Culture du hacking

Lutter contre l’usurpation d’identité grâce à l’OSINT

Les lignes qui suivent sont le résultat d’un travail collaboratif, sous l’impulsion de Justin Seitz. Nous sommes plusieurs à travailler ensemble, dont Heartbroken et Nanardon.


L’OSINT est l’acronyme d’Open Source Intelligence. Il s’agit d’un ensemble de techniques d’investigation, permettant de récupérer des informations à partir de sources dites ouvertes. Utilisé en sécurité informatique, dans les enquêtes de police et de journalistes, l’OSINT permet non seulement de récupérer des informations, mais aussi de se protéger contre des gens mal intentionnés.

Les violences contre les personnes, en particulier les violences faites aux femmes, ont augmenté et se sont diversifiées. Harcèlement en ligne, raids numériques, divulgation de données personnelles, photomontages, revenge porn, usurpations d’identité, les faits sont multiples.

Comment réagir si cela vous arrive ? Comment prévenir au maximum la survenance de ces faits ? Notre objectif est de vous fournir un kit clef en main, simple, à la portée technique de toutes les personnes concernées.

Ces kits ne se substituent pas aux associations, aux forces de police, aux avocats ni aux professionnels de santé.

Nous vous croyons.

Vous n’êtes pas responsables de ce qui vous arrive.

Les faits et les situations dont nous allons nous servir pour illustrer nos propos sont tous pénalement et civilement répréhensibles.

Vous n’êtes pas seuls.  


L’un des effets indésirables des raids numériques, qui s’accompagnent de doxxing, peut être l’usurpation d’identité. Les assaillants cherchent tout ce qu’ils peuvent trouver sur une victime et fouillent les bases de données de services qui ont fait l’objet d’un piratage ou d’une fuite de données.

Quand on parle d’usurpation d’identité en ligne, on vise principalement deux choses :

  • L’usurpation des comptes de réseaux sociaux ;
  • L’usurpation d’identité « réelle ».

Ces deux hypothèses ne sont pas exclusives ni exhaustives, mais elles sont fréquemment rencontrées.

L’usurpation des comptes de réseaux sociaux

C’est le cas où quelqu’un se fait passer pour vous sur les réseaux sociaux ou pire, vous a volé votre compte. Comment est-ce possible ? Parfois, le mot de passe est trop simple à découvrir.

Le plus souvent, le jeu d’identifiant ou de mot de passe est quelque part dans la nature et les victimes utilisent le même couple. Il existe des services qui vous permettent de savoir si le mot de passe associé à une adresse email s’est retrouvé dans la nature.

Le service Have I been pwnd peut vous aider à déterminer si vous avez victime d’une fuite de données. Si votre email n’est pas dans la nature, voici ce qui va s’afficher.

hibp_1.png

À l’inverse, si votre email se trouve dans une base de données qui a été compromise, voici le résultat.

hibp_2.png

Il faut changer son mot de passe et bien évidemment : un site = un mot de passe différent.

C’est souvent comme cela que des personnes malveillantes arrivent à détourner des comptes de réseaux. Elles utilisent le mot de passe de la personne pour se connecter à sa boîte mail, puis aux comptes, changent les mots de passe, les numéros de téléphone et la victime se retrouve sans ses comptes.

Sur Twitter, il suffit de signaler le compte. Allez sur le compte en question et cliquez sur les points de suspension à côté de l’icône « enveloppe ». 

twit_signalement.png

Allez dans « signaler » puis dans « il se fait passer pour moi ».

twit_signal_id.png

On vous demandera des détails et éventuellement de prouver que vous êtes le titulaire légitime du compte.

Sur Facebook, la démarche est quasiment la même. Rendez-vous sur le compte litigieux, cliquez sur la case avec les points de suspension, en-dessous de la bannière.

fb_signal_compte.png

Choisissez : « signaler un problème » et sélectionner « usurpation d’identité ». Sur Instagram, choisissez « signaler » puis « contenu inapproprié » puis « signaler le compte » puis « il usurpe l’identité d’un tiers. ».

fb_signal_id.png

Pour Instagram, allez sur le profil de l’utilisateur, avisez les points de suspension et cliquez sur « Signaler un utilisateur ».

instagram_signal.png

 

Choisissez « contenu innaproprié ».

instagram_contenu.png

On vous demandera pourquoi, sélectionnez « signaler le compte ». 

insta_pourquoi.png

Et enfin, vous aurez l’option « il usurpe l’identité d’un tiers ». 

instagram_identite.png

Sur TikTok, là aussi, la procédure est simple : on clique sur les points de suspension, puis sur « signaler ».

 

tiktok_signal.png

Ensuite, on choisit « signaler le compte ».

tiktok_signal_compte.png

Et enfin, on sélectionnne « Usurpe une identité ». 

tiktok_signal_compte_id.png

 

Pour Snapchat, il existe un formulaire dédié. On sélectionne « signalez un problème de sécurité » puis « mon compte Snapchat » et enfin « mon compte a été piraté » ou « quelqu’un utilise mon numéro de téléphone ou mon adresse email » ou « un autre compte Snapchat se fait passer pour moi » selon le cas.

snap_support_compte.png

Concernant Discord, il n’y a pas l’air d’avoir de procédure spécifique de signalement d’usurpation de compte.

L’usurpation d’identité « réelle »

Quand on parle d’usurpation d’identité « réelle », on vise les cas où l’assaillant a accès à des informations très sensibles sur une personne : son numéro de sécurité sociale (cas des Américains), ses cartes bancaires, un numéro de téléphone et toutes les données susceptibles de vous voler votre identité, de se faire passer pour vous auprès des banques ou des organismes sociaux.

Bloquez vos cartes bancaires, prévenez les organismes officiels avec un courrier ainsi que votre entourage professionnel, amical et familial. Déposez également plainte.

Dans le cas uniquement des Français : si vous soupçonnez que votre carte bancaire ou votre compte est susceptible d’être dans la nature, vous faites opposition à vos cartes bancaires, vous prévenez votre banquier, par écrit et vous adressez un courrier avec accusé de réception à la Banque de France et demandez à consulter le fichier des comptes bancaires. Si vous dépendez d’un organisme social (CAF, Pôle Emploi, etc.), vous faites également un courrier avec accusé de réception, pour prévenir de cette potentielle usurpation d’identité. Vous n’oubliez pas vos éventuels interlocuteurs commerciaux. Sachez que vous n’êtes pas obligé de vous rendre physiquement à la poste : vous faites votre courrier avec votre éditeur de texte préféré et vous pouvez l’envoyer via le site de La Poste.

Enfin, vous déposez plainte au commissariat ou à la gendarmerie et vous insistez pour déposer une plainte et non une simple main-courante. Généralement, si vous dites à l’officier que c’est la banque qui vous force à déposer une plainte et non une simple main-courante, les récalcitrants s’exécutent.

L’objectif de cette procédure est de vous couvrir en cas de souscription de prêts à la consommation ou de tout autre acte susceptible de vous être imputé.

Pensez également, si cela s’avère nécessaire, à signaler l’usurpation d’identité à l’administration.

Qu’en est-il de l’usurpation des boîtes mail ? Pour Gmail, c’est par ici  et pour Hotmail, ici. Il faudra vous armer de patience. Si votre boîte mail est celle de votre fournisseur d’accès à Internet, contactez-les directement par téléphone.

L’usurpation d’identité protéiforme

On y pense beaucoup moins, mais il peut arriver qu’une personne malveillante utilise différents éléments de différentes personnes pour se construire une identité totalement inventée. Par exemple, n’utiliser que les photos d’une personne, mais pas son identité, ou encore, son adresse postale, son email, son nom et prénom, afin de se construire un personnage inventé de toutes pièces.

Cela fait partie des cas quasiment impossibles à prévenir. Peu importe le moment où vous le découvrirez, il sera trop tard. La seule parade existante est de faire du reverse image, de façon très régulière, sur ses propres photos.

Enfin, sachez qu’utiliser des éléments constituant l’identité d’une autre personne voire de plusieurs est pénalement et civilement répréhensible en droit français.   

Dans la seconde partie de notre kit, on vous expliquera comme prévenir le plus possible ce type de désagrément. Enfin, sachez que peu importe les États et peu importe qu’il s’agisse d’identité numérique ou réelle, l’usurpation d’identité est une infraction, généralement pénale, souvent un délit. Là encore, n’hésitez pas à porter plainte, aussi bien au pénal qu’au civil.