communauté, les publications de ses amis et bien plus encore. Envoyez une demande d’ajout en ami, par exemple en vous faisant passer pour un recruteur, et vous atteignez le niveau au-dessus, qui est l’ingénierie sociale.

Ingénierie sociale

Dans presque toutes les attaques, l’ingénierie sociale tire profit de la nature humaine pour aider les cybercriminels à obtenir les informations et à entrer dans un système. En utilisant des informations accessibles au public (profession, informations à propos de la famille ou des amis, pratiques religieuses ou routines sportives), un escroc peut par la suite utiliser des méthodes d’ingénierie sociale afin d’inciter la victime à lui fournir ses propres données personnelles ou des identifiants d’accès. À titre d’exemple, un escroc peut se faire passer pour un administrateur médical, ou un représentant d’une banque, afin d’extorquer des informations à la victime ; un stratagème qui fonctionne bien mieux avec des informations un tant soit peu véridiques.

Sources officielles

Les personnalités publiques ont tendance à avoir plus de mal à préserver leur anonymat social, mais cela ne signifie pas que les rockstars et les athlètes professionnels sont les seuls à devoir protéger leurs données personnelles.

Un doxeur peut même utiliser un employeur pour trahir la confiance d’une victime potentielle en utilisant, par exemple, son nom complet et sa photo disponible sur la page À propos de nous des entreprises, ou bien avec les coordonnées complètes présentes sur un site ministériel. Cela semble anodin, mais les informations générales sur l’entreprise vous rapprochent géographiquement de la personne, et la photo peut vous mener jusqu’à leurs réseaux sociaux.

Les activités commerciales laissent également des traces sur Internet. Par exemple, un certain nombre d’informations concernant les fondateurs de l’entreprise sont disponibles aux yeux de tous dans de nombreux pays.

Marché noir

D’autres méthodes, plus sophistiquées, comprennent l’utilisation de sources non disponibles au public, comme par exemple les bases de données des entités gouvernementales et des entreprises.

Selon nos études, toutes sortes de données personnelles sont en vente sur le darknet, de scans de passeport (6 dollars ou plus) aux applications de services bancaires (50 dollars ou plus).

Collecteurs de données professionnelles

Les doxeurs confient une partie de leur travail aux courtiers en données (data brokers en anglais), des entreprises qui vendent les données personnelles provenant de sources diverses. Le courtage de données n’est pas une entreprise criminelle sur mesure : les banques utilisent les données venant des courtiers, de même que les agences publicitaires et de recrutement. Cependant, seuls certains courtiers en données se préoccupent de qui achète les informations, hélas.

Que faire si vos données ont fuité

Lors d’une interview avec Wired, Eva Galperin, la directrice en cybersécurité d’Electronic Frontier Foundation, a suggéré que si vous apprenez que vos données personnelles ont été détournées, vous devez contacter les réseaux sociaux sur lesquels vos données ont été publiées. Commencez par le service client ou le support technique. La divulgation de renseignements personnels sans le consentement du propriétaire représente normalement une violation du contrat d’utilisation. Bien que tirer la sonnette d’alarme ne résoudra pas entièrement le problème, cela devrait contribuer à réduire les dégâts.

Après une attaque, Galperin vous conseille également de bloquer vos comptes sur les réseaux sociaux ou de trouver une personne qui puisse s’en occuper pendant un certain temps. Tout comme n’importe quelle mesure disponible après une infraction, cela ne réparera pas les dégâts, mais pourra vous aider à calmer vos nerfs ainsi qu’à éviter certaines situations difficiles en ligne.

Vous protéger du doxing

Il est sans doute préférable de réduire la probabilité d’être victime d’une fuite de données que de faire face à ses conséquences. L’immunité n’est pas facile à atteindre, toutefois. Par exemple, vous aurez du mal à avoir un impact sur le transfert et les fuites de données provenant de bases de données gouvernementales ou des réseaux sociaux. Vous pouvez, cependant, rendre la tâche plus difficile aux doxeurs.

Ne partagez aucun secret sur Internet

Évitez le plus possible de partager vos données personnelles sur Internet, en particulier votre adresse, votre numéro de téléphone et vos photos. Assurez-vous que chaque photo que vous publiez ne contienne pas de géotags et les documents aucune information personnelle.

Vérifiez les paramètres de votre compte sur les réseaux sociaux

Nous vous conseillons de choisir des paramètres de confidentialité stricts sur les réseaux sociaux et les services que vous utilisez, de configurer votre profil pour qu’il ne soit visible que par vos amis et de jeter régulièrement un coup d’œil à votre liste d’amis. Vous pouvez suivre nos instructions étape par étape sur notre site Privacy Checker afin de configurer les réseaux sociaux et d’autres services.

Protégez votre compte contre les hackers

Utiliser un mot de passe différent pour chaque compte peut être une corvée (même si ça n’a pas à l’être), mais c’est une garantie importante. Si vous utilisez le même mot de passe sur tous vos comptes, et que l’un des services que vous utilisez les diffuse, même les paramètres de confidentialité les plus stricts ne vous aideront pas.

Nous vous conseillons d’utiliser un gestionnaire de mot de passe. Notre solution Kaspersky Password Manager, ne sauvegarde pas uniquement les mots de passe, mais aussi les sites Web et les services auxquels elle a accès, ne laissant qu’un mot de passe principal dont vous devez vous souvenir. Nous vous recommandons également d’utiliser une authentification à deux facteurs à chaque fois que vous le pouvez afin de renforcer davantage votre défense.

Se la jouer fine avec les comptes tiers

Évitez le plus possible de vous inscrire sur les sites Web via vos réseaux sociaux ou autres comptes qui contiennent vos vraies informations. Le fait d’associer un compte avec un autre rend votre activité en ligne plus facile à traquer, par exemple en associant vos commentaires avec votre vrai nom.

Pour résoudre ce problème, ayez au moins deux comptes de messagerie électronique, dont un réservé pour vos comptes possédant vos vrais noms et l’autre pour les sites ou les comptes où vous préférez rester anonyme. Utilisez également un pseudonyme différent pour chacun d’entre eux afin de rendre la collecte d’informations sur votre présence en ligne plus difficile.

Essayez de constituer un dossier sur vous-même

Un des moyens pour en savoir plus sur votre niveau de confidentialité c’est de se mettre à la place d’un doxeur et de rechercher les informations sur vous disponibles sur Internet. Vous pourrez ainsi trouver n’importe quelle anomalie sur vos comptes et savoir quelles données personnelles vous concernant sont présentes sur Internet. Ce que vous trouverez vous aidera à remonter jusqu’à la source de ces dernières et peut-être même à apprendre à les supprimer. Afin de garder un œil ouvert, vous pouvez configurer Google pour qu’il vous notifie à chaque nouveau résultat de recherche des requêtes contenant votre nom.

Supprimer les informations vous concernant

Vous pouvez signaler n’importe quel contenu en violation de votre vie privée et demander aux moteurs de recherche et aux réseaux sociaux de supprimer vos données (voici comment faire pour Google, Facebook et Twitter).

Les services comme les réseaux sociaux ou autres interdisent généralement la publication non autorisée de données personnelles dans leur politique d’utilisation, mais en réalité, seules les autorités répressives peuvent avoir un impact sur certaines ressources douteuses.

Les courtiers en données juridiques autorisent généralement les personnes à effacer leurs données personnelles, mais vu le nombre d’entreprises, tout supprimer ne sera pas facile. Cependant, en parallèle, il existe des agences et des services qui peuvent vous aider à effacer toute trace numérique. Vous devrez faire un compromis entre la facilité, la rigueur et le prix.

Conseils pratiques

N’importe qui peut être touché par le doxing, n’importe quand, avec ou sans raison apparente. Ces conseils vous aideront à préserver votre vie privée sur Internet :

  • Ne mettez pas sur Internet vos données personnes telles que votre vrai nom, votre adresse, votre lieu de travail, etc. ;
  • Ne laissez pas vos comptes sur les réseaux sociaux accessibles à des inconnus et utilisez un mot de passe unique et une authentification à deux facteurs. Pour gérer vos mots de passe, installez Kaspersky Password Manager ;
  • Évitez d’utiliser un compte pour vous identifier sur un autre, en particulier si l’un de ces comptes contient vos vraies données ;
  • Soyez proactif : essayez de constituer un dossier sur vous-même et demandez aux services qui en savent un peu trop sur vous de supprimer ces informations ;
  • Envisagez de supprimer tous vos comptes. C’est une méthode radicale (sinon défaitiste) pour contrer le doxing, et nous pouvons vous aider à le faire comme il faut tout en préservant les données importantes.

Le doxing ne représente qu’une seule incursion de données omniprésentes en ligne et dans la vie réelle, mais elle est plutôt importante, et a la capacité de ruiner des vies. Nous publions régulièrement des articles et partageons des informations pratiques sur le doxing et comment s’en protéger.

Conseils