Le doxxing est une forme de cyberharcèlement qui utilise des informations, des déclarations, des enregistrements sensibles voire secrets des cibles. Cette technique vise principalement à exposer les victimes à des fins d’intimidation ou d’extorsion financière.
Qu’est-ce que le Doxxing ?
Le mot « doxxing » (également orthographié « doxing ») est dérivé du terme « dropping dox » qui signifie « documents ». Doxxing désigne à la fois la collecte d’informations personnelles sur des individus et leur diffusion sur Internet.
À la base, le doxxing était utilisé par les pirates entre eux, pour faire tomber la concurrence ou se venger. Mais depuis quelques années, il a largement pris des proportions plus grandes. Le doxxing touche désormais les particuliers, autant que les entreprises et les organisations.
Pour une définition plus large, cela signifie rechercher, collecter et partager publiquement des informations personnelles qui peuvent révéler l’identité de la victime. Les conséquences du doxxing vont d’un extrême à l’autre, allant d’un simple gêne au bouleversement total de la vie de la victime.
Pratique du doxxing : dans quel but ?
Certains pratiquent le doxxing juste pour s’amuser. Mais d’autres se fixent réellement pour objectif de ruiner la réputation ou la vie de quelqu’un, d’une entreprise, d’une organisation. Voici une liste non exhaustive des raisons récurrentes poussant un auteur à pratiquer cette cyberintimidation :
- humilier la victime
- assouvir une vengeance personnelle
- intimider la cible
- manifester de la colère ou un désaccord avec une communauté, une cause, …
- exposer la cible à des poursuites judiciaires
Le doxxing n’implique pas forcément un piratage. Pour une attaque dirigée vers un particulier par exemple, l’auteur récoltera tout simplement toutes les informations disponibles sur Internet concernant sa victime (photos, adresses, rapport de crédit, numéro téléphone, …).
Un outil très apprécié des hacktivistes
Les hacktivistes désignent les hackers qui pratiquent le piratage dans le cadre d’une campagne activiste. Hacktiviste est un mot valise combinant hacker et activiste. Depuis quelques années, ces groupes utilisent beaucoup le doxxing pour plaider leur cause.
Ces personnes qui se présentent comme des cyber-guérilleros. Elles mènent des attaques contre des organisations ou des particuliers qui, selon eux, méritent d’être punies. Anonymous par exemple, ont multiplié les attaques en doxxing à partir de 2003.
Les membres des groupes hacktivistes peuvent également mener des campagnes contre des entreprises commerciales qu’ils jugent malhonnêtes en rendant publiques des informations financières (ou autres) par exemple. Les hacktivistes utilisent généralement des techniques de piratage traditionnelles pour obtenir des documents d’entreprise sensibles.
Le doxxing et les ransomwares
Avec une attaque de ransomware, les pirates cryptent l’ensemble du système informatique de la victime. Les hackers demandent ensuite une rançon (en crypto monnaie) en échange des clés de décryptage.
Certaines entreprises ne paient pas la rançon. Elles effacent leurs systèmes et restaurent leurs données à partir des sauvegardes. Celles qui refusent de payer sont parfois victimes de chantage.
Pour les obliger à payer, les acteurs malveillants utilisent le doxxing. Ils menacent de publier des documents d’entreprise sensibles et confidentiels. Ces attaques combinant le ransomware et le doxxing sont de plus en plus fréquentes.
Impacts potentiels du doxxing
Dire que le doxxing peut ruiner la vie d’une personne n’est pas exagéré. Les attaques au Doxxing ont amené les victimes à subir une humiliation publique. Celles-ci ont été source de perte d’emploi, de divorce, de faillite, etc.
Certaines personnes ont été amenées à se cacher suite à de telles attaques. Et il y a pire. Parfois, les attaquants se trompent de victime à cause d’une mauvaise identification.
Quelques cas qui ont fait la Une des journaux
Aux États-Unis par exemple, un professeur de l’Université de l’Arkansas a été nommé à tort comme participant à un rassemblement pour la suprématie blanche à Charlottesville, au Texas.
Il s’agit du professeur Kyle Quinn qui avait une vague ressemblance avec un des participants au rassemblement. Ce dernier portait un t-shirt t-shirt Arkansas Engineering. Le professeur a été désigné comme étant l’homme sur la photo.
Suite à quoi, ses collègues, amis et famille ont été doxxés et bombardés de messages haineux. Les activistes ont par ailleurs envoyé une demande de licenciement du professeur à son université.
Heureusement, le professeur Quinn a pu rapidement et facilement prouver qu’il n’était pas l’homme sur la photo. Il se trouvait en effet à 1 000 kilomètres des lieux du rassemblement au moment de la manifestation. Mais ce n’est pas le cas de tout le monde.
Toujours aux États-Unis, à Bethesda, dans le Maryland, Peter Weinburg a été identifié à tort par la police comme étant un cycliste ayant blessé un enfant. L’homme a très vite été victime d’un doxxing.
Les réactions de la population ont été particulièrement virulentes. La police a dû dépêcher une patrouille à son domicile pour assurer sa sécurité. Il est clair que les conséquences du doxxing dans la vie des victimes sont bien réelles, et parfois dangereuses.
Comment les doxxers obtiennent les informations personnelles des victimes ?
Les auteurs de doxxing utilisent plusieurs techniques de renseignement pour obtenir les informations personnelles. Ils utilisent principalement les méthodes suivantes.
L’Open Source Intelligence
L’Open Source Intelligence désigne toute information obtenue grâce au traitement et à l’analyse de sources de données publiques. La télévision, la radio, les médias sociaux et les sites Web figurent parmi ces sources. Ces dernières fournissent des données aux formats texte, vidéo, image et audio.
Les courtiers en données
Les courtiers en données ou courtiers en informations sont des sociétés qui agrègent des données avant de les revendre. Ils peuvent collecter eux-mêmes les données ou en achètent auprès d’entreprises tierces.
Les courtiers en données traitent le plus souvent avec des annonceurs ou des entreprises souhaitant mettre en place une campagne de publicité ciblée. Mais les doxxers font aussi partie de leur clientèle.
Les enregistrements Whois
Whois est une base de données contenant des informations de contact et d’enregistrement pour les noms de domaine. C’est un outil utile pour vérifier la disponibilité de tout nom de domaine. Cependant, certaines personnes l’utilisent parfois à des fins malveillantes.
Certains bureaux d’enregistrement proposent de masquer ou de restreindre les données Whois moyennant des frais. Mais ce service n’est pas systématiquement disponible. Les doxxers recherchent parfois des entrées dans la base de données Whois.
Les médias sociaux
Certains utilisateurs publient énormément d’informations sur les réseaux sociaux. Famille, localisation, adresse, nom et prénom, numéro de téléphone, contacts, lieu de travail, poste, centres d’intérêt sont autant d’informations disponibles.
Les doxxers peuvent utiliser ces informations pour identifier et initier une attaque de doxxing contre une cible. Les photos et les vidéos publiées sont autant de données exploitables. Et chacun de ces fichiers contient encore des métadonnées (date et heure de publication, lieu où l’image a été prise, …) qui peuvent aussi être exploitées.
Les violations de données
Les données divulguées suite à une violation recèlent de nombreuses informations : nom, mot de passe, numéro de sécurité sociale, adresse postale, coordonnées bancaires, détails de carte de crédit, adresses email, numéros de téléphone, … Ces informations sont le plus souvent disponibles sur le Dark Web.
Sur le dark Web, les doxxer proposent également un services baptisé Doxxing-as-a-Service. Les fournisseurs mènent une attaque doxxing contre la victime moyennant des frais.
Ingénierie sociale
L’ingénierie sociale est l’art d’exploiter la psychologie humaine, plutôt que les techniques de piratage traditionnelles, pour accéder aux données (ou autre chose). Au lieu d’essayer de trouver une vulnérabilité logicielle par exemple, un ingénieur social peut appeler un employé et se faire passer pour une personne de l’assistance informatique.
Pour le fraudeur, l’idée est de renforcer la confiance et la familiarité avec leur victime pour pouvoir extorquer discrètement des informations à leur insu. Pour certains criminels, il est généralement plus facile d’exploiter le penchant naturel des personnes à faire confiance que de découvrir des moyens de pirater un logiciel.
Comment se protéger du doxxing ?
Il faut toujours garder en tête que les acteurs malveillants peuvent récolter toute information publiée sur Internet. Il est donc particulièrement important d’agir avec la plus grande prudence sur le Web. Pour éviter que les informations personnelles ne puissent être récupérées, voici quelques bonnes pratiques.
Éviter de divulguer sa véritable identité
Sur les réseaux sociaux, les forums ou toute autre plateforme en ligne, il est préférable d’utiliser un pseudonyme. C’est l’un des meilleurs moyens pour éviter de se faire identifier et faire l’objet d’une attaque au doxxing.
Utiliser un VPN
Un VPN garantit l’anonymat lors de la navigation sur Internet. Avec cet outil, l’adresse IP de l’internaute n’est exposée à aucun des sites ni plateformes auxquels il se connecte.
Le VPN crypte également le trafic. Cela rendra l’utilisation du Wi-Fi public beaucoup plus sécurisée.
Prudence avec les réseaux sociaux
Presque tous les éléments publiés sur les réseaux sociaux peuvent constituer un indice sur la véritable identité de l’utilisateur. La photo de la façade d’une maison par exemple, permet aux doxxers de confirmer une adresse postale.
Les experts conseillent d’utiliser les contrôles de confidentialité sur les plateformes de médias sociaux. Ceci afin de restreindre autant que possible l’accès à aux publications. Il est tout aussi prudent de refuser les demandes de contact des inconnus.
Demander la suppression des données
Tout le monde peut demander aux courtiers en données de supprimer des informations personnelles de leurs bases de données. Il est tout aussi possible de demander à Google, Bing, Yahoo et d’autres moteurs de recherche à être supprimé des résultats de recherche.
Mais cette règle n’est pas toujours respectée, surtout si les informations servent un intérêt légitime pour le public. Les citoyens de l’UE eux, peuvent demander la suppression des données à toute organisation qui détiendrait des informations personnelles potentiellement identifiables.
Le Règlement Général sur la Protection des Données donne à tout utilisateur du Web le droit de voir quelles données une entreprise détient sur lui. S’il le souhaite, ce dernier peut en demander la suppression.
Et cela ne concerne pas que les organisations européennes. Le RGPD couvre toute organisation qui traite, stocke ou transmet des données de citoyens européens. Et ce, quelle que soit sa situation géographique.
Mais même avec le RGPD, l’internaute n’a pas carte blanche en ce qui concerne la suppression de ses données. Mais il a le droit de le demander. De son côté, une organisation doit avoir une raison impérieuse et valable de continuer à conserver les données en cas de demande de suppression.
L’internaute peut faire la tournée des sites Web pour demander la suppression de ses données. Autrement, il peut utiliser des outils comme DeleteMe ou Privacy Duck.Moyennant des frais, ces sociétés retireront les informations personnelles d’un utilisateur de toutes les sociétés de courtage de données courantes.
Celles-ci supprimeront également les données de recherche sur le Web et d’autres sociétés de commerce de données. L’objectif : réduire au maximum l’empreinte numérique de l’internaute.
Créer des adresses email jetables
Pour l’inscription sur un réseau social par exemple, il est plus prudent d’utiliser une adresse email créée spécialement à cette fin, via un fournisseur de messagerie gratuit. ProtonMail par exemple permet de créer une adresse email sans fournir une autre existante pendant le processus.
Victime de doxxing : que faire ?
Toute victime de doxxing doit :
- Signaler le support client de la plateforme sur laquelle l’information a été diffusée et en demander la suppression.
- Contacter la police en cas de menaces ou d’abus à la suite d’un doxxing.
- Enregistrer le doxxing. Prendre des captures d’écran, conserver les mails abusifs avant qu’ils ne soient supprimés. Cela fournira des preuves et des informations pour l’enquête de police.
- Avertir l’entourage : famille, employeur, collègues, amis, … Ceux-ci peuvent également faire l’objet de messages haineux et d’abus tout simplement en étant des contacts de la victime.
Pour se protéger et protéger les proches, il est essentiel de renforcer la sécurité numérique. Cela écarte ou du moins, minimise les risques d’identification et de partages de données utiles au doxxing.
Pourquoi le doxxing est-il illégal en France ?
Le doxxing est une pratique qui relève de différentes infractions légales. Notamment l’atteinte à la vie privée, la diffamation, le non-respect du secret professionnel ou encore l’atteinte aux droits de la personnalité résultant de traitements ou de fichiers informatiques.
À cet effet, les autorités ont décidé d’inscrire cette pratique dans la loi. L’article numéro 223-1-1 qui figure dans le Code pénal publié le 25 août 2022 souligne que le fait de révéler l’identité et les coordonnées des particuliers sur Internet constitue désormais une infraction pénale. Rappelons que ce décret est issu du texte législatif portant sur le respect des principes de la République, autrefois intitulé Loi contre le séparatisme. Désormais, cette pratique est passible de 3 ans d’emprisonnement et de 45 000 euros d’amende.
Les peines encourues pour le doxxing peuvent également être plus élevées en fonction de la victime. Dans le cas d’une autorité publique, d’un élu ou d’un journaliste, d’une entité chargée du service public, « les risques encourus augmentent à 5 ans d’emprisonnement et 75 000 euros d’amende ».
Cette peine plus sévère s’applique également dans le cas où le doxxing vise un sujet vulnérable, des handicapés ou atteints de troubles mentaux, des malades et des mineurs.
- Partager l'article :