Qu’est-ce que le doxing ? Est-ce légal et comment l’éviter ?

Woman looking at her data being spread online
Cliquez ici pour un résumé de cet article
Qu’est-ce que le doxing ? Guide rapide.

Le doxing consiste pour un pirate ou un internaute malintentionné à trouver les données personnelles d’un individu ou d’un groupe et à les publier en ligne sans consentement. Tout le monde peut en être la cible, des célébrités, des personnalités politiques, des chefs d’entreprise et des influenceurs ont été victimes de cette pratique au cours des dernières années.

À l’aide de nombreux moyens légaux, les personnes malintentionnées peuvent obtenir des données personnelles, notamment :

  • Numéros de téléphone, adresses électroniques et autres coordonnées
  • Adresses professionnelles et personnelles
  • Identité des membres de la famille
  • Historiques de recherche en ligne
  • Comptes de réseaux sociaux
  • Photos personnelles
  • Publications et statuts
  • Autres renseignements personnels

La première étape pour vous protéger contre une telle divulgation de données personnelles est d’utiliser un VPN. Un réseau privé virtuel (VPN) empêche les personnes malintentionnées d’identifier votre adresse IP, qui peut leur permettre de trouver votre adresse postale, votre fournisseur d’accès à internet (FAI) et d’autres détails privés. Étonnamment, cette pratique est légale !

Vous souhaitez en apprendre davantage sur le sujet et les moyens de vous en protéger ? Consultez notre article complet ci-dessous.

Le doxing, ou divulgation de données personnelles en français, est une pratique consistant, pour un pirate ou un internaute lambda, à rechercher des informations sur un individu ou un groupe et à les publier en ligne sans le consentement de ou des victimes. Ces dernières années, des célébrités, des personnalités politiques et des influenceurs en ont fait les frais, n’importe qui peut devenir la cible des intentions malveillantes d’autrui.

Selon les finalités du malfaiteur, il peut chercher un vaste éventail de données personnelles, une adresse postale, des coordonnées ou des informations bancaires, afin de les exhumer et de les diffuser largement sur internet.

Mais qu’est-ce exactement que le doxing ? Dans cet article, nous évoquerons ce qu’est le doxing, comment cette pratique fonctionne, comment vous protéger et pourquoi il est difficile d’affirmer que cette pratique est illégale ou non.

Comment fonctionne le doxing ?

Le doxing (parfois orthographié « doxxing ») est une pratique utilisée à des fins malveillantes par laquelle des pirates ou d’autres internautes cherchent à divulguer l’identité de quelqu’un souhaitant préserver son anonymat ou à humilier ou harceler une personne désirant rester dans l’ombre.

Avec toutes les données personnelles que nous disséminons en ligne, les internautes malveillants peuvent accéder à de nombreuses informations privées à l’aide de moyens entièrement légaux.

Si vous avez déjà chargé votre CV sur un site public pendant une recherche d’emploi, par exemple, votre adresse électronique, votre adresse postale et votre numéro de téléphone peuvent être accessibles à toutes les personnes intéressées.

De même, si vous avez déjà acquis ou enregistré un nom de domaine et un site internet, vous avez sans doute fourni un ensemble de données personnelles susceptibles d’être trouvées à l’aide d’une recherche rapide et gratuite.

Les méthodes utilisées pour la divulgation de données personnelles (doxing)

Infographic listing all the common methods used in Doxing

Les pirates et internautes malintentionnés disposent de tout un éventail de méthodes pour obtenir vos informations personnelles et découvrir votre identité en ligne. Pour les personnes déterminées et douées en informatique, la recherche de données en ligne peut être une tâche assez aisée.

Voici certaines des méthodes les plus courantes et efficaces :

Cybertraque sur les réseaux sociaux

Quand ils sont configurés comme publics, vos comptes sur les réseaux sociaux sont largement accessibles à toute personne souhaitant y jeter un œil. Un tiers curieux peut accéder à toutes les données personnelles ou privées qu’un individu pense ne partager qu’avec sa famille et ses amis.

Les réponses aux questions de sécurité sont souvent liées à des relations personnelles, des frères et sœurs, des animaux domestiques ou des établissements scolaires que vous avez pu fréquenter. Si ces informations sont disponibles en ligne, un utilisateur épiant vos réseaux sociaux est susceptible de rapidement les trouver.

Recherche WHOIS sur des noms de domaine

Lorsque des chefs d’entreprise enregistrent un nom de domaine pour leur site internet, ils peuvent fournir, ou non, des informations sensibles, comme des numéros de téléphone, des adresses professionnelles ou personnelles, et des adresses électroniques. Une recherche rapide suffit pour trouver ces informations, sans aucune compétence technique.

Suivi des noms d’utilisateur

Les internautes malveillants peuvent suivre les noms d’utilisateur sur plusieurs applications et sites internet et générer un profil sur la base de leur comportement. C’est particulièrement efficace sur des sites comme Reddit et Twitter, sur lesquels les utilisateurs visés pensent être anonymes, mais sont assez aisément repérés. Toutes les données sont rassemblées et utilisées contre la cible.

Utilisation des archives gouvernementales pour dérober des données personnelles

Les services d’état civil, les organismes délivrant des licences commerciales, les archives départementales, les services de la préfecture, et d’autres sites internet gouvernementaux publient des documents. Tandis que les employeurs peuvent les utiliser pour vérifier, entre autres, les antécédents judiciaires, tout le monde peut accéder à ces informations personnelles.

Tentatives d’hameçonnage pour voler des données personnelles

L’hameçonnage appartient depuis longtemps à l’arsenal des pirates et des cybercriminels pour subtiliser les données confidentielles de leurs victimes. S’ils cherchent des informations précises, ils peuvent essayer d’inciter leur cible à leur transmettre. Ils peuvent se faire passer pour un établissement financier et demander des informations spécifiques. Ou tenter de pousser une victime à cliquer sur un lien malveillant qui leur permettra d’accéder à l’appareil et à fouiller les sites consultés et applications installées.

Suivi d’adresse IP

Une fois qu’un pirate a identifié votre adresse IP, il connaît également votre localisation géographique. Cela peut rendre votre réseau WiFi et votre FAI vulnérables aux piratages et aux cyberattaques.

Une fois votre adresse physique connue, le malfaiteur peut aussi la croiser avec d’autres renseignements vous concernant afin d’exhumer toutes sortes d’informations. Il convient également de se souvenir que les sociétés de cartes de crédit utilisent souvent les adresses et les codes postaux pour confirmer l’utilisation d’une carte.

Services d’annuaire téléphonique inversé

Si votre numéro de téléphonie mobile est disponible en ligne, il sera assez facile de vous cibler à l’aide de SMS ou de techniques d’hameçonnage vocal. Une fois que des cybercriminels disposent d’un numéro, ils peuvent utiliser des annuaires téléphoniques inversés pour en apprendre davantage sur son propriétaire.

Ce numéro peut également être à l’origine d’une réaction en chaîne en révélant davantage d’informations précieuses susceptibles d’être divulguées au cours d’un doxing.

Reniflage de paquets

Les renifleurs de paquets sont des éléments matériels ou des logiciels qui analysent et suivent le trafic réseau.

Les individus malintentionnés peuvent les utiliser pour filtrer les informations provenant d’une source spécifique. Une fois les protocoles de sécurité du réseau contournés, ils peuvent récupérer des données, comme les mots de passe, les identifiants de compte bancaire et les numéros de carte de crédit.

Utilisation de sites de courtage de données

Une véritable industrie se consacre à rassembler des données utilisateurs et des habitudes et tendances de recherche.

Bien que la majorité des acheteurs soient des agences de publicité, n’importe qui peut accéder à ces vastes recueils de données. Si une personne malintentionnée cherche un particulier, elle peut aisément suivre un appareil à l’aide des coordonnées GPS et des adresses IP.

Quelles informations intéressent ces malfaiteurs ?

Infographic showing the different types of information doxers are after

De nombreux éléments peuvent intéresser les personnes pratiquant le doxing lorsqu’elles se penchent sur les données personnelles d’une cible à l’aide des méthodes susmentionnées. Trouver et divulguer les informations suivantes peut être bien plus simple que vous ne le soupçonnez :

  • Numéros de téléphone, adresses électroniques et autres coordonnées
  • Numéros de sécurité sociale
  • Adresses professionnelles et personnelles
  • Membres de la famille
  • Historiques de recherche en ligne
  • Fournisseur, numéros et détails des cartes de crédit
  • Informations bancaires
  • Comptes sur les réseaux sociaux
  • Photos personnelles
  • Publications et statuts
  • Autres détails personnels

La divulgation de données personnelles est-elle légale ?

En bref ? Cela dépend de la situation. Cette pratique n’est pas illégale si les données personnelles ont été rassemblées à l’aide de moyens légaux. Pour que le doxing soit considéré comme illégal, les auteurs doivent divulguer des informations à caractère privé qui n’étaient pas censées être rendues publiques. Cela peut être un numéro de carte de crédit, des informations bancaires ou un numéro de téléphone sur liste rouge.

Si cet acte aboutit à du cyberharcèlement ou à des menaces personnelles, il sera considéré comme un crime et pourra entraîner l’implication des forces de police.

La divulgation de données personnelles est traitée différemment en fonction de sa gravité. Si un pirate publie le nom d’autrui ou le numéro de téléphone de son entreprise, cela ne constituera pas un acte aussi grave aux yeux de la loi que la divulgation d’une adresse personnelle ou de comptes bancaires.

Quel que soit le traitement gouvernemental ou juridique vis-à-vis de cette pratique, de nombreux sites internet intègrent des règles sur la question dans leurs conditions générales. Ainsi, si un pirate a utilisé un réseau social donné pour divulguer des données personnelles d’une personne, son compte peut être suspendu ou supprimé, les répercussions judiciaires pourront toutefois être minimes.

Comment vous protéger contre la divulgation de données personnelles ?

Infographic showing things you can do to protect yourself from Doxing

Avec tous les moyens dont disposent les pirates et internautes ayant quelques compétences en informatique, personne ne semble à l’abri. Si vous avez déjà publié sur les réseaux sociaux, laissé des commentaires en ligne, participé à une discussion sur un forum, etc., vous pouvez devenir une cible potentielle.

Alors que les répercussions du doxing peuvent être dévastatrices, il existe certains outils qui peuvent permettre aux internautes de s’en prémunir :

1. Masquer votre adresse IP à l’aide d’un VPN

Une fois qu’un pirate a identifié votre adresse IP, il peut également déterminer votre adresse physique et le compte correspondant auprès du FAI. Cela peut lui révéler votre adresse postale et d’autres renseignements, mais également faire de votre connexion WiFi une cible pour les piratages. Vous pouvez aussi utiliser des services de proxy afin de masquer votre IP, bien qu’ils ne soient pas toujours efficaces.

Un réseau privé virtuel (VPN) masque votre véritable adresse IP et vous assigne une adresse anonyme appartenant à l’un de ses milliers de serveurs situés dans le monde entier. Les VPN chiffrent l’intégralité de vos données d’un point à l’autre d’un réseau, les pirates ne pourront donc pas les intercepter sur les réseaux WiFi non sécurisés.

Comme première ligne de défense contre les attaques visant à divulguer des données personnelles, nous pouvons vous recommander NordVPN. Il se classe constamment parmi les meilleurs durant nos évaluations et dans nos classements en matière de sécurité et de respect de la vie privée.

Découvrez NordVPN

2. Tirer parti d’une cybersécurité premium

Avec la récente vague d’attaques par rançongiciels et d’autres programmes malveillants, les utilisateurs prennent leur cybersécurité très au sérieux. Veillez à utiliser un bon logiciel antivirus capable de vous protéger des attaques de doxing qui s’appuient sur des téléchargements et programmes malveillants.

Un bon logiciel peut identifier et mettre en quarantaine les menaces les plus récentes avant même qu’elles ne puissent altérer votre système. Vous pouvez ainsi profiter d’une protection active et constamment mise à jour contre les menaces, même si vous téléchargez des fichiers malveillants ou cliquez sur un mauvais lien par erreur.

Découvrez Kaspersky Anti-Virus

3. Mots de passe robustes

Veillez à choisir des mots de passe mêlant lettres majuscules et minuscules, chiffres et symboles. Souvenez-vous d’en utiliser des différents sur tous les sites internet et autres comptes. L’une des pires erreurs que les utilisateurs puissent faire est de n’avoir qu’un seul mot de passe, si celui-ci est divulgué à la suite d’une fuite de données, des pirates sont susceptibles de l’utiliser sur tous leurs comptes.

C’est également une bonne idée d’utiliser des comptes de messagerie distincts pour différentes plateformes.

Si vous rencontrez des problèmes pour créer et vous souvenir de mots de passe complexes, il est peut-être temps de vous tourner vers un gestionnaire de mots de passe. Jetez un coup d’œil à 1Password, notre premier choix cette année.

Découvrez 1Password

4. Comptes sur les réseaux sociaux et noms d’utilisateur

Lors de la création de nouveaux noms d’utilisateur, veillez à ne pas utiliser votre prénom et votre nom suivis d’un chiffre. Si un pirate ou une personne malintentionnée parvient à se procurer votre nom, une recherche rapide sur LinkedIn ou Instagram lui permettra de trouver davantage de renseignements.

Pour les comptes liés à votre vie professionnelle, comme LinkedIn, Facebook et Twitter, il est pertinent d’utiliser votre vrai nom. Dans ces cas de figure, veillez à vérifier vos paramètres de confidentialité et à les fixer au niveau le plus élevé.

Vous souhaitez uniquement partager votre adresse, votre numéro de téléphone, vos antécédents professionnels et d’autres informations avec les personnes que vous acceptez dans votre réseau. Cela devrait également être valable pour tous vos comptes. Ne partagez jamais rien que vous ne souhaiteriez pas voir rendu public.

5. Différents noms d’utilisateurs sur différentes plateformes

Si vous utilisez le même nom d’utilisateur sur Reddit, Snapchat, Twitter et Instagram et que vous êtes actif sur toutes ces plateformes, une personne malintentionnée est susceptible de recouper vos historiques en quelques minutes.

Si vous participez à des forums en ligne et dans des sections commentaires, veillez à utiliser des noms d’utilisateur différents sur les sites sur lesquels vous êtes actif. Pour les personnes publiant des avis politiques ou émettant des opinions sur des forums de cinéphiles, ce que vous dites au sein d’un groupe pourrait être utilisé dans un autre.

Se souvenir de tous ces noms d’utilisateur et mots de passe peut représenter une vraie corvée, mais là aussi un gestionnaire de mots de passe peut s’avérer utile.

6. Ne pas répondre à des questionnaires en ligne dont les sources ne sont pas fiables

Les questionnaires de personnalité, entre autres, peuvent être amusants si vous êtes sur un site renommé, comme BuzzFeed, Psychologies.com ou Aufeminin.com, qui ne vous demandent pas de vous connecter. Mais faites preuve de prudence vis-à-vis des sites plus obscurs qui vous invitent à vous connecter via Facebook, Google, ou d’autres moyens.

Ces questionnaires contiennent souvent des questions susceptibles de révéler des réponses à des questions de sécurité, comme le nom de votre premier animal domestique, l’école primaire que vous avez fréquentée et le prénom de votre plus ancien ami.

Alors que vous pensez vous amuser, les données personnelles que vous communiquez peuvent être un véritable coffre aux trésors pour les cybercriminels.

Exemples de doxing

De nombreux cas de divulgations de données personnelles ont été très médiatisés dans le monde. Qu’il s’agisse d’attaques personnalisées ou de publications massives de données issues de fuites de sites internet, les attaques de doxing ont fait parler d’elles. En voici quelques exemples :

Manifestations de Hong Kong

Avec le soutien de la Chine continentale, Hong Kong a commencé à mettre en place un ensemble de mesures contre le doxing après des actes visant des agents de police et des policiers antiémeute. Les opposants au régime chinois publiaient des informations comme les adresses postales et l’identité des membres de la famille de ces policiers durant les manifestations antigouvernementales. Cette situation a engendré l’instauration d’une loi contre la divulgation de données personnelles controversée, de nombreux critiques estiment en effet qu’elle est attentatoire à la vie privée des citoyens. À la suite du passage de cette loi, Facebook, Twitter et Google ont même menacé de quitter l’ancienne colonie britannique.

Piratage du site Ashley Madison

En 2015, ce site, conçu pour faciliter les relations extraconjugales, a fait l’objet d’une importante fuite de données. Les pirates ont menacé de divulguer les noms d’utilisateurs, les adresses électroniques liées aux comptes et d’autres informations personnelles, dont les adresses postales et des renseignements personnels tirés des opérations par carte de crédit. En raison de la politique de confidentialité d’Ashley Madison qui prévoit de ne jamais effacer les données des utilisateurs, des millions de personnes ont été touchées lorsque la société a refusé de satisfaire les demandes des pirates.

Attentats du marathon de Boston

Dans l’affolement qui a suivi les attentats du marathon de Boston de 2013, de nombreux innocents ont été victimes de doxing par des utilisateurs de Reddit essayant de localiser les suspects. La chasse aux auteurs de ces attentats était peut-être motivée par de bonnes intentions, mais une des personnes identifiées à tort comme faisant partie des coupables s’est suicidée après la divulgation de ses données personnelles et ces terribles accusations. Reddit s’est alors excusé pour cet incident.

Que faire si vous êtes victime de doxing ?

Infographic showing some steps to take when you've been doxed

Être victime d’une divulgation de données personnelles peut être une expérience bouleversante et il est essentiel de garder la tête froide lorsque cela survient. Si vos données personnelles ont été divulguées par une personne malintentionnée, voici quelques-unes des mesures que vous pouvez prendre :

  • Rejoignez un endroit sûr : si, pour une raison quelconque, vous craignez pour votre sécurité, éloignez-vous des adresses et lieux que vous fréquentez habituellement. Essayez de trouver quelqu’un susceptible de vous aider à trouver un refuge et contactez la police.
  • Concentrez-vous sur la documentation : même si les informations divulguées sont particulièrement embarrassantes ou ne devraient pas être rendues publiques, vous devriez prendre des captures d’écran. Vous en aurez besoin si vous souhaitez entamer des poursuites judiciaires. Veillez à consigner les adresses URL, les noms d’utilisateur, les informations sur les comptes et tout ce qui peut aider les autorités à identifier l’auteur du doxing.
  • Modifiez vos mots de passe : lors d’une divulgation de données personnelles, il est possible qu’un de vos comptes soit compromis. Si vous utilisez les mêmes mots de passe pour différents comptes, vos informations confidentielles peuvent être accessibles. Veillez à utiliser des mots de passe robustes (mêlant lettres majuscules, minuscules, chiffres et symboles) et différents.
  • Verrouillez vos finances : si vos données financières sont publiées en ligne, veillez à faire opposition sur vos cartes de crédit et à prévenir votre banque et vos autres établissements financiers.
  • Signalez l’attaque : contactez la ou les plateformes sur lesquelles vos données personnelles ont été divulguées, car les réseaux sociaux ont souvent des règles concernant le doxing dans leurs conditions générales. Google dispose d’une page vous permettant de demander la suppression de vos informations personnelles. Si vous avez été victime de doxing, vous pouvez également contacter la police ou signaler l’acte sur la plateforme PHAROS du ministère de l’Intérieur.

Conclusion

Bien qu’il ne puisse être considéré comme totalement illégal, le doxing peut avoir des conséquences importantes et durables sur les victimes. Aujourd’hui, nous avons tendance à communiquer de nombreux renseignements personnels en ligne sans même y réfléchir. Il suffit qu’une interaction en ligne avec quelqu’un tourne mal pour que ces informations puissent devenir la cible d’internautes malintentionnés. Cela peut entraîner toutes sortes de problèmes, comme le swatting. En bref, vous devez protéger votre identité en ligne.

Veillez à régler vos paramètres de confidentialité sur les niveaux les plus élevés sur les réseaux sociaux et à prendre des précautions, comme l’utilisation d’un VPN et de mots de passe robustes, afin de vous protéger contre ce type d’attaque.

Qu’est-ce que le doxing ? Est-ce légal et comment l’éviter ? FAQ

Vous avez des questions sur le doxing et les moyens de vous en prémunir ? Consultez notre FAQ ci-dessous.

Le doxing consiste à divulguer en ligne des données personnelles ou privées appartenant à autrui sans son consentement. Comme de nombreuses informations nous concernant, numéros de téléphone, adresse postales et historique de navigation, sont disponibles en ligne, les personnes malintentionnées peuvent les traquer et les publier assez aisément. Pour de plus amples informations sur les mesures à prendre pour vous protéger, consultez notre article complet.

Oui et non. Lorsque les informations divulguées proviennent d’une source légale, comme des archives gouvernementales, des réseaux sociaux ou d’autres plateformes publiques, cette pratique n’est pas illégale en soit. L’auteur de cet acte met simplement en lumière des informations qui étaient déjà disponibles. Le doxing devient illégal lorsque des données privées, comme des numéros de carte de crédit, des informations financières ou des numéros de téléphone placés sur liste rouge sont révélés publiquement.

Les pirates et personnes malintentionnées peuvent identifier votre adresse physique et trouver de nombreuses informations personnelles vous concernant à l’aide de votre adresse IP. Un VPN vous protège en vous assignant une adresse IP anonyme et en chiffrant votre activité en ligne via l’un de ses milliers de serveurs situés dans le monde entier.

International security coordinator
Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.
Soumettre un commentaire
Soumettre un commentaire