Culture du hacking

Lutter contre le stalking grâce à l’OSINT

Les lignes qui suivent sont le résultat d’un travail collaboratif, sous l’impulsion de Justin Seitz. Nous sommes plusieurs à travailler ensemble, dont Heartbroken et Nanardon.


L’OSINT est l’acronyme d’Open Source Intelligence. Il s’agit d’un ensemble de techniques d’investigation, permettant de récupérer des informations à partir de sources dites ouvertes. Utilisé en sécurité informatique, dans les enquêtes de police et de journalistes, l’OSINT permet non seulement de récupérer des informations, mais aussi de se protéger contre des gens mal intentionnés.

Les violences contre les personnes, en particulier les violences faites aux femmes, ont augmenté et se sont diversifiées. Harcèlement en ligne, raids numériques, divulgation de données personnelles, photomontages, revenge porn, usurpations d’identité, les faits sont multiples.

Comment réagir si cela vous arrive ? Comment prévenir au maximum la survenance de ces faits ? Notre objectif est de vous fournir un kit clef en main, simple, à la portée technique de toutes les personnes concernées.

Ces kits ne se substituent pas aux associations, aux forces de police, aux avocats ni aux professionnels de santé.

Nous vous croyons.

Vous n’êtes pas responsables de ce qui vous arrive.

Les faits et les situations dont nous allons nous servir pour illustrer nos propos sont tous pénalement et civilement répréhensibles.

Vous n’êtes pas seuls.  


Lorsque l’on parle de stalking, on désigne le fait de surveiller ou d’épier quelqu’un à distance, grâce aux outils numériques. On peut distinguer deux hypothèses :

•    Le cas où la victime et le stalkeur se connaissent personnellement et intimement ;

•    Le cas où la victime ne connaît pas personnellement la personne qui la surveille en ligne.

À noter que cette surveillance peut déborder des outils numériques et se traduire également par des actions dans la vraie vie

Relever tous les éléments

Le point commun pour les deux cas évoqués est le même que dans les articles précédents : avant de supprimer quoi que ce soit, collectez et archivez tous les éléments. Si vous trouvez des logiciels espions dans vos appareils, faites a minima des captures d’écran des applications trouvées, avec tous les détails techniques.

Le stalkeur connu

 

Il s’agit généralement d’une personne avec laquelle la victime a eu des relations très proches : ancien conjoint ou conjoint actuel. Nous utilisons le masculin par défaut, mais les victimes peuvent être des deux sexes, tout comme les stalkeurs peuvent indifféremment être un homme ou une femme. Enfin, cette situation n’est pas propre aux couples hétérosexuels.

 

Le dénominateur commun est l’accès à l’intimité de la victime : son lieu de vie, mais aussi ses appareils numériques, ses habitudes quotidiennes, son carnet d’adresses, etc. Comment cela se matérialise ? Généralement, la victime a l’impression que son stalkeur sait exactement où elle est, avec qui elle est, quand elle se rend dans un endroit précis, etc. Évidemment, la victime n’a pas dit au préalable qu’elle se rendait à tel ou tel endroit, ou qu’elle allait voir telle ou telle personne. Elle n’a pas non plus posté l’information sur les réseaux sociaux.

 

Dans ce cas de figure, l’hypothèse la plus probable est que le téléphone portable de la victime a été équipé, à son insu, d’un logiciel espion. Appelé spouseware ou stalkerware, il sert à espionner les conjoints grâce aux smartphones. Pour être installé, il faut avoir physiquement accès au téléphone et connaître le code de déverrouillage du téléphone.

 

La première étape va donc consister à analyser le téléphone portable, afin de rechercher une éventuelle application. Pour les appareils de type Android, nous renvoyons le lecteur vers cet article de Malekal qui vous explique la procédure de détection, mais également de nettoyage. Pour les propriétaires d’iPhone, vous pouvez suivre ce guide

La plupart de ces logiciels ont un gros défaut : ils vident les batteries. Si votre appareil se décharge plus rapidement que d’habitude, alors que votre utilisation n’est pas excessive ou inhabituelle, vérifiez s’il n’est pas équipé d’un tel logiciel.

 

Si vous avez trouvé des logiciels espions sur vos appareils, changez tous les mots de passe des différents services que vous utilisez. Essayez de faire des sauvegardes des documents, musiques, vidéos, afin de faire — si cela est possible et ne vous fait pas perdre des logiciels ou des systèmes d’exploitation — des restaurations d’usine. Vos machines repartiront de zéro et les éventuels logiciels espions seront effacés de votre système.

 

Pensez également à désactiver ou mieux, à mettre un cache sur la webcam de votre ordinateur portable et désactiver les dispositifs sans fil (WiFi ou Bluetooth) quand vous n’utilisez pas vos appareils.

Le stalkeur inconnu

 

Le stalkeur inconnu est celui que vous ne connaissez pas en vrai, mais qui vous connaît grâce aux traces que vous laissez sur les réseaux sociaux. C’est l’exemple typique de la mauvaise utilisation de l’OSINT : on se sert des outils pour espionner quelqu’un, dans un but malveillant.

 

Si vous êtes confronté à cette situation, passez tous vos comptes de réseaux sociaux en privé ou accès restreint. Pensez également à désactiver la géolocalisation et évitez d’utiliser vos comptes de réseaux sociaux pour accéder à d’autres services. Par exemple, Discord permet de connecter son compte sur la plateforme à son compte Facebook, Twitter, GitHub ou Spotify. Cela peut paraître cordial et inoffensif, mais cela peut permettre à des personnes malveillantes de collecter des informations sur vous.

 

Le stalkeur peut également tenter de vous faire installer un logiciel espion, que ce soit sur votre ordinateur ou votre smartphone. Sur votre ordinateur, généralement, les antivirus actuels sont suffisamment bien conçus pour vous permettre de les éviter. Sur les appareils mobiles, en particulier les smartphones, cela passe souvent via des SMS vérolés. Dernière nouveauté : les liens malveillants envoyés via les messageries de type Telegram, WhatsApp ou Signal. Qu’il s’agisse de PayPal, Amazon ou La Poste ou un service bancaire, le SMS ne remplace jamais l’information disponible sur votre espace personnel. Ne cliquez donc pas sur le lien et rendez-vous directement sur le compte du service concerné.

 

Une autre parade consiste à inciter la victime à installer elle-même une application malveillante, en dehors du magasin officiel de son appareil, PlayStore ou App Store. Heureusement, ces applications ne fonctionnent pas sans « jailbreak » des téléphones iPhone ou sans activer l’option « Sources inconnues » pour les téléphones Android. Ne cassez jamais la sécurité de votre appareil, cela le rendra vulnérable et vous avec.

 

Qu’en est-il des messages privés non sollicités sur Twitter, Facebook, LinkedIn et autres réseaux sociaux ? Vous pouvez paramétrer votre compte pour ne pas recevoir de messages de personnes que vous ne suivez pas et bloquer les impétrants afin qu’ils ne vous dérangent plus. Sur Facebook, par défaut, les messages des personnes avec lesquelles vous n’êtes pas ami, sont stockés dans un autre onglet de la messagerie, onglet qu’il est très facile d’oublier.

 

Pour les appels et SMS, si votre harceleur utilise toujours le même numéro, vous pouvez le placer directement sur liste noire. Quant aux emails, vous pouvez le placer directement en spam ou configurer une règle de filtrage avec Thunderbird.  Ce filtre existe également sur OutlookS’il utilise des numéros de téléphone différents, reportez-vous à l’article sur le doxxing.

Les faux avis de recherche

 

Sur les réseaux sociaux, en particulier sur Twitter, il arrive que des personnes laissent des messages, avec une photo disant que leur sœur, leur cousine ou un autre membre de la famille a disparu depuis quelques heures, sans donner de nouvelles. Le messager demande à ce qu’on lui fasse parvenir toutes les informations pertinentes pour retrouver la personne disparue.

 

Malheureusement, il peut s’agir d’un faux avis de recherche. Les stalkeurs font appel à la solidarité des internautes pour collecter des données intéressantes, ne serait-ce que pour savoir où se trouve la personne en temps réel.

 

Si vous voyez des avis de recherche sur le Web, ne les partagez que s’ils proviennent de la police, de la préfecture ou de la presse « sérieuse ». Même si en matière de disparition réelle, le temps est très précieux, il vaut mieux prendre certaines précautions.

 

La règle juridique

 

La difficulté des stalkeurs est qu’il ne rentre généralement pas en contact direct avec la victime. Ils se contentent de la suivre à distance, que ce soit en ligne ou dans la vraie vie. On ne peut donc pas savoir en avance qu’on est épié et il est difficile de faire appel à la justice.

 

Mais si vous découvrez un logiciel espion, que vous recevez des messages insistants ou laissant clairement entrevoir que vous êtes espionné, vous avez un élément matériel et vous pouvez déposer une plainte ou a minima une main courante. Dans le cas spécifique des logiciels espions, en droit français, cela peut être sévèrement puni.