Recoupement d'informations en ligne : la CNIL sonne l'alerte
Tout ce que vous publiez sur Internet et les réseaux sociaux peut être exploité pour vous identifier et vous ficher. C'est ce que la CNIL rappelle dans un document instructif et inquiétant sur le Renseignement d'Origine Source Ouverte .
Tout ce que nous publions sur Internet, même le contenu le plus anodin, peut servir à nous identifier et à obtenir des informations très précises sur notre personne, comme notre nom, notre adresse, notre emploi ou encore nos lieux préférés. Publier sous pseudonyme sur différents réseaux et prendre garde à ne pas divulguer d'éléments sensibles ne suffisent pas à empêcher un acteur suffisamment déterminé, et disposant des bonnes techniques, de découvrir notre identité et de collecter un grand nombre d'informations sur notre vie privée. Or si nous sommes nombreux à veiller à ne pas publier de données très personnelles comme une adresse physique ou un numéro de téléphone, nous oublions que d'autres informations peuvent être utilisées pour nous identifier et même nous ficher.
Et c'est dans le cadre de sa mission d'information et de sensibilisation du grand public à l'utilisation des outils numériques que la Commission nationale de l'informatique et des libertés (CNIL) vient justement de publier un article sur le Renseignement d'Origine Source Ouverte (ROSO), plus connu sous son appellation anglaise OSINT, pour Open Source INTelligence. Une publication très instructive accompagnée d'une vidéo qui explique les mécanismes exploités par ces méthodes d'investigation.
OSINT : l'art du croisement d'informations publiques
Ces acronymes recouvrent un ensemble de techniques de recherche très diverses, qui reposent toutes sur le principe d'exploiter des sources accessibles publiquement afin de collecter et de croiser un grand nombre de données, dans le but d'obtenir des informations précises sur une personne ou une organisation. Comme l'explique la CNIL, ces méthodes d'investigation sont notamment employées par les journalistes, les militants, les acteurs de la lutte contre la fraude et la corruption, et sont particulièrement utiles pour aider à déconstruire les fausses informations ou révéler des faits d'intérêt public, comme des malversations financières, des défaillances graves des pouvoirs publics ou des pratiques illégales des entreprises. Mais comme tous les outils, ils peuvent être employés à des fins malveillantes contre des personnes ou des organisations, pour les compromettre, les faire chanter, usurper leur identité ou même leur nuire physiquement.
La force de ces techniques de recherche ne repose pas sur le fait de dérober des documents ou des informations confidentielles en piratant des bases de données sensibles, mais sur la capacité à croiser et recouper des données en apparence inoffensives et facilement accessibles. Par exemple, une photographie postée sur un réseau social, même si elle ne montre aucune personne identifiable, peut permettre de localiser l'endroit où elle a été prise, grâce à des éléments présents sur l'image tels que des immeubles ou des monuments reconnaissables, ou à l'aide des métadonnées de géolocalisation du fichier s'il en contient. Un pseudonyme, qui offre théoriquement un relatif anonymat sur Internet, peut permettre de déterminer que plusieurs comptes appartiennent à une seule et même personne lorsqu'il est utilisé sur des plateformes et réseaux différents. De la même façon, il existe aujourd'hui des outils informatiques en libre accès permettant de trouver instantanément tous les sites et services en ligne sur lesquels sont utilisés une même adresse électronique.
Ces méthodes, qui ne nécessitent pas de compétences techniques particulières comme le montre la vidéo de la CNIL, deviennent de plus en plus efficaces et faciles à mettre en œuvre, à mesure que les sources d'informations ouvertes se multiplient. À côté des réseaux sociaux numériques proprement dits, de nombreuses entreprises ou organisations s'appuient sur des fonctions de réseaux sociaux pour générer de l'engouement autour de leurs produits et services. Ainsi, la plupart des applications sportives, en plus d'offrir de simples outils de mesure et de suivi d'activité physique, intègrent désormais des fonctions de partage des performances de l'utilisateur, comme le parcours géolocalisé d'une course par exemple. Ces possibilités ne sont pas en lien direct avec l'objet de l'application, aider un individu à maîtriser son activité sportive ; elles ne sont que des leviers marketing permettant à l'entreprise qui commercialise le service de se faire connaître, en exposant au passage des données sensibles sur ses clients.
Ces fonctions peuvent bien sûr avoir des vertus, comme aider un utilisateur à entretenir sa motivation pour pratiquer une activité sportive en partageant ses progrès, et dans ce cas précis il lui sera souvent possible de restreindre la visibilité des données exposées à ses seuls amis ou proches, afin de limiter les risques. Mais d'autres applications, dont la fonction première est justement d'exposer publiquement les utilisateurs, peuvent être facilement exploitées à ces fins d'investigation insidieuse. C'est le cas notamment de LinkedIn, le réseau social conçu pour aider ses utilisateurs à créer et à étendre leur réseau de relations professionnelles et qui permet de récupérer très facilement des CV complets, avec de nombreux détails sur leur parcours, leurs expériences, leurs passions voire leurs opinions. Un réseau presque incontournable pour qui cherche un emploi dans certains domaines et qui incite ses membres à se créer un profil attractif et à être le plus actif possible en multipliant les publications, et donc les informations...
Protection de l'identité en ligne : les conseils de la CNIL
Même avec toute la bonne volonté du monde, il est devenu presque impossible d'être totalement absent de l'espace numérique et ces injonctions à la surexposition de soi ne vont pas aller en diminuant. Face à cette tendance, le travail d'information comme celui de la CNIL ou d'autres organismes est donc salutaire, et offre quelques bons conseils et rappels utiles pour limiter les risques auxquels on s'expose son identité et sa vie privée sur Internet.
Tout d'abord, séparer autant que possible ses activités sur les différentes plateformes numériques, en publiant du contenu différent sur chacune d'entre elles et en utilisant des identifiants de connexion uniques si possible. À ce sujet, la fonction de création d'alias peut s'avérer particulièrement efficace si votre fournisseur de messagerie électronique la propose.
Ensuite, régler les paramètres de confidentialité disponibles sur chaque plateforme à leur niveau le plus strict, pour limiter la visibilité de ses publications aux seules personnes que l'on connaît vraiment (exit les "amis d'amis"). Et pour partager du contenu personnel auprès de sa famille ou de ses proches, comme la vidéo des premiers pas du petit dernier ou des photos de vacances, privilégier des applications de communication privée plutôt que des réseaux sociaux, comme les services de messagerie sécurisées.
Enfin, le meilleur moyen de limiter les risques pour sa vie privée, reste tout simplement de publier moins de données et de contenu en ligne. N'oubliez jamais que "publier" signifie "rendre public" et donc accessible à tous. Et sur Internet, "tous" veut réellement dire "tout le monde". D'autant que le réseau a une mémoire infinie.