Culture du hacking

Lutter contre le dox(x)ing grâce à l’OSINT

Les lignes qui suivent sont le résultat d’un travail collaboratif, sous l’impulsion de Justin Seitz. Nous sommes plusieurs à travailler ensemble, dont Heartbroken et Nanardon.


L’OSINT est l’acronyme d’Open Source Intelligence. Il s’agit d’un ensemble de techniques d’investigation, permettant de récupérer des informations à partir de sources dites ouvertes. Utilisé en sécurité informatique, dans les enquêtes de police et de journalistes, l’OSINT permet non seulement de récupérer des informations, mais aussi de se protéger contre des gens mal intentionnés.

Les violences contre les personnes, en particulier les violences faites aux femmes, ont augmenté et se sont diversifiées. Harcèlement en ligne, raids numériques, divulgation de données personnelles, photomontages, revenge porn, usurpations d’identité, les faits sont multiples.

Comment réagir si cela vous arrive ? Comment prévenir au maximum la survenance de ces faits ? Notre objectif est de vous fournir un kit clef en main, simple, à la portée technique de toutes les personnes concernées.

Ces kits ne se substituent pas aux associations, aux forces de police, aux avocats ni aux professionnels de santé.

Nous vous croyons.

Vous n’êtes pas responsables de ce qui vous arrive.

Les faits et les situations dont nous allons nous servir pour illustrer nos propos sont tous pénalement et civilement répréhensibles.

Vous n’êtes pas seuls.  


On appelle communément doxxing ou doxing — les orthographes varient — le fait de divulguer à l’insu d’une personne, ses coordonnées personnelles, son identité, son adresse ou toute autre information, dans le but de lui nuire.

Beaucoup d’internautes utilisent des pseudonymes sur le Web. Cela n’est pas illégal et permet de protéger sa vie privée et professionnelle. Il arrive que la divulgation d’informations ait lieu pendant des raids numériques, dans le but de submerger la victime.

 

Le cadre légal français

 

Comme l’a rappelé Maître Éric Morain, le doxxing est pénalement répréhensible. « Je fais que passer mais petit rappel : Doxing (ou doxxing) : pratique consistant à divulguer sur internet des informations sur l’identité et la vie privée d’un individu afin de lui nuire. Les informations révélées peuvent être l’identité, l’adresse, le numéro de compte, etc. Dans la loi française, le doxing peut relever du Code pénal et être considéré comme :

  • Atteinte à la vie privée ;
  • Dénonciation calomnieuse ;
  • Violation du secret des correspondances ;
  • Collecte, traitement et divulgation de données personnelles sans le consentement de la victime.

Et le cyber harcèlement en meute est aujourd’hui prévu et réprimé depuis la loi du 3 août 2018 dite “Schiappa” qui réprime :

  • Lorsque ces propos ou comportements sont imposés à une même victime par plusieurs personnes, de manière concertée ou à l’instigation de l’une d’elles, alors même que chacune de ces personnes n’a pas agi de façon répétée ;
  • Lorsque ces propos ou comportements sont imposés à une même victime, successivement, par plusieurs personnes qui, même en l’absence de concertation, savent que ces comportements caractérisent une répétition. Articles 222-33 et suivants du Code pénal.

Ce sera tout ».

Là encore, en dehors des poursuites pénales, il y a les poursuites civiles. La réponse que vous pouvez apporter est à la fois juridique et technique.

 

Les aspects techniques

 

Relever et archiver

 

Comme pour les raids numériques précédemment évoqués, vous allez passer par une phase d’archivage. Référez-vous à la section « Relever et archiver » de l’article, car la procédure est identique.

Mais contrairement aux raids numériques, après avoir relevé les messages, les liens et l’horodatage, vous allez signaler les contenus aux plateformes concernées ainsi qu’à PHAROS. PHAROS est la plateforme de signalement gouvernemental des contenus dangereux, indésirables ou illégaux. Rendez-vous à cette adresse, cliquez sur signalez et commencez la procédure. Dans le cas de divulgation de données à caractère personnel, choisissez « Mise en danger des personnes ». On vous demandera sur quel support ce doxxing a eu lieu. S’il s’agit de Facebook, Twitter, Instagram, LinkedIn, YouTube, Snapchat, TikTok ou encore Mastodon, sélectionnez « sur un réseau social ».

pharos.png

On vous demandera ensuite le lien, d’indiquer si vous le souhaitez vos coordonnées et résoudre le captcha. Si le contenu a déjà été signalé à de nombreuses reprises, vous recevrez un avertissement, vous indiquant que la plateforme est déjà au courant. Un signalement à PHAROS n’est jamais inutile. Si vous êtes la victime, n’hésitez pas à remplir le formulaire et à enregistrer une copie de votre signalement en fin de procédure, par exemple, avec Fireshot..

 

Se protéger

 

Là encore, vous allez devoir passer vos différents réseaux en mode privé, le temps d’être tranquille. Avant de faire quoi que ce soit d’autre, verrouillez vos comptes.

Que faire si votre numéro de téléphone a été dévoilé ? Pour le téléphone fixe, dans le pire des cas, vous pouvez demander à votre opérateur de changer votre numéro de téléphone. Orange et SFR le proposent, mais ce n’est pas gratuit. Selon les opérateurs, cela peut être fait en ligne. Vous pouvez aussi rediriger les appels sur votre téléphone portable, pour mieux les filtrer.

En effet, pour les téléphones portables, vous pouvez paramétrer votre téléphone pour ne recevoir que les appels et les SMS de personnes qui sont déjà enregistrées dans votre répertoire. Cette option n’est pas native sur tous les téléphones. L’application de Vlad Lee semble avoir les faveurs des utilisateurs d’appareils Android. Elle vous permet de bloquer les appels, les SMS, mais également de filtrer en fonction des contacts. Pour les utilisateurs d’iPhone, vous pouvez paramétrer cette fonctionnalité directement dans l’appareil

Quant aux autres interlocuteurs, si leurs appels sont légitimes, ils vous laisseront un message sur votre répondeur. Dans le cas où des harceleurs vous laissent des messages vocaux injurieux, sauvegardez-les dans votre répondeur, auprès de votre opérateur téléphonique ainsi que votre téléphone.

 

Le signalement auprès des plateformes

 

Sur Facebook, à côté de chaque commentaire, vous avez des points de suspension. Cliquez dessus et sélectionnez « Donner un avis ou signaler ce commentaire ». Le réseau social vous proposera différentes options. Vous pouvez choisir directement « Harcèlement ».

fb_signalement.png

Sur Twitter, vous avez également ces points de suspension. Sélectionnez « Signaler le tweet », puis « Les propos tenus sont dangereux ou inappropriés ».

tweet_danger.png

Vous aurez le choix entre plusieurs options. Dans le cas où vos coordonnées sont dévoilées, c’est l’option « Des informations privées sont dévoilées ». Au moment du signalement, Twitter vous demandera également s’il s’agit de vous ou d’une autre personne.

tweet_dox.png

Instagram, tout comme Facebook, ne fait pas apparaitre cette option, mais vous pouvez utiliser le choix « Harcèlement ». Cliquez sur les points de suspension, puis sur « signaler » puis sur « contenus inappropriés ». Dans le cas d’informations privées, on peut considérer qu’il s’agit de harcèlement ou d’intimidation.

insta_signal.png

Sur Tiktok, il faut positionner la souris à côté des commentaires pour voir apparaitre les fameux points de suspension. L’option « signaler » apparait alors. Là encore, on optera pour « Harcèlement ».

Sur Discord, chaque administrateur étant maître sur son serveur, il faut attendre le bon vouloir des modérateurs. Néanmoins, vous pouvez signaler des contenus problématiques. Rendez-vous sur cette page

Dans le corps du message, il est conseillé de fournir l’ID du message. Vous obtiendrez cette information en activant le mode développeur. Allez dans vos paramètres de compte, puis dans apparence et en bas de page, activez le « mode développeur ».

discord_dev.png

Retournez là où se trouve le message. Passez la souris sur le message, cliquez sur les points de suspension puis sur « copier l’identifiant ».

id_discord.png

La gestion humaine du doxxing

 

En fonction des informations qui ont été dévoilées sans votre consentement, vous pouvez choisir de porter plainte ou non. Comme pour les raids numériques et les autres cas, cette décision vous appartient. On recommandera de prévenir les proches : entourage familial, professionnel, école des enfants si la victime est parent, etc.

 

On a observé qu’en matière de doxxing, Twitter était très réactif, pour peu que le nombre de signalements effectués soit conséquent. Si une personne dévoile vos informations personnelles via Twitter, n’hésitez pas à prévenir vos contacts qui sont sur la plateforme, pour qu’ils signalent le message et le fassent disparaître.