J’ai toujours pensé que je serai victime de doxing par des petits merdeux, mais c’était sans compter sur l’efficacité 100 fois supérieure des journalistes
C’est par cette phrase que l’informaticien qui a réussi à stopper la cyberattaque géante du mois dernier (WannaCry) a fait savoir son écœurement après que des journalistes britanniques aient déniché suffisamment d’informations en ligne pour identifier et révéler qui il était, alors qu’il ne voulait pas sortir de l’anonymat.
En très peu de temps, il a assisté à l’étalage de toute sa vie dans les tabloïds, à la mise en pâture des informations sur ses amis et sa famille. Peu importe que le seul sujet qui vaille soit la manière dont il a pu freiner une énorme cyberattaque dévastatrice grâce à son expertise.
Bienvenue dans les travers d’une pratique née au Etats Unis et qui devrait prendre encore plus d’ampleur dans les années à venir, y compris en France : le Doxing.
Qu’est-ce que le Doxxing ?
Le Doxing (ou Doxxing ) consiste à identifier et publier des informations privées ou difficiles à obtenir sur un individu, avec l’intention de lui nuire.
Ce terme a fait son apparition dans l’Oxford English Dictionary en 2014. À l’origine, le mot DOX était utilisé par les informaticiens comme une abréviation de « docs » (pour « documents »). Le terme Doxing découle de l’argot «dopping dox», lié selon l’écrivaine Wired Mat Honan à une « une tactique de revanche des pirates dans les années 1990 » . En 2000, sa signification s’est élargie à la révélation de l’identité d’un internaute, pour finalement en 2008 prendre la définition répandue actuellement à savoir une méthode de harcèlement par la publication d’informations privées en ligne sur un individu.
Quel public est visé ?
Aucun utilisateur du net n’est à l’abri du doxing. Qu’on soit particulier anonyme, people, personnalités publiques ou dirigeants d’entreprise, toute profusion d’informations sur le net peut à tout moment mener quelqu’un à lever le voile sur votre identité en révélant des noms complets, des adresses professionnelles ou privées, des numéros de téléphone, des photos, des noms d’utilisateur … tout ce qu’on pensait avoir mis dans une « case privée ».
Dans quel contexte et comment ça se développe ?
L’un des avantages que nous croyons avoir sur internet est de pouvoir agir en tout anonymat en postant des commentaires, en alimentant du contenu ou en faisant de la veille sur des thématiques qui nous intéressent. Le doxing nous met clairement en face de ce leurre. Pour quiconque s’y connaissant un peu en informatique, il peut être assez facile de tracer un individu en ligne et de révéler son identité. Il suffit d’avoir le temps, l’accès à internet et être capable de croiser et analyser plusieurs informations. Car finalement sur le net, nous laissons constamment de précieux indices sur nous qu’on peut retrouver via:
- Une recherche de localisation du nom de domaine d’un site ou blog.
- Les informations laissées par les utilisateurs qui alimentent régulièrement les réseaux sociaux sur leurs hobbies, parcours, déplacement, achat…
- Le fait d’avoir le même pseudonyme sur plusieurs plateformes différentes.
- Toutes les données officielles qui peuvent être collectées et qui sont disponibles par recherche simple dans Google (ex : diplômes, courses genre marathon, pétitions en ligne..).
- Des collectes d’info sur les annuaires inversés en ligne . Il existe de nombreux services en ligne qui fournissent l’accès aux informations personnelles d’une personne donnée en fonction de son téléphone, son nom et son adresse électronique.
3 exemples de Doxing.
Parmi ceux qui ont eu un écho médiatique ces dernières années, on peut citer :
1 – En décembre 2015, la conseillère de la ville de Minneapolis, Alondra Cano qui a utilisé son compte Twitter pour publier des numéros de téléphones portables privés et des mails de critiques qui ont écrit sur son implication dans un rassemblement Black Lives Matter . [1]
2 – En 2016, l’annonceur Fox Business Lou Dobbs qui a révélé l’adresse et le numéro de téléphone de Jessica Leeds, une des femmes ayant accusé Donald Trump d’avances sexuelles inappropriées. [2]
3 – En 2015, le site de rencontres adultérines Ashley Madison qui a connu un scandale. Un groupe de pirates informatiques « The Impact Team » a publié des données sensibles (pour dénoncer les failles de sécurité dues notamment à la conservation des données des clients) sur les utilisateurs, ce qui causa pour des millions de personnes un vrai embarras et une atteinte à leur réputation personnelle et professionnelle.
Qui a recours au doxing ?
A travers ces exemples on se rend aussi compte que derrière cette pratique, il n’y a pas seulement la motivation de nuire. On rencontre aussi des justiciers. C’est le cas de ceux qui divulguent l’identité des racistes ou des « trollers » afin de les pousser à arrêter leurs activités nocives en ligne.
Cela part d’une démarche très louable de « robin des bois moraux », mais la frontière avec la loi quand on commence à s’attaquer aux adresses IP de personnes tierces est très faible. Et ce n’est pas parce qu’on veut faire du bien qu’on a le droit d’enfreindre a loi. Il vaut mieux passer par les outils légaux qui sont à disposition pour combattre ce phénomène.
Quel recours et comment lutter contre?
En France, il existe un site mis en place par le Ministère de l’Intérieur pour signaler toute dérive dont on serait victime sur internet.
Mais pour se prémunir au maximum du doxing, mieux vaut commencer soi-même par faire attention à ce qu’on poste sur la toile ou ce que d’autres mettent sur nous. Idéalement, il faut laisser le moins de traces possible sur son parcours et se doter des meilleures protections anti firewall. Parallèlement, quelques mesures basiques peuvent permettre de limiter les risques.
1- S’assurer que les photos personnelles envoyées sur des albums numériques comme « Picasa » soient bien paramétrées et réservées à un usage privé.
2- Il en est de même pour tous les profils qu’on cherchera à créer sur les réseaux sociaux. On peut en maximiser les paramètres de confidentialité et restreindre leur exploitation à une sphère privée non détectable par les moteurs de recherche.
3- Il vaut mieux utiliser des adresses de messagerie différentes selon les comptes qu’on possède et des identifiants distincts selon le type d’activité à laquelle l’on souscrit (ex : jeu, la participation au forum, les comptes bancaires, etc.).
Ces quelques mesures sont à la portée de tous et peuvent être prises afin de se protéger, même si comme on le sait, il pourra toujours y avoir quelqu’un capable de les anéantir.
Perspectives d’avenir.
Et ce ne sont pas les développements des nouvelles technologies comme la reconnaissance faciale, l’identification via les tatouages (qui par ailleurs fournissent bien plus d’infos sur les caractéristiques d’un individu) , l’essor des objets connectés ou encore la biométrie qui vont réduire les recours du doxing. Un site comme FindFace permet à quiconque de prendre pratiquement n’importe quelle photo d’une personne et de l’associer à ses profils sur le réseau social russe, VKontake. Cette appli est un exemple des techniques servies sur un plateau en or pouvant favoriser la pratique du doxing.
Si avec des algorithmes on arrive à reconnaître des visages avec une fiabilité proche des 100%, (en croisant les données) on devine la menace pour bien des secteurs d’activité comme les nombreux sites de rencontre ou érotiques, des gens travaillant pour la sécurité ….et qui n’ont absolument aucune envie d’être identifiés.
Mais on peut aussi rester positif en se disant que la technologie émergente sera mise au service de la défense de nos droits et aidera à réduire les velléités de doxing « négatif ». Car le doxing peut aussi permettre d’aider la justice à traquer des actions illégales qui se déroulent sur le web, à révéler des choses dans le cadre des différents dispositifs de sécurité.
Vilédé GNANVO
Sources :
Doxing the hero who stopped WannaCry was irresponsible and dumb by MATTHEW HUGHES
http://grammarist.com/new-words/doxing-and-doxxing/
Mise à nu publique : comment se protéger de la révélation brutale de vos données personnelles en ligne ? Par Stéphane Larcher
[1] [2] https://en.wikipedia.org/wiki/Doxing
Doxing: What It Is and How to Fight It By Wendy Boswell
Avec le hacker qui divulgue l’identité des racistes d’Internet. Par DEVIN PACHOLIK
Le doxxing : une nouvelle forme de violence sur internet
https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action
What is Doxing and How it is Done? By Srikanth Ramesh
The Future of Doxing in a World of Facial Recognition By Charles Costa