Doxing et piratage, nos données personnelles ne sont jamais totalement à l'abri sur internet - Décryptualité du 21 janvier 2019

Manu - Nico - Nolwenn - Christian - Luc

Titre : Décryptualité du 21 janvier 2019 - Doxing et piratage, nos données personnelles ne sont jamais totalement à l'abri sur internet
Intervenants : Manu - Nico - Nolwenn - Christian - Luc
Lieu : April - Studio d'enregistrement
Date : 21 janvier 2019
Durée : 13 min 40
Écouter ou télécharger le podcast
Revue de presse pour la semaine 3 de l'année 2019
Licence de la transcription : Verbatim
Illustration : doxing, Pablo F. Iglesias. Licence Creative Commons CC-BY.
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Description

Le doxing, cette pratique consistant à rendre publique des informations personnelles, secoue l'actualité en Allemagne où de nombreuses personnalités politiques ont été exposées. Avec le piratage, il démontre que nos données personnelles ne sont jamais totalement à l'abri sur Internet et qu'il convient de maîtriser ses outils et la portée de ce que l'on exprime si on veut minimiser les risques.

Transcription

Luc : Décryptualité.

Voix off de Nico : Le podcast qui décrypte l’actualité des libertés numériques.

Luc : Semaine 3. Salut Manu.

Manu : Salut Nolwenn.

Nolwenn : Salut Nico.

Nico : Salut Christian.

Christian : Salut Luc.

Luc : Sommaire.

Manu : Pour la semaine 3.

Luc : L’Humanité.fr, « Rémi Boulle, "L’État ne fait rien pour résister à l’entrisme de ces grandes firmes" », un article de Laurent Mouloud.

Manu : C’est la section Éducation de l’April qui défend, justement, le logiciel libre dans les institutions, surtout l’Éducation nationale où il y a Microsoft.

Luc : Le Monde Informatique, « Linagora vs BlueMind : 1e manche gagnée par le second », un article de Bastien Lion.

Manu : C’est un vieux sujet qui est en ce moment devant les tribunaux. Il y a deux sociétés qui font plutôt du Libre et il y en a une qui attaque l’autre pour différentes raisons. C’est la deuxième qui a gagné pour l’instant.

Luc : EurActiv, « Directive copyright : un débat impossible en France », un article de Pierre-Yves Beaudouin.

Manu : Ça parle des changements de droit d’auteur qui sont en train d’être mis en place en ce moment en Europe. C’est en train d’être discuté, l’article 11 et l’article 13 surtout.

Luc : Nouvelle du jour : ça a été abandonné !

Manu : Non !

Luc : Et si. Donc des bonnes nouvelles.

Manu : Bonne nouvelle. Je suis sûr qu’on en parlera dans les semaines qui viennent parce que c’est quand même important.

Luc : ZDNet France, « MongoDB: la nouvelle licence SSPL fait grincer des dents dans l’open source », un article de Steven J. Vaughan-Nichols.

Manu : C’est un sujet assez technique et légal sur des licences et comment s’organise l’utilisation d’un certain logiciel, sa licence est en train de bouger, est en train de devenir plus stricte, plus libre d’un certain point de vue, mais en fait, il faut voir. En tout cas ça fait grincer, c’est-à-dire qu’il y a plein de gens qui n’aiment plus ce logiciel à partir de maintenant, notamment Amazon qui l’utilisait avant et qui va passer à d’autres briques.

Luc : France Culture, « Les hackers sont-ils de nouveaux pirates ? », un article d’Antoine Garapon.

Manu : Ça parle de piratage, Parti pirate, même de Wikipédia. Pas mal de choses intéressantes, d’éthique entre autres. Allez jeter une oreille, parce que c’est un podcast qui est derrière.

Luc : La Tribune, « En plus du Grand débat, l’État veut aussi votre avis pour réguler le numérique », un article d’Anaïs Cherif.

Manu : Après le grand débat, qui effectivement est en cours, là ils veulent rediscuter, le numérique doit évoluer. Il y a peut-être des évolutions qui ne vont pas nous plaire, qui sont en train d’être discutées, notamment sur l’anonymat, il me semble.

Luc : On en reparlera effectivement. Developpez.com, « Il y a une raison simple pour laquelle votre nouveau téléviseur intelligent était si abordable », un article de Stan Adkens.

Manu : Je ne me rendais pas compte qu’il était si abordable que ça ! Mais en tout cas, effectivement, quand on vous écoute en permanence, eh bien il y a une petite possibilité de faire de l’argent avec ce qui est écouté c’est de le revendre et donc ça fait baisser drastiquement les prix des téléviseurs. Richard Stallman, le fondateur du logiciel libre, donne son avis sur le sujet.

Luc : Le sujet de la semaine, Manu, c’est toi qui l’apportes.

Manu : Le doxing, ce qui vient de se passer notamment en Allemagne mais qui est un sujet récurrent. Doxing1 ça veut dire ?

Nico : En gros, des gens qui décident d’attaquer une personne et donc qui vont, par tous les moyens possibles et imaginables, essayer de récupérer les numéros de téléphone, numéros de passeport, les comptes en banque, les adresses, enfin tout ce qu’ils peuvent trouver sur cette personne-là pour, après, essayer de lui causer du tort ou même mettre ça à disposition de gens, n’importe qui, ou juste l’emmerder.

Manu : Le nom et les informations sur les enfants, l’employeur aussi, qui peuvent être importantes, qui peuvent avoir des conséquences faramineuses, parce que quand on est dans des sujets un peu chauds eh bien il y a des gens qui peuvent débarquer chez vous.

Luc : Ne serait-ce qu’appeler son employeur pour pourrir la personne devant son employeur et causer des troubles. Personne n’a envie que son patron se fasse appeler tous les quatre matins par des gens qui disent : « Telle personne c’est un salopard. » On sait que ce n’est pas très bon.

Manu : Le sujet d’actualité, parce qu’il vient de se passer tout cela en Allemagne, au niveau des hommes politiques. Il y un petit jeune qui s’est permis de lâcher pas mal d’informations.

Nico : Il a récupéré beaucoup de données sur les partis politiques, en particulier les membres des partis politiques allemands, sauf de l’extrême droite parce que cette personne était quand même plutôt à forte connotation…

Manu : Antisémite et raciste.

Nico : Antisémite. Voilà, tout ça et aussi tout ce qui était du domaine du divertissement. Il y a des youtubeurs ou autres qui se sont aussi retrouvés dedans, sur les scandales d’argent, de combien ils payaient, combien ils gagnaient, comment ils achetaient des jeux, etc. ; ça a traîné un peu partout.

Manu : Il a « feuilletonné » un petit peu les informations qu’il a fait sortir et il a terminé il semblerait — ce sont les dernières informations — par Angela Merkel et il a révélé son adresse personnelle si j’ai bien compris. Ça s’est terminé au poste, il a été retrouvé, et il semblerait que ce n’était pas un grand pirate, pas un hacker fameux, mais ce qu’on appelle un script kiddie2.

Nico : C’est un noob3, un gamin dans son coin qui a juste utilisé les moyens qu’il avait à disposition. C’est vrai que n’importe qui peut s’amuser à ça sur Internet aujourd’hui. Les données sont accessibles un peu partout. On peut essayer d’envoyer des mails de phishing.

Luc : C’est quoi le phishing ?

Nico : Envoyer un faux mail, en fait, en se faisant passer pour…

Manu : Hameçonnage.

Nico : Hameçonnage en français. Le but c’est d’aller, comme ça, de proche en proche et de récupérer plein de données, en se faisant passer pour x ou y, une connaissance ou autre. Comme ça on fait une grosse base de données derrière.

Manu : On peut aller plus loin. Je sais qu’aux États-Unis il y eu pas mal de sujets qui concernaient le doxing et qui ont été plus loin parce qu’il y a des petits jeunes qui ont utilisé des adresses pour appeler le SWAT [Special Weapons And Tactics] et pour que le SWAT débarque en disant « attention il y a de la drogue chez untel qui habite à tel endroit ».

Luc : Le SWAT, ce sont les groupes d’intervention. Donc ce sont les gros bras musclés avec des gros flingues, qui défoncent les portes.

Manu : Et ça s’est mal passé. Ça s’appelle faire du swatting, c’est une évolution du doxing on pourrait dire, et il y avait des petits malins aux États-Unis qui s’amusaient à faire ça.

Nico : Il y a même eu des morts puisque, quand on est Noir malheureusement aux États-Unis, que le SWAT débarque chez vous !

Luc : Ça attire les balles.

Nico : Ça attire assez les balles et votre espérance de vie chute drastiquement. Malheureusement, il y a eu effectivement des morts à cause de ça.

Luc : Là on a plein de gens qui mettent en œuvre des trucs plus ou moins sophistiqués, mais on peut très bien récolter des informations sans avoir recours à des méthodes de pointe. Simplement là où les gens s’expriment ouvertement sur Internet et peuvent lâcher des tas d’informations. Quand on s’exprime sur Facebook, sur Twitter ou des tas de choses, tout ça peut être plus ou moins public. Quand on raconte sa vie, il y a des infos qui sortent et il suffit d’éplucher les trucs, de remplir les cases et de remplir les trous.

Manu : Faire du recoupage.

Luc : Faire du recoupage, et on reconstruit des trucs comme ça. On peut très bien dire « à tel moment tu as dit telle chose ; je sais que tu travailles dans tel domaine, je sais qu’à tel moment tu as travaillé à tel endroit, etc. » Et potentiellement, en faisant des déductions, on peut retrouver par exemple l’entreprise dans laquelle on bosse ou des choses comme ça.

Nolwenn : Ça c’est le genre de chose qu’on peut refaire très facilement avec différents réseaux sociaux comme Facebook, Twitter, LinkedIn ou d’autres. C’est-à-dire que juste en connaissant l’identité de la personne on peut avoir une idée de son âge ; rien qu’avec le nom-prénom, si on va sur LinkedIn et qu’on sait que c’est bien la personne, on peut savoir quelles études la personne a faites, où est-ce qu’elle a travaillé, quels postes elle a occupés, même où est-ce qu’elle travaille actuellement et essayer de déterminer, éventuellement, son salaire. Par exemple si on veut essayer de faire du chantage ou un truc de ce genre.

Luc : Ce que je trouve intéressant là-dedans c’est qu’il y a plein de gens qui disent qu’ils n’ont rien à cacher ; on avait fait une émission là-dessus il y a très longtemps. En général, quand les gens se font doxer ils ne sont pas contents parce qu’ils voient qu’il y a toute une série d’infos persos, leurs numéros de téléphone, leurs machins et tout d’un coup ils ont l’impression d’être un peu à poil sur Internet. Et soudainement, en général, ces gens se disent : ah oui ! Je pensais n’avoir rien à cacher. J’ai vu ça une fois, quelqu’un qui témoignait de ça, il disait : « Je pensais que je n’avais rien à cacher et puis le type m’a tout affiché. Depuis je fais super gaffe. »

Manu : Vous avez peut-être, chers auditeurs, reçu des mails il n’y a pas longtemps disant « attention, je suis un hacker et j’ai obtenu des informations personnelles sur toi avec ton identifiant, ton mot de passe, je sais ce que tu regardes comme porno et j’ai des photos de toi qui ont été prises sur ta webcam. » Moi j’ai reçu ce mail-là des dizaines de fois, ça passe dans mon répertoire de spams, mais il semblerait qu’il y ait eu des fuites sur Internet de ces données-là et ça correspond un petit peu à cette idée qu’on a des informations sur Internet et il y a des gens qui vont les utiliser pour essayer de nous faire chanter. Donc méfiez-vous tous, c’est en train de circuler en ce moment-même.

7’ 20

Nico : Surtout en ce moment où il y a une énorme une base de données qui a été publiée la semaine dernière, qui contient 600 millions de logins-mots de passe dedans. Donc c’est une grosse collection de plein de trucs qui avait déjà fuité auparavant, plus de 300 ou 600 sites internet. C’est juste un truc colossal. Ces données-là, effectivement, sont réutilisées après pour essayer de se connecter à vos comptes en banque — parce que généralement tout le monde utilise le même mot de passe partout —, donc les comptes en banque, vos adresses mail, essayer de faire du chantage derrière. Du coup, si vous voulez voir si vous êtes impacté, vous pouvez aller sur le site haveibeenpwned.com4.

Manu : C’est en anglais.

Nico : C’est en anglais malheureusement.

Manu : Est-ce que je me suis fait avoir ?

Nico : Est-ce que je me suis fait avoir ? Vous entrez votre adresse mail et ça vous dit tel service a fuité, voilà votre mot de passe, comme ça vous pouvez voir et changer, après, vos données.

Christian : Pour rappel, depuis quelque temps, la loi oblige les entreprises qui ont eu des données fuitées ou des bases de données piratées à informer la CNIL, à le déclarer à la CNIL et aussi à prévenir les personnes qui étaient dans cette base.

Luc : On est obligé de s’appuyer sur leur bonne foi et leur bonne volonté et souvent, il y a beaucoup de retard.

Christian : Effectivement. Mais toutes les semaines on a des annonces, des choses qui sortent et qui sont impressionnantes.

Luc : Là on est quand même dans le domaine du piratage pur et dur.

Manu : Ça veut dire qu’aucune de nos informations personnelles, même si on a les bonnes pratiques, n’est à l’abri d’être révélée sur Internet. Je pense à des trucs encore pires que ça, des trucs institutionnels : la base des passeports et des cartes d’identité, en France, est en train d’être unifiée. Ils veulent mettre des données biométriques dedans et ils nous garantissent que ce ne sera pas volé.

Luc : Elles y sont !

Manu : Sauf qu’on a un cas contradictoire, c’est en Inde, où le milliard d’habitants indiens, de citoyens indiens, est dans une base de données qui a fuité sur Internet.

Nico : Sachant que le système indien était fait par une boîte française, en plus !

Manu : Ah ben, ça rassure !

Nico : Ça risque d’être la même qui fait celle française !

Manu : Il me semble qu’ils avaient d'informations personnelles dedans et d'informations biométriques, et là c’est tout sur Internet. Donc on n’est à l’abri de rien ; il n’y a aucune garantie que nos informations ne sont pas en train de circuler et ne vont pas être utilisées par des trollers qui vont nous pourrir derrière.

Nolwenn : Sachant qu’avec ameli.fr5 qui met en avant le dossier médical en ligne, ce n’est pas forcément très rassurant.

Luc : Je pense qu’il faut arrêter d’être malade tout de suite !

Christian : Rappelons qu’aux États-Unis il y a des bases de données sur les citoyens américains qui contiennent 3000 informations sur chaque Américain. Donc c’est colossal. Ça existe, ça circule, donc il faut essayer de contrôler ce qu’on émet.

Luc : Aux États-Unis il y a des bases sur la quasi-totalité de la population mondiale, ça s’appelle la NSA.

Nico : Ou Google.

[Rires]

Manu : C’est dans l’actualité aussi. On peut penser que le premier citoyen français est dans la base de données de la NSA, en premier lieu, parce qu’il utilise ?

Tous en chœur : Gmail.

Nico : Voilà ! Emmanuel Macron, qui s’est fait avoir à utiliser Gmail de manière personnelle. À priori il ne s’en servait pas pour ses fonctions de président, mais il avait tendance à la distribuer à peu près partout.

Luc : Sur cette question de doxing, pour revenir un peu, parce que là on parle de piratage et, à mon sens, ce n’est pas tout à fait la même problématique, Macron aujourd’hui ou il n’y a pas longtemps, a dit et a rappelé que lui voulait combattre l’anonymat sur Internet en disant, notamment, et c’est une réalité, qu'il y a des gens qui racontent ce qu’ils veulent, harcèlent d’autres personnes. On a eu toute une série de cas, notamment par rapport au féminisme et notamment féminisme et jeux vidéo. Il y a un certain nombre de féministes qui sont attaquées là-dessus et des petits jeunes du forum 18-25 de Jeuxvideo.com qui sont tristement célèbres qui ont fait du harcèlement, une journaliste, Nadia Daam, on en a pas mal parlé dans la presse. Également des femmes qui bossent dans le jeu vidéo, qui font des analyses, etc., et qui déclenchent « c’est devenu lamentable ». Du coup on peut se dire qu’effectivement face à toutes les fake news, à tous ces trucs de harcèlement, l’absence d’anonymat ce n’est plutôt pas mal parce que ça permettrait de mettre la main plus facilement sur ce genre de gens et de les envoyer devant un tribunal.

Nico : Déjà que même avec l’anonymat ils ont tenu à peu près 48 heures avant de finir en garde à vue et à peu près une semaine avant d’être condamnés, donc l’anonymat ne va pas changer grand-chose, en fait. Ce sont quand même des gens simples d’esprit et pas très malins ; ils font beaucoup de conneries et ils se font avoir assez vite.
À l’inverse, l’anonymat est quand même assez bien pratique aussi. Ça permet de pouvoir parler librement, de ne pas s’autocensurer sur certains sujets. Ça permet certains dissidents : on n’a qu’à voir par exemple en Chine où l’anonymat n’existe quasiment plus, il n’y a pas non plus de contre-pouvoir politique ou autre. L’anonymat est aussi pratique pour garantir les droits et devoirs d’un citoyen.

Manu : Ça permet de confronter les idées sans forcément avoir des conséquences néfastes sur sa vie. Ça permet de mettre en avant des choses qu’on ne ferait pas en public. C’est un petit peu comme des gens qui auraient des comportements privés qui ne sont pas forcément tolérés par leur environnement, eh bien on ne doit pas forcément les interdire pour autant.

Luc : Il y a l’exemple d’Ashley Madison qui était un site de rencontres extraconjugales aux États-Unis, qui est tombé et où les infos sont devenues publiques. Dans le tas, il y avait notamment un certain nombre de militaires qui ont été assez stupides pour mettre leur adresse professionnelle, sachant que dans l’armée américaine tu n’as pas le droit de pratiquer l’adultère, c’est interdit et on se fait virer de l’armée pour ça.

Manu : Il y avait des hommes d’Église.

Luc : Oui. Aussi. Il y a eu des gens qui se sont suicidés derrière. Effectivement, on peut vouloir compartimenter sa vie et se dire qu’on peut avoir une sexualité débridée ou avoir n’importe quoi d’autre, peu importe.

Manu : Des opinions politiques hors du commun.

Luc : Des opinions politiques. Avoir un humour de merde.

Nico : Même aussi pour séparer certaines facettes de sa vie publique. Par exemple je pense à Maître Eolas6 qui est un avocat très connu. Tout le monde le connaît au barreau et si on bosse avec lui on va le connaître. Mais il a besoin de séparer sa vie personnelle de sa vie professionnelle, parce qu’il a envie d’avoir…

Luc : Ou sa vie numérique.

Nico : Sa vie numérique et sa vie réelle. On a aussi zythom7 qui est dans le même cas, qui est expert numérique auprès des services de police, donc qui ne doit pas donner son identité ou en tout cas pas facilement. Quand on le connaît bien, on a accès, on sait exactement qui c’est, etc., mais il a besoin de segmenter sa vie pour protéger certaines choses.

Luc : Dans le doxing, justement, c’est l’idée de rendre ces trucs publics. C’est-à-dire que par rapport à ces gens-là, je pense qu’il y a un certain nombre de journalistes qui les connaissent, qui savent, etc. mais qui gardent ce secret. Ça existait déjà avant quand on avait des pseudos et des gens qui écrivaient des livres ; on a un certain nombre d’auteurs…

Manu : Ou des présidents de la République qui avaient des enfants. Tous les journalistes le savaient mais personnes d’autre.

Luc : Par exemple. Il y a plein d’auteurs qui écrivaient sous différents noms parce qu’ils écrivaient des choses radicalement différentes et qu’ils ne voulaient pas mélanger ces éléments-là. Mais le doxing c’est quelqu’un qui a de mauvaises intentions et qui, du coup, va justement faire ce qu’on ne veut pas. En ayant de l’anonymat et en faisant un petit peu attention à ne pas donner trop de détails, etc., on peut minimiser les risques. Il faut quand même se dire que toutes ces informations-là, il faut qu’on soit capable de les assumer un jour ou l’autre.

Manu : Il faut faire comme si tout sera utilisé contre nous à un moment donné. Effectivement il n’y a pas 36 solutions pour s’en protéger, il faut les assumer.

Luc : Quand on a des adversaires, ils vont tout interpréter dans le sens qui nous sera le moins favorable et ça peut arriver, effectivement, ce genre de chose.

Nico : Surtout qu’avec le numérique aujourd’hui, ça excite de partout, n’importe quand, facilement. Et quand une fuite de données arrive, eh bien c’est tout de suite mondial.

Luc : Même dix ou vingt ans après.

Nico : Même dix ou vingt ans après. Le Web n’oublie rien et ça c’est assez dramatique. Avant c’était assez facile. Quand on faisait 20 kilomètres ou 50 kilomètres, c’est bon, on était tranquille ! Eh bien maintenant, il va falloir changer de planète et qu'on commence à coloniser celle d’à côté !

Luc : Du coup on arrête l’informatique, c’est trop dangereux !

Manu : On va habiter dans les bois.

Luc : OK. On se retrouve la semaine prochaine !

Manu : À la semaine prochaine.

Nolwenn : Salut.

Christian : Salut.