Qu’est-ce que le doxxing ?
Le doxxing consiste à publier des informations personnelles sur une personne dans le but de révéler son identité, de l’embarrasser publiquement ou bien d’assouvir une vengeance personnelle ou politique. Le terme « doxxing » trouve sa source dans l’expression « dropping docs », c’est-à-dire « publication de documents ». Les attaques de doxxing visent à rendre publiques des informations personnelles, voire l’identité de la personne visée.
En tant qu’attaque, le doxxing a bien évolué depuis son apparition dans les années 1990. Se faire « doxxer », c’était quand l’un de vos rivaux (un joueur ou un pirate par exemple) publiait des documents pour révéler votre véritable identité. L’abréviation « docs » s’est petit à petit transformée en « dox » (puis « doxx ») et le doxxing n’est désormais plus réservé aux pirates ayant recours à des recherches sur le dark web pour retrouver des informations compromettantes sur leurs concurrents.
La définition exacte du doxxing reste sujette à interprétation. Que ce soit un gamer qui révèle la pseudo-identité d’un de ses rivaux ou un journaliste qui révèle la véritable identité des personnes se cachant sous un pseudo TikTok et qui met au jour des activités frauduleuses ou des décisions politiques, ce qui était auparavant une action effectuée la plupart du temps dans un but malveillant est désormais plus nuancé.
De nos jours, n’importe qui peut prétendre avoir été doxxé. Le simple fait de mettre face à ses responsabilités une personne dans une position de pouvoir peut désormais être vu comme une forme de doxxing, ce qui ne correspond plus tout à fait au sens original de ce terme. Et parmi la génération Z, on entend parfois quelqu’un dire qu’il ou elle s’est doxxé(e) : « J’ai donné trop d’informations personnelles ou j’ai publié un selfie pas vraiment flatteur. Je me suis un peu doxxé(e). »
Avec Internet, n’importe qui peut publier ce qu’il veut, que ce soit un employé en colère, un rival jaloux ou un pirate. Que l’on considère le doxxing comme une forme de cyberharcèlement ou comme un nouvel outil permettant de mettre quelqu’un face à ses responsabilités, cette méthode présente un potentiel important de dérapage.
Plus simplement, la pratique du doxxing est tout simplement effrayante, car elle nous met face à la vulnérabilité de notre identité. Avec quelques outils simples de pistage en ligne ou une recherche discrète de l’adresse IP d’une personne, le doxxeur peut révéler des informations que même les bonnes pratiques de navigation privée et de protection de la vie privée ne peuvent pas toujours préserver.
Le doxxing peut être utilisé comme un outil de responsabilisation ou simplement comme un moyen d’exercer une vengeance. Le terme est aussi utilisé pour faire référence au fait de publier trop d’informations sur les réseaux sociaux.
Pourquoi chercherait-on à vous doxxer ?
Quelqu’un peut vouloir vous doxxer pour se venger, pour vous mettre face à vos responsabilités ou tout simplement parce que cette personne s’est sentie offensée par ce que vous avez dit ou fait. Le doxxing peut être motivé par une volonté de justice sociale ou par de la simple agression, en fonction de la perspective de chacun. Normalement, vous vous retrouvez doxxé si quelqu’un cherche à se venger de vous.
N’importe qui peut être doxxé si des informations à son sujet sont accessibles en ligne. Les célébrités, les personnalités publiques et les hommes et femmes politiques sont des cibles classiques de doxxing. Les sites web de doxxing peuvent aussi parfois accuser à tort certaines personnes d’avoir exprimé une opinion controversée, voire une vérité un peu gênante. Le groupe de pirates Anonymous a recours au doxxing depuis 2011, le plus souvent dans un esprit citoyen.
Peu importe que les documents utilisés dans l’attaque de doxxing soient vrais ou n’aient pas été manipulés, cette simple attaque peut mettre en danger la victime, en particulier si son identité numérique révèle d’autres informations comme sa localisation géographique. Le fait de révéler des informations personnelles comme un numéro de téléphone, une adresse postale ou autre information chère aux courtiers en données peut aussi déboucher sans le vouloir sur un vol d’identité.
Le doxxing est-il illégal ?
Le caractère légal du doxxing dépend bien entendu des moyens utilisés pour obtenir les informations, mais aussi des conséquences de cette attaque. La législation sur le doxxing aux États-Unis peut définir le doxxing comme un crime si les données ont été obtenues de façon illégale ou si l’attaque de doxxing est liée à du harcèlement ou à du cyberharcèlement.
Plusieurs cas de doxxing ont mal tourné aux États-Unis : un homme est décédé d’un infarctus après la publication en ligne de son adresse et l’intervention d’une équipe de police de choc à son domicile. La personne responsable du doxxing de cette adresse a été condamnée à 5 ans de prison, même si ce n’est pas elle qui a appelé la police.
Est-il illégal de révéler les informations personnelles de quelqu’un ? Pas vraiment. Si les informations sont accessibles publiquement, si elles sont acquises de façon légale et si elles ne font pas partie d’un cas plus global de harcèlement, il n’est pas illégal de doxxer quelqu’un.
Mais en règle générale, le doxxing n’est pas autorisé sur les réseaux sociaux comme Instagram, Facebook, Twitter et Reddit. Les actes de doxxing enfreignent leurs conditions d’utilisation et peuvent déboucher sur une expulsion.
Types de doxxing
Il existe de nombreuses formes de doxxing. Il est possible de doxxer quelqu’un via son numéro de téléphone, qui sert alors de passerelle vers d’autres informations plus sensibles. Il existe aussi un type de doxxing qui consiste à révéler l’adresse IP, une information cruciale qui permet de localiser la personne concernée. Mais toutes les techniques de doxxing poursuivent le même objectif : obtenir le plus d’informations possible sur la personne visée.
Voici comment peuvent commencer les attaques de doxxing :
-
Réseaux sociaux
Vous pouvez harceler quelqu’un sur Facebook, Twitter, TikTok ou sur n’importe quelle plateforme de réseaux sociaux pour récupérer des informations à son sujet. Si les paramètres de confidentialité ne sont pas assez stricts, il est possible de retrouver le lieu de résidence de quelqu’un, son nom complet, son numéro de téléphone, son lieu de travail, les noms des membres de sa famille et même le nom de son chien.
-
Doxxing d’adresse IP
Combiné à différentes techniques d’ingénierie sociale, on parle de doxxing d’adresse IP quand le doxxeur découvre l’adresse IP de sa victime et l’utilise pour pousser son fournisseur d’accès à Internet à révéler d’autres informations privées.
-
Suivi des alias
En mettant en lien un même alias sur plusieurs sites web, le doxxeur peut arriver à une image assez précise de la personne qu’il cherche à doxxer. Cette technique est particulièrement efficace si le doxxeur essaie de dévoiler la véritable identité qui se cache derrière ce pseudonyme.
-
Phishing
Le phishing (hameçonnage) consiste à tromper une personne pour qu’elle consulte un site web malveillant ou qu’elle clique sur un lien infecté. Comme le spear phishing (aussi appelé harponnage) s’attaque à une personne en particulier, cela peut déboucher sur du doxxing. Le phishing se fait souvent via e-mail, mais il existe aussi du smishing (phishing par SMS) et du vishing (phishing vocal).
-
Courtiers en données
Les courtiers en données, qui accumulent d’énormes quantités de données parfois très personnelles, sont prêts à les revendre à n’importe qui. On pourrait croire que les courtiers en données utilisent des spywares (logiciels espions) ou autres enregistreurs de frappe pour collecter vos données, mais en réalité, ils recomposent votre identité à partir de toutes les informations publiques et de toutes vos activités sur Internet.
-
Recherche inversée du numéro de téléphone
Si le doxxeur met la main sur un numéro de téléphone, il peut récupérer bien d’autres informations. Les applications et les sites web qui proposent la recherche inversée du numéro de téléphone promettent de révéler l’adresse postale ou au moins la ville dans laquelle est enregistré le numéro.
-
Recherche WHOIS
WHOIS est un outil disponible gratuitement et qui identifie la ou les personnes qui détiennent le nom de domaine d’un site web. La plupart de ces informations (par exemple le nom complet, les numéros de téléphone et les adresses) peuvent être définies comme étant privées. Mais certains propriétaires de domaines ne définissent pas systématiquement ces protections quand ils enregistrent leur site web.
Les doxxeurs utilisent les informations personnelles disponibles en ligne pour deviner qui vous êtes et n’importe quel élément de données peut être utilisé dans une attaque de doxxing.
Exemples : cas célèbres de doxxing
La plupart des cas célèbres de doxxing concernent des célébrités ou des personnalités politiques, et parfois des personnes peu connues. Dans certains cas, la victime de l’attaque de doxxing est aussi victime d’abus en ligne. Dans d’autres cas, il arrive que la situation se renverse et que le doxxeur se retrouve lui-même doxxé.
Parmi les célébrités qui ont été doxxées, on retrouve par exemple Kim Kardashian, Jay Z, Cardi B, JK Rowling ou encore Donald Trump. Dans le cadre d’un incident de doxxing impliquant des personnalités connues, certaines célébrités ont vu publiés en ligne leur numéro de sécurité sociale, le montant de leurs crédits, leurs numéros de carte de crédit, leurs informations bancaires, et même certains crédits automobiles.
Le cas de Sunil Tripathi est un exemple tragique de doxxing : cet homme s’est suicidé après avoir été doxxé et désigné par erreur comme étant le poseur de bombes de Boston. Et ce ne sont pas que des citoyens inquiets qui ont publié la photo de Sunil Tripathi, affirmant qu’il était l’auteur de ces attaques. Des journalistes ayant pignon sur rue en sont eux aussi arrivés à la même conclusion.
Lors d’une tentative ratée de nommer publiquement les personnes racistes impliquées dans une marche néonazie sur le campus, des internautes ont doxxé par erreur Kyle Quinn, un professeur de l’Université de Virginie. Une fois sa photo associée à celle d’un manifestant vêtu d’un t-shirt Arkansas Engineering et portant une torche à la main, une nuée de tweets s’est abattue sur le professeur, exigeant son renvoi immédiat.
Le swatting est l’une des formes les plus extrêmes de doxxing, qui peut transformer les révélations sur Internet en situations bien plus dangereuses dans la réalité. Le swatting est une forme de doxxing dans laquelle les agresseurs recherchent l’adresse du domicile de la victime afin de signaler un crime qui n’a pas eu lieu. La police, et parfois même les forces d’intervention spéciale (les SWAT aux États-Unis, d’où le terme) frappent à la porte de cette personne pour l’interroger.
Autre exemple de doxxing qui a mal tourné : celui du joueur de baseball Curt Schilling, qui a doxxé deux utilisateurs anonymes de Twitter qui envoyaient des messages d’insultes à sa fille. Ces messages étaient si grossiers, qu’une des deux personnes impliquées en a perdu son emploi.
Que faire si vous êtes victime de doxxing
Alors, que faire en cas de doxxing ? Vous pouvez prendre quelques précautions pour vous protéger du harcèlement, par exemple en demandant la suppression des informations privées sur les sites qui les hébergent.
Si vous êtes victime de doxxing, voici ce que vous devez faire :
-
Signaler le cas de doxxing à la police.
Le doxxing peut être considéré comme un cybercrime là où vous résidez et doit être pris au sérieux. Signalez le cas de doxxing avant qu’il ne dégénère, surtout si vous devez signaler un vol d’identité suite à la fuite de vos informations.
-
Signaler le doxxing sur les réseaux sociaux.
Facebook, Twitter et tous les autres réseaux sociaux sur lesquels ont lieu des cas de doxxing doivent proposer un moyen simple de signaler le problème et de supprimer les informations concernées. Utilisez les options de signalement de doxxing à votre disposition, par exemple « Signaler un abus » ou « Signaler un harcèlement ». Cette simple action peut parfois éviter que le harcèlement aille plus loin et que d’autres attaques de doxxing ne se produisent à l’avenir.
-
Changer votre nom d’utilisateur et votre mot de passe.
Les doxxeurs se nourrissent de toutes les miettes d’informations qui peuvent les conduire à d’autres données. En changeant de nom d’utilisateur, vous les coupez de tout accès à votre présence numérique. Si le doxxeur a réussi à accéder à vos comptes, il est crucial de changer aussi vos mots de passe.
-
Penchez-vous sur les informations que le doxxeur détient à votre sujet.
Est-ce que les informations doxxées étaient accessibles publiquement sur un réseau social ? Vous devriez être en mesure de savoir d’où venaient les informations doxxées. Vérifiez vos paramètres de confidentialité et votre exposition publique en modifiant les autorisations sur les réseaux sociaux. Vous pouvez aller jusqu’à envisager de créer un nouveau compte.
-
Informez votre banque.
Cette étape peut sembler inutile, mais le fait de signaler l’attaque de doxxing à votre banque peut l’aider à surveiller votre compte pour voir s’il ne présente pas de transactions suspectes ni d’activités inhabituelles. Plusieurs attaques de doxxing ont conduit à la divulgation d’informations financières d’ordre privé, par exemple des numéros de carte de crédit ou autres informations bancaires.
Comment se préserver du doxxing
Le doxxing est essentiellement axé sur la révélation d’informations. La façon dont vous partagez vos informations en ligne, la façon dont vous choisissez vos mots de passe et la façon dont vous gérez les comptes obsolètes affecte votre niveau de vulnérabilité face au doxxing. Toutes les tactiques anti-doxxing présentées ici vous aideront à éviter les expositions non souhaitées, mais elles peuvent aussi vous aider à éviter les cyberharceleurs et l’usurpation de votre numéro de téléphone.
Voici quelques-uns des meilleurs moyens d’empêcher le doxxing :
-
Utilisez des mots de passe forts.
Améliorez votre sécurité personnelle en utilisant des mots de passe forts que vous n’oublierez pas sur chacun de vos comptes. Si le doxxeur réussit à accéder à un compte, il peut en général accéder aux autres. Pour éviter cela, utilisez toujours un mot de passe unique avec authentification à deux facteurs pour vous connecter.
-
Configurez des alertes en cas de problème.
Utilisez un outil de surveillance des données capable de vous alerter si vos données personnelles font l’objet d’une fuite de données.
-
Connectez-vous via un VPN.
Les raisons qui peuvent inciter à l’utilisation d’un VPN sont nombreuses, par exemple pour protéger la confidentialité de votre navigation des curieux et des doxxeurs potentiels. Mais les bienfaits de l’utilisation d’un VPN vont bien au-delà de la simple prévention face aux doxxing.
-
Réfléchissez avant de publier sur Internet.
Le fait de partager trop d’informations sur les réseaux sociaux accroît le risque de doxxing. Réfléchissez à qui peut voir le contenu et vérifiez si vos données Facebook ont fait l’objet d’une fuite de données.
-
Fermez les comptes obsolètes.
De bonnes pratiques d’hygiène numérique peuvent aussi vous aider à éviter le doxxing : supprimez les comptes de messagerie que vous n’utilisez plus pour assurer la sécurité de vos e-mails, supprimez les vieux comptes sur les réseaux sociaux et quittez les groupes auxquels vous ne participez plus.
Protégez vos informations personnelles avec AVG BreachGuard
Les doxxeurs s’accrochent aux moindres éléments d’information qu’ils trouvent sur vous en ligne. Ne laissez pas vos données personnelles tomber entre de mauvaises mains ou arriver jusqu’au dark web, où les pirates peuvent les retrouver et les utiliser contre vous.
AVG BreachGuard suit toutes les nouvelles fuites de données et vous alerte si l’une d’entre elles concerne vos données personnelles. Il vous aide ensuite à en assurer la sécurité avant qu’elles ne tombent entre de mauvaises mains. Évitez que les doxxeurs et autres pirates ne mettent la main sur vos informations personnelles avec AVG BreachGuard.