Le doxxing, ou "doxing", désigne la pratique consistant à utiliser Internet pour rechercher et recueillir des informations personnelles et privées sur quelqu'un, puis à publier ces informations en ligne. Dérivé du mot "documents", le terme est une version abrégée de "dropping dox", une méthode de vengeance qui remonte à la culture des hackers du début des années 1990.
Grâce à Internet, il est facile de trouver des informations accessibles au public. Mais le doxxing va bien au-delà d'une recherche innocente de coordonnées. Les auteurs de doxxing cherchent souvent à établir un lien entre un profil anonyme en ligne et la véritable identité de la personne qui se cache derrière, puis à révéler publiquement le vrai nom de cette personne, ainsi que des détails personnels allant de l'adresse postale et des numéros de téléphone portable non répertoriés aux numéros de sécurité sociale, aux noms des enfants ou aux informations relatives aux cartes de crédit.
Récemment, le doxxing est devenu un outil dans les guerres culturelles, avec des pirates informatiques rivaux doxant ceux qui ont des opinions opposées au camp adverse. Le but des doxeurs est d'intensifier leur conflit avec leurs cibles, du monde en ligne au monde réel.
Comment fonctionne le doxxing ?
Comme l'usurpation d'identité, le doxxing nécessite généralement un peu d'investigation de la part de la personne qui récupère les informations, par exemple en traquant les profils de réseaux sociaux de la cible à la recherche de noms d'animaux domestiques, de noms de jeune fille ou d'autres indices qui peuvent être utilisés pour deviner des mots de passe ou répondre à des questions de sécurité. Contrairement à l'usurpation d'identité, le but du doxxing est la rétribution, le harcèlement ou l'humiliation plutôt que le gain financier. Bien sûr, une fois que les données privées de la victime sont révélées publiquement, on ne peut pas savoir ce que d'autres utilisateurs d'Internet peuvent en faire.
Dorénavant, nous vivons à l'ère du big data ; il existe un vaste océan d'informations personnelles sur Internet, et les gens ont souvent moins de contrôle sur celles-ci qu'ils ne le croient.
Voici quelques-unes des méthodes les plus utilisées :
- Suivre les noms d'utilisateur
De nombreuses personnes utilisent le même nom d'utilisateur sur une grande variété de services. Cela permet aux doxeurs potentiels de se faire une idée des intérêts de la cible et de la façon dont elle passe son temps sur Internet.
- Effectuer une recherche sur un nom de domaine
Toute personne qui possède un nom de domaine voit ses informations stockées dans un registre qui est souvent accessible au public via une recherche WHOIS. Supposons que la personne qui a acheté le nom de domaine n'ait pas masqué ses informations privées au moment de l'achat. Dans ce cas, les informations d'identification personnelle sont accessibles en ligne à tous.
- Harcèlement sur les réseaux sociaux
Si les comptes de réseaux sociaux sont publics, n'importe quel doxeur peut trouver des informations sur un individu. Grâce à ces informations, un doxeur peut même trouver les réponses à vos questions de sécurité, ce qui l'aiderait à s'introduire dans d'autres comptes en ligne.
- Fouiller dans les dossiers gouvernementaux
Bien que la plupart des dossiers personnels ne soient pas disponibles en ligne, il est possible de glaner un certain nombre d'informations sur les sites Web gouvernementaux. Par exemple, les bases de données des licences commerciales, les registres des comtés, les licences de mariage, les registres des permis de conduire et les registres d'inscription des électeurs - tous contiennent des informations personnelles.
- Suivre des adresses IP
Les "doxers" peuvent utiliser diverses méthodes pour découvrir une adresse IP, qui est liée à un emplacement physique. Une fois qu'ils la connaissent, ils peuvent alors utiliser des astuces d'ingénierie sociale sur votre fournisseur d'accès à Internet (FAI) pour découvrir plus d'informations sur une personne. Ils peuvent, par exemple, déposer des plaintes contre le propriétaire de l'adresse IP ou tenter de pirater le réseau.
Le doxxing est-il illégal ?
La réponse est généralement non : le doxxing n'est pas illégal, si les informations exposées relèvent du domaine public et si elles ont été obtenues par des méthodes légales. Cela dit, selon la juridiction, le doxxing peut être contraire aux lois visant à lutter contre la traque, le harcèlement et les menaces de mort.
Comment se protéger du doxxing?
Bien que ces informations soient accessibles à ceux qui veulent vraiment les chercher, il existe des mesures que vous pouvez prendre pour protéger vos informations. Il s'agit notamment de :
- Protéger votre adresse IP en utilisant un VPN
Un VPN ou réseau privé virtuel offre une excellente protection contre la divulgation des adresses IP. Un VPN prend le trafic Internet de l'utilisateur, le crypte et l'envoie via l'un des serveurs du service avant de l'envoyer sur l'Internet public, ce qui vous permet de naviguer sur Internet de manière anonyme.
- Utilisez des mots de passe forts
Un mot de passe fort comprend normalement une combinaison de lettres majuscules et minuscules, de chiffres et de symboles. Évitez d'utiliser le même mot de passe pour plusieurs comptes et veillez à changer vos mots de passe régulièrement. Si vous avez du mal à vous souvenir des mots de passe, essayez d'utiliser un gestionnaire de mots de passe.
- Créez des comptes de messagerie distincts à des fins différentes
Envisagez de maintenir des comptes de messagerie distincts pour des raisons différentes - professionnelles, personnelles et pourriel.
- Vérifiez et optimisez vos paramètres de confidentialité sur les réseaux sociaux
Vérifiez les paramètres de confidentialité de vos profils de médias sociaux et assurez vous que vous êtes à l'aise avec la quantité d'informations partagées et avec qui.
- Utilisez l'authentification multifactorielle
Cela rend plus difficile pour les pirates d'accéder aux appareils ou aux comptes en ligne d'une personne, car il ne suffit pas de connaître le mot de passe de la victime ; ils devront également avoir accès à un code PIN.
- Débarrassez vous des profils obsolètes
Vérifiez combien de sites possèdent vos informations. Si des sites comme MySpace sont aujourd'hui démodés, les profils mis en ligne il y a plus de dix ans sont toujours visibles et accessibles au public. Cela s'applique à tous les sites sur lesquels vous avez pu être actif. Essayez de supprimer les profils obsolètes et anciens/non utilisés si vous le pouvez.
- Soyez attentif aux courriels d'ingénierie sociale
Les doxers peuvent utiliser des escroqueries par hameçonnage pour vous inciter à divulguer votre adresse postale, votre numéro de sécurité sociale ou même vos mots de passe.