Nous avons évoqué dans l’article précédent les technologies d’OSINT qui permettent grâce à la pléthore d’informations disponibles en ligne de déduire des informations, d’enrichir des données existantes et donc de reconstruire tout un scénario ou une identité. Cet ensemble de techniques peut être utilisé pour des finalités variées et légitimes comme le cyberjournalisme et la lutte contre le blanchiment d’argent, mais dans certains cas cela peut présenter un risque pour les droits et libertés des personnes. Dans cet article, nous allons voir comment concrètement cela peut avoir un impact sur la vie privée en parcourant différents exemples notamment en relation avec les réseaux sociaux. Une fois les risques identifiés, nous nous intéresserons aux moyens de les limiter pour éviter toute utilisation malintentionnée de vos données personnelles.
Exemples de possibilités offertes par l’OSINT
Avec les techniques OSINT il n’est plus innocent de donner son prénom, son numéro de téléphone ou toute autre information personnelle, mais jusqu’à quel point ?
Scénario N°1 : Numéro de téléphone
Il arrive fréquemment que l’on donne son numéro de téléphone à une autre personne pour des raisons privées ou professionnelles. Mais grâce à l’OSINT et les données que tout un chacun partage sur internet, on peut facilement en savoir plus sur vous. En effet, si vous avez un compte de messagerie (Whatsapp, Signal, Skype, etc.) souvent lors de la création de votre compte vous y avez associé une photo de profil. Or dans la plupart de ces applications, cela implique implicitement que quiconque a votre numéro de téléphone peut accéder à votre photo s’il insère votre numéro de téléphone dans ses contacts (sauf changement des paramètres par défaut). Voyons donc le cheminement OSINT suivant.
Une fois la photo acquise, grâce à des bases de données de reconnaissance faciale on peut remonter à d’autres photos de votre personne puis grâce à des moteurs de recherches de type Google Images on peut retrouver vos réseaux sociaux et donc votre identité.
Donc à partir de votre numéro de téléphone uniquement et l’OSINT, on peut remonter à votre identité complète et vos réseaux sociaux.
Scénario N°2 : Pseudo ou adresse e-mail
À partir de l’adresse e-mail, en interrogeant des outils OSINT particuliers, on peut retrouver les sites internet où cette adresse e-mail est enregistrée et de nouveau retrouver la personne.
Il existe également des bases de données de pseudo et donc si vous utilisez un pseudo identique partout, le lien entre vis différents comptes pourrait être fait :
À partir de votre pseudo aussi, l’OSINT permet de remonter à votre identité.
Exemple d’une recherche sur le pseudo « nounours24 »
Scénario N°3 : Géolocalisation / GEOINT
Vous connaissez peut-être le jeu Geoguessr (https://www.geoguessr.com/) qui consiste à partir d’une photo Google Street View de deviner l’endroit grâce à des connaissances de terrain (types de signalisations routières, topographie du terrain, etc.).
Ce mécanisme trouve son pendant dans les technologies OSINT et s’appelle GEOINT il permet, vous l’aurez compris de retrouver un endroit à partir de photos/vidéos/cartes etc.
Même une photo d’intérieur de votre chat devant une fenêtre pourrait révéler votre adresse.
Jeu Geoguessr : Vous devez deviner où se situe cet endroit
De même toute information partagée sur une quelconque plateforme peut permettre de compléter les points d’ombre permettant la découverte d’une adresse (exemple : « Il me faut 40mn pour arriver au travail ».).
Autre exemple :
- Une photo d’un matricule d’avion permet de connaître tous ses trajets passés et futurs et même sa position en temps réel grâce aux bases de données ad-hoc (ex : www.flightaware.com).
- Une trace GPS de vos exploits de jogging ou de cyclisme permet de connaître vos habitudes de déplacement en plus de vos adresses.
À noter qu’il y a beaucoup de sites proposant des cartes, des photos de rues, des photos aériennes et des photos satellites ; Google Street View, Apple Plans, Bing Maps, Open Street Maps et geoportail.lu pour le Luxembourg ne sont là que quelques exemples.
L’intelligence artificielle - Quel est le rôle de l’IA dans le cadre de l’OSINT ?
Des outils intégrant de l’intelligence artificielle étant désormais à la portée du grand public, chacun peut analyser des données récoltées grâce à l’OSINT de manière à en extraire des données complémentaires en un temps record. Il est même possible de collecter des informations sans aucune compétence OSINT.
Les éditeurs de ces solutions ont bien compris les risques d’abus et intègrent des « garde-fous » pour éviter leur utilisation dans le cadre de recherches de données personnelles. Ceci démontre bien que si une société crée un outil OSINT à base d’IA dans un cadre législatif moins restreint, l’accès à des données déduites grâce à l’OSINT sera encore plus facilité.
Requête effectuée sur ChatGPT, malgré les garde-fous de OpenAI on obtient déjà des résultats
Exemple d’activation de garde-fou
Si certains moteurs de recherche ou outils IA ont des garde-fous, c’est qu’il y en a d’autres qui n’en ont pas et ceux-là pourraient exploiter les données sans limitations.
Exemple de moteur de recherche spécialisé dans l’OSINT
Si à l’IA on associe d’autres technologies, on obtient des situations très dommageables pour les droits et libertés des personnes. Récemment, des étudiants de Harvard en on fait la démonstration en associant IA + smartphone + lunettes vidéos de Meta/Rayban. Le dispositif ainsi créé permet d’authentifier toute personne croisée dans la rue et de révéler en temps réel des informations sur celle-ci.
Divers
Vous l’aurez compris, la masse d’information récoltée désormais par les réseaux sociaux et services en ligne et surtout l’habitude fortement suggérée par ceux-ci de rendre ces données publiques permettent grâce aux techniques d’OSINT de dévoiler la vie privée d’une personne ciblée. Voici encore quelques exemples non exhaustifs de ce qui est possible de déduire ou trouver :
- Habitudes de sommeil (en analysant les statuts)
- Heure exacte à laquelle a été prise une photo (chronolocalisation, grâce à la position du soleil par exemple)
- Rapport détaillé de votre activité sur les réseaux sociaux (votre position, ce que vous avez posté, édité, etc.)
- Un post ou une page internet effacé (tout est archivé d’une certaine manière sur internet)
- Vue 3D et mesures d’un bâtiment (grâce aux photos aériennes et/ou satellites)
- Retrouver la trace d’une transaction bitcoin
- Etc.
Comment l’OSINT peut compromettre l’intimité
Bien que l’OSINT soit un outil puissant pour de nombreuses applications légitimes, il présente également des risques significatifs pour l’intimité des individus. Voici quelques manières dont l’OSINT peut menacer la vie privée:
Accumulation et déduction de données personnelles :
Les techniques d’OSINT permettent de rassembler des informations éparses sur une personne à partir de différentes sources. Par exemple, une adresse e-mail trouvée sur un forum peut être recoupée avec un profil LinkedIn, un compte Facebook, ou des photos publiées sur Instagram. Des détails apparemment anodins, comme une photo de vacances ou une mise à jour de statut, peuvent révéler des informations sensibles telles que l’emplacement, l’état de santé, ou la situation financière. Cette accumulation et déduction de données peut révéler des aspects très intimes de la vie d’une personne lorsque le tout est combiné. Ces informations peuvent donc finir en possession d’individus ne faisant pas partie du cercle privé/familial de la personne ciblée.
Profilage et analyse comportementale :
En analysant les publications sur les réseaux sociaux, les habitudes de consommation, ou les interactions en ligne, il est possible de dresser un profil détaillé des préférences, opinions, habitudes, et même de l’état de santé mentale d’une personne. Ces informations peuvent être exploitées à des fins malveillantes, comme le harcèlement, le chantage ou l’ingénierie sociale qui consiste à soutirer des nouvelles informations d’une personne en exploitant les données récoltées auparavant.
Exemple de tentatives d’extorsion avec pour base l’OSINT
Le doxxing :
Le “doxxing” consiste à divulguer des informations personnelles (comme l’adresse, le numéro de téléphone, ou des documents privés) d’une personne en ligne, souvent dans le but de l’intimider ou de lui nuire. Les techniques d’OSINT sont couramment utilisées pour recueillir ces informations à partir de sources ouvertes, augmentant ainsi le risque pour les individus d’être victimes de ce type d’attaque. Cette méthode est souvent utilisée contre des activistes ou des journalistes mais tout le monde peut être visé.
Le spear-phishing
Le spear-phishing (ou hameçonnage ciblé) est une variante du phishing. Contrairement au phishing général, qui envoie des messages à un grand nombre de personnes sans discrimination, le spear-phishing cible spécifiquement une personne ou une organisation particulière. Les cybercriminels font des recherches sur leurs cibles grâce aux techniques d’OSINT pour personnaliser leurs messages, rendant l’attaque beaucoup plus crédible et difficile à détecter. Par exemple, ils peuvent se faire passer pour un collègue, un supérieur hiérarchique ou un fournisseur avec qui la victime a déjà des relations, augmentant ainsi les chances que la victime tombe dans le piège. En 2024, Caritas Luxembourg a été victime d’une version particulière de ce genre d’attaque appelée « executive phishing » où le but est de se faire passer pour un responsable de l’organisation pour forcer un employé à faire des opérations en dehors des procédures.
Executive phishing chez Caritas
Mesures pour protéger son intimité
Pour se protéger contre les risques liés à l’OSINT, il est crucial de prendre certaines précautions dont les plus évidentes sont détaillées ci-dessous.
Choisir avec prudence ce qu’on partage sur les services en ligne
Pour ne pas permettre de lier différents comptes en ligne destinés à des publics différents, ne postez pas la même photographie/vidéo sur ces différentes plateformes. Ne divulguez pas publiquement des informations pouvant permettre de vous identifier (adresse, documents d’identité, plaque d’immatriculation, cartes d’embarquement, etc.). Ceci est également valable pour les informations que vous partagez concernant des tiers, ne les exposez pas au risque OSINT inutilement.
Adapter les paramètres de confidentialité
Soyez conscient du public ayant accès à ce que vous publiez sur les réseaux sociaux et configurez vos paramètres de confidentialité pour restreindre l’accès à vos données (adresse, anniversaire, trajets, photos, statuts, etc.) pour ne pas les laisser accessibles à tout un chacun. Cela peut être long et fastidieux car ce n’est pas dans l’intérêt des GAFAM que vous les changiez mais c’est dans le vôtre.
Ne pas réutiliser systématiquement les identifiants
Nous l’avons vu, il existe des bases de données permettant de retrouver si un pseudo/email est utilisé par plusieurs services internet, il est donc recommandé d’utiliser au moins 2 adresses e-mail, une pour votre sphère privée et une autre pour le reste. De la même façon, changez de pseudo et de mots de passe en fonction du type de service en ligne, cela évitera de remonter jusqu’à d’autres informations vous concernant si une des identités est compromise. Si possible, utilisez des services gratuits d’adresses e-mail temporaires pour les sites où vous ne souhaitez pas laisser de traces. Si vous avez des soucis à gérer ces différentes « identités », il est recommandé d’utiliser un gestionnaire de mot de passe.
Bien choisir les services
Il est important de rappeler que les services en ligne hébergés en Europe sont soumis au RGPD et que celui-ci exige un niveau de sécurité minimum et une garantie de confidentialité de vos données personnelles. C’est pourquoi il faut - quand c’est possible - éviter de partager des données sur des plateformes n’étant pas soumises à des garanties similaires. De même, il peut être judicieux de confier vos données les plus sensibles (ex. : vos documents personnels en cloud) à certains services spécialisés dans le respect de la vie privée.
Contrôler son empreinte numérique
Surveillez régulièrement votre empreinte numérique, effectuez des recherches sur votre nom pour voir quelles informations sont disponibles en ligne et faites les modifications nécessaires pour supprimer ou modifier celles qui sont trop révélatrices. De même, demandez à un proche ce qu’il voit de vous, il peut être difficile de réaliser ce qu’on partage sur un réseau social.
Demander l’application de vos droits
Pour tout responsable du traitement soumis au RGPD, vous pouvez faire valoir vos droits et dans le cadre du risque OSINT le droit à l’effacement ou au déréférencement sont particulièrement pertinents. N’hésitez pas à demander à Google de retirer des résultats de recherche liés à votre identité si vous ne les souhaitez pas.
Formulaire de demande de suppresion de données à caractère personnel
Sensibiliser aux risques
Informez-vous et informez les autres - particulièrement les personnes vulnérables - sur les risques liés à l’OSINT et les meilleures pratiques pour protéger votre vie privée.