Lumières sur la sécurité

mercredi 3 août 2022

Internet peut être un environnement dangereux, et dans chaque publication de Lumières sur la sécurité, nous essayons de donner des recommandations sur la façon de rendre votre navigation sur le Web sécurisée au maximum. On parle de l'utilisation obligatoire d'un antivirus, des changements réguliers de mot de passe, des conseils pour ne pas tomber dans les pièges du phishing, etc. Aujourd'hui on va faire attention aux traces qu'on laisse sur le World Wide Web - on va parler des méthodes OSINT et comment rendre notre présence sur Internet aussi discrète que possible.

Que sont les méthodes OSINT ?

OSINT (de l'anglais Open Source INTelligence) - recherche de renseignements via l’open source. Il s'agit du nom d'un ensemble de méthodes de recherche d'informations accessibles au public. En termes simples, les clichés de pirates tels que " trouver une personne à partir d'une photo " ou " trouver une adresse IP à partir d'un compte dans un jeu ", tout cela concerne les méthodes OSINT. Si quelque chose peut être appris sur une personne, le chercheur trouvera des renseignements précisément à partir de sources ouvertes.

Les ressources publiques les plus populaires sont les réseaux sociaux. Sans hésitation, nous y laissons des informations personnelles nous concernant : prénom, nom, date de naissance, ville, école, plus proches parents dans la liste d'amis - souvent n'importe qui peut voir toutes ces données.

Les images publiées peuvent également en dire long sur nous. Grâce à une seule photo, il est possible de collecter de nombreuses informations : quand, où et qui a rencontré qui. Si c’est une photo prise dans une maison, il est possible de déduire, d’après la décoration de la maison ou des éléments de volumes et d’environnement, des informations sur votre patrimoine, votre niveau de vie, etc.

Voici une méthode simple que toute personne qui fréquente les réseaux sociaux peut utiliser. Cependant, les vrais connaisseurs des méthodes OSINT peuvent extraire encore plus d'informations de l'image, par exemple via EXIF (Exchangeable Image File Format), qui permet de recueillir des informations techniques sur la photo – jusqu’à l'heure exacte à laquelle a été prise la photo par la position du soleil.

Théoriquement, absolument tout le monde peut maîtriser les méthodes OSINT, mais cette connaissance est vitale pour les spécialistes dans le domaine de la computer forensics (science des enquêtes sur les crimes cybernétiques et utilisant la recherche et la collecte d'information d'après les ressources informatiques) et du journalisme.

Comment nos données sont-elles divulguées ?

Comme le montre l'exemple ci-dessus, nous pouvons involontairement révéler une quantité importante de détails sur nous-mêmes. Oui, parfois même notre nom et une vraie photo peuvent être une source d'informations plus que suffisante pour des intrus potentiels. Depuis de nombreuses années, il existe différents services payants qui permettent de retrouver une personne par une image ou même un fragment de celle-ci. Cela signifie qu'il n'est pas du tout nécessaire de poster une photo sur votre page personnelle sur un réseau social pour être trouvé. Il suffit d'avoir quelques photos partagées avec des amis dans leurs comptes.

Connaissant votre nom complet et votre date de naissance, un attaquant peut facilement découvrir tout le reste, même si vous semblez n'avoir rien publié d'autre nulle part. Rien n' empêche de consulter la liste d'amis, les abonnements, les likes dans les réseaux sociaux pour connaître vos centres d'intérêt et votre lieu de résidence exact.

Supposons que vous aimez beaucoup la pêche - vous êtes abonné à des groupes thématiques, parfois vous laissez des commentaires, vous publiez une photo. Au-delà des réseaux sociaux, il est possible d'essayer de trouver une mention de votre nom ou pseudo dans les moteurs de recherche. Peut-être ainsi on en apprend un peu plus sur vos hobbies ? Si la recherche a échoué, une vérification des forums de pêche populaires sera utilisée - vous y avez probablement parlé avec des personnes partageant les mêmes loisirs . Il est possible qu'il y a quelques années, lors d'un débat houleux sur « le meilleur endroit pour pêcher », vous ayez écrit que vous avez pêché sur le même lac toute votre vie. Très probablement, vous travaillez et vous allez donc pêcher le week-end. C'est donc là, si nécessaire, que l'on peut vous trouver.

D'une manière ou d'une autre, en laissant des messages sur des forums ou des réseaux sociaux sous votre vrai nom ou un surnom couramment utilisé, vous donnez trop d'informations à un attaquant potentiel. Parfois, les professionnels parviennent même à trouver des données de passeport, des appels au tribunal, des informations détaillées sur le travail et bien plus encore.

Comment se protéger des cyberharceleurs ?

Notez que ces exemples ne doivent pas nous empêcher de vivre et d’utiliser Internet. Il s’agit d’illustrer certaines méthodes et de comprendre qu’un bon chercheur sur le web peut trouver beaucoup d’informations.

Cependant, il y a des conseils qui méritent d’être suivis dans tous les cas. Soyez attentifs à vos traces laissées sur Internet.