Le Doxxing, c’est quoi ? Comment s’en protéger ?

Définition du Doxing

Cette attaque est utilisée pour harceler, intimider ou nuire à la réputation de la victime.

Le Doxing, c’est quoi exactement ?

Bien que le terme « doxing » soit relativement nouveau, le concept de révéler des informations personnelles sans consentement existe depuis longtemps, mais a pris une ampleur considérable avec l’avènement d’Internet et des réseaux sociaux.

Le mot « doxing » trouve son origine dans les années 1990 parmi les cybercriminels, à une époque où l’anonymat en ligne était très prisé. Les conflits entre pirates informatiques aboutissaient souvent à la publication de « documents » (ou « docs ») contenant des informations personnelles sur leurs adversaires, auparavant connus uniquement sous des pseudonymes. Le terme « dox » est ainsi devenu une abréviation de « documents », et « doxing » s’est imposé pour désigner la révélation de ces informations.

Les méthodes et les objectifs du doxxing

Le doxing utilise diverses méthodes pour collecter des informations, notamment le suivi des pseudonymes en ligne, les recherches WHOIS pour des noms de domaine, l’hameçonnage (phishing), l’exploration des comptes de réseaux sociaux et la consultation des registres gouvernementaux. Les informations divulguées peuvent inclure :

• Adresses personnelles
• Numéros de téléphone
• Photos privées
• Informations financières
• Correspondances privées
• Détails embarrassants ou compromettants

Les motivations derrière le doxxing sont variées. Certains individus cherchent à se venger ou à punir ceux avec qui ils sont en désaccord, tandis que d’autres veulent simplement nuire ou humilier leurs victimes. Dans certains cas, les doxers prétendent agir pour « corriger un tort » ou exposer une intention cachée au grand jour.

Les conséquences du doxing peuvent être graves et variées. Au-delà du simple embarras, les victimes peuvent faire face à un harcèlement intensif, à des menaces physiques, et à des violations de leur vie privée qui peuvent affecter leur sécurité personnelle et professionnelle. Les célébrités, les politiciens, les journalistes, et même les personnes ordinaires peuvent se retrouver sous le feu des projecteurs de manière involontaire et dangereuse.

Selon une étude récente, 23% des utilisateurs d’Internet aux États-Unis ont été victimes de doxing ou connaissent quelqu’un qui l’a été.

Un cas récent de doxing en France

En octobre 2020, la France a été secouée par l’affaire tragique de Samuel Paty, un enseignant d’histoire-géographie qui a été victime de doxing avant d’être assassiné.

Samuel Paty avait montré des caricatures de Charlie Hebdo lors d’un cours sur la liberté d’expression, ce qui a suscité la colère de certains parents d’élèves. Peu après, ses informations personnelles, y compris son adresse et les coordonnées de l’école où il enseignait, ont été divulguées en ligne.

Cette diffusion d’informations a conduit à une campagne de harcèlement et, tragiquement, à son meurtre par un extrémiste radicalisé.

En France, la loi punit le doxing par 3 à 5 ans d’emprisonnement, ainsi que de 45 000€ à 75 000€ d’amende.

Comment fonctionne le Doxing ?

Le doxing repose sur une variété de méthodes pour recueillir des informations personnelles et sensibles sur une personne. Les techniques utilisées peuvent varier en fonction des compétences du doxer et de la disponibilité des données en ligne. Voici un aperçu des méthodes couramment employées pour obtenir ces informations :

1. Suivi des Pseudonymes

L’une des premières étapes du doxing consiste à suivre les pseudonymes utilisés par la victime en ligne. Beaucoup de gens utilisent le même pseudonyme ou des variations de celui-ci sur plusieurs plateformes. En recherchant ces pseudonymes, un doxer peut facilement découvrir des informations personnelles que la victime aurait pu divulguer sur d’autres sites, comme des forums ou des réseaux sociaux.

2. Recherche WHOIS sur un Nom de Domaine

Les doxers peuvent également utiliser les recherches WHOIS pour obtenir des informations sur les propriétaires de noms de domaine. Lorsqu’une personne enregistre un domaine, ses informations de contact, telles que le nom, l’adresse et le numéro de téléphone, sont souvent accessibles via une recherche WHOIS, à moins qu’un service de confidentialité ne soit utilisé pour masquer ces détails.

3. Hameçonnage (Phishing)

L’hameçonnage, ou phishing, est une technique couramment utilisée pour obtenir des informations personnelles. Les doxers trompent leurs victimes pour qu’elles révèlent leurs informations personnelles telles que les mots de passe ou d’autres données sensibles en envoyant un e-mail ou un message qui semble provenir d’une source légitime.

4. Espionnage sur les Réseaux Sociaux

Les comptes de réseaux sociaux sont une mine d’or pour les doxers. Ils peuvent collecter des informations telles que les adresses, les dates de naissance, les photos de famille, et même les lieux fréquemment visités rien qu’en explorant les profils publics. Beaucoup de gens partagent ces détails sans se rendre compte de la quantité d’informations personnelles qu’ils divulguent.

5. Consultation des Registres Gouvernementaux

Les doxers peuvent également accéder à des registres publics, tels que les registres de propriété, les documents judiciaires, et d’autres bases de données gouvernementales. Ces sources peuvent contenir des informations personnelles telles que les adresses, les informations fiscales, ou l’historique des casiers judiciaires.

6. Suivi des Adresses IP

En obtenant l’adresse IP d’une personne, un doxer peut déterminer approximativement sa localisation géographique. Cela peut être fait via des forums en ligne, des e-mails, ou même en envoyant un lien piégé qui enregistre l’adresse IP lorsqu’il est cliqué.

7. Recherche Inversée de Numéro de Téléphone

Les recherches inversées de numéros de téléphone permettent aux doxers de trouver des informations sur une personne en utilisant simplement son numéro de téléphone. Cette méthode peut révéler le nom de l’utilisateur, son adresse et d’autres informations associées à ce numéro.

8. Reniflage de Paquets (Packet Sniffing)

Le reniflage de paquets est une méthode plus avancée qui implique l’interception et l’analyse des paquets de données circulant sur un réseau, comme sur un réseau Wi-Fi public par exemple. Cette technique permet aux doxers de capturer des informations sensibles comme vos identifiants de connexion ou des détails de cartes de crédit lorsqu’elles ne sont pas correctement chiffrées.

9. Utilisation de Courtiers en Données

Les courtiers en données collectent et vendent des informations personnelles provenant de diverses sources en ligne. Les doxers peuvent acheter ces données pour obtenir des informations détaillées sur leurs victimes, telles que les antécédents financiers, les adresses, les contacts professionnels, et bien plus encore.

Quelles informations les hackers cherchent-ils ?

Les hackers, et plus spécifiquement les doxers, recherchent des informations personnelles et sensibles qui peuvent être exploitées à diverses fins malveillantes. Voici quelques exemples des types de données les plus prisées par les doxers :

1. Numéros de téléphone

Les numéros de téléphone sont souvent l’une des premières informations recherchées. Ils permettent aux doxers de contacter directement la victime sous une fausse identité et souvent dans le but de recueillir encore plus d’informations via des techniques d’ingénierie sociale. Ces numéros peuvent également être utilisés pour contourner les mesures de sécurité des comptes en ligne, notamment par l’intermédiaire de la validation en deux étapes (2FA).

2. Adresses de domicile

Les adresses personnelles sont extrêmement précieuses pour les doxers. Elles peuvent être utilisées non seulement pour vérifier l’identité d’une personne lors de la tentative d’accès à un compte, mais aussi pour orchestrer des attaques physiques ou des campagnes de harcèlement. L’obtention d’une adresse peut également faciliter l’usurpation d’identité pour ouvrir de nouveaux comptes bancaires.

3. Détails de carte de crédit

Les informations de carte de crédit sont souvent recherchées pour un gain financier direct car les doxers peuvent utiliser ces informations pour effectuer des achats frauduleux ou même vendre ces informations sur le dark web. Ces données peuvent aussi servir de levier pour accéder à d’autres informations sensibles liées aux comptes bancaires ou financiers.

4. Coordonnées bancaires

Les coordonnées bancaires telles que les numéros de compte et les codes IBAN sont extrêmement sensibles. Une fois obtenues, elles peuvent être utilisées pour valider l’identité de la victime ou pour effectuer des virements frauduleux. Dans les cas extrêmes, ces informations peuvent être publiées en ligne, rendant la victime vulnérable à des attaques financières et à d’autres formes de harcèlement.

5. Autres informations personnelles sensibles

Outre les éléments mentionnés ci-dessus, les doxers recherchent également des informations telles que des adresses e-mail, des noms de proches, des historiques de navigation, des photos personnelles et même des informations sur l’emploi de la victime. Pour le ressortissant vivant aux États-Unis, son numéro de sécurité sociale peut être très prisé. Avec un numéro de sécurité sociale, un doxer peut facilement usurper l’identité de sa victime. Ces données peuvent être combinées pour créer un profil détaillé de la victime, rendant l’attaque encore plus percutante.

Est-ce que le doxing est légal en France ?

En France, le doxing est considéré comme illégal. La législation française protège strictement la vie privée des individus, et toute diffusion non autorisée d’informations personnelles peut être sévèrement sanctionnée. Parmi les plus récentes et les plus pertinentes, l’article 223-1-1 du Code pénal introduit une infraction spécifique visant à lutter contre le doxing.

L’article 223-1-1 du Code pénal

L’article 223-1-1 du Code pénal, instauré par une loi de 2021, rend explicitement illégale la diffusion, sans l’accord de la personne concernée, d’informations permettant de l’identifier ou de localiser son domicile ou tout autre lieu privé, lorsque cette diffusion a pour but de l’exposer, elle ou ses proches, à un risque immédiat d’atteinte à la personne ou aux biens. Cette disposition vise directement les actes de doxing, qui consistent à révéler publiquement des informations personnelles dans le but de nuire à la victime.

Les sanctions prévues par cet article sont particulièrement sévères. La diffusion de telles informations est passible de trois ans d’emprisonnement et de 45 000 euros d’amende. Si la victime est une personne dépositaire de l’autorité publique ou chargée d’une mission de service public, les peines peuvent être portées à cinq ans d’emprisonnement et 75 000 euros d’amende.

Comment protéger vos informations privées en ligne contre le doxing ?

Le doxing représente une menace sérieuse pour votre vie privée, mais il existe plusieurs stratégies efficaces pour protéger vos informations personnelles en ligne. Voici quelques-unes des meilleures pratiques pour sécuriser vos données et réduire considérablement le risque de devenir une cible de doxing :

Utilisez un VPN pour masquer votre adresse IP

Un VPN est un outil essentiel pour protéger votre vie privée en ligne. Il permet de changer et de masquer votre adresse IP réelle, rendant plus difficile pour les doxers de localiser votre emplacement ou de suivre vos activités en ligne. 

De plus, en téléchargeant un VPN puis en vous y connectant, votre connexion est chiffrée de bout en bout. Ce chiffrement VPN rend la lecture de vos données quasiment impossible puisque les doxers n’intercepteront que des suites de chiffres et de lettres complètement illisibles.

Limitez les informations personnelles que vous partagez sur internet

Une règle d’or pour se protéger du doxing est de limiter les informations personnelles que vous partagez sur les réseaux sociaux et autres plateformes en ligne. Évitez de divulguer des détails sensibles tels que votre adresse, votre numéro de téléphone, votre date de naissance ou des informations sur vos proches. Utilisez les paramètres de confidentialité des plateformes pour contrôler qui peut voir vos publications et vos informations personnelles.

Ne vous connectez pas avec des comptes de réseaux sociaux

Lorsque vous vous inscrivez sur un nouveau site ou service en ligne, il peut être tentant de vous connecter rapidement en utilisant vos comptes de réseaux sociaux comme Facebook ou Google. Cependant, cela peut exposer vos informations personnelles à un risque accru. En utilisant des connexions sociales, vous permettez à ces services de partager davantage de vos données personnelles avec des tiers. Il est donc préférable de créer un compte indépendant avec une adresse e-mail distincte pour chaque service en ligne.

Utilisez des pseudonymes et des adresses e-mail distinctes

Adopter des pseudonymes pour vos comptes en ligne, surtout sur les forums ou réseaux sociaux publics, est une mesure efficace pour protéger votre identité réelle. Il est également recommandé d’utiliser des adresses e-mail distinctes pour vos différentes activités en ligne (personnelles, professionnelles, ou pour les inscriptions sur des sites). Cela rend plus difficile pour les doxers de lier vos différentes activités à une seule identité.

Surveillez régulièrement vos informations personnelles en ligne

Il est important de rester vigilant quant aux informations personnelles qui pourraient être disponibles en ligne. Faites des recherches régulières sur votre nom, vos adresses e-mail et vos pseudonymes pour identifier les données accessibles au public. Si vous trouvez des informations sensibles, prenez des mesures pour les faire retirer en contactant les administrateurs des sites concernés.

Utilisez des outils de suppression de données

Il existe des services spécialisés, comme Incogni, qui peuvent vous aider à retirer vos informations personnelles de bases de données en ligne. Ces services contactent les courtiers en données et autres sites pour demander la suppression de vos informations, réduisant ainsi votre exposition au doxing. 

Incogni est un service inclus dans l’abonnement Surfshark One.

Restez vigilant contre les tentatives de phishing

Le phishing est une méthode courante utilisée par les doxers pour obtenir des informations personnelles. Soyez vigilant lorsque vous recevez des e-mails ou des messages demandant de fournir des informations sensibles ou de cliquer sur des liens suspects. Apprenez à reconnaître les signes d’une tentative de phishing et ne partagez jamais vos informations personnelles via des canaux non sécurisés.

Que faire en cas de doxing ?

Être victime de doxing peut être une expérience stressante et intimidante, mais il est essentiel de réagir rapidement et méthodiquement pour minimiser les dégâts. Voici les étapes à suivre si vous vous trouvez dans cette situation :

• Rassembler des preuves détaillées :

Dès que vous vous rendez compte que vous êtes victime de doxing, la première chose à faire est de collecter des preuves. Prenez des captures d’écran des pages web où vos informations personnelles ont été publiées, en incluant les URL et les dates. Documentez également les menaces ou messages de harcèlement que vous pourriez recevoir. Ces preuves seront cruciales pour toute démarche ultérieure auprès des autorités ou pour faire supprimer ces informations.

• Signaler l’incident aux autorités :

Si le doxing s’accompagne de menaces ou de harcèlement, il est impératif de signaler l’incident aux autorités compétentes, comme la police ou la gendarmerie. Fournissez-leur toutes les preuves que vous avez recueillies, car cela facilitera l’enquête et renforcera la possibilité de poursuites contre les auteurs de ces actes. En France, certaines sections de la police sont spécialement formées pour gérer ce genre de cybercriminalité.

• Sécuriser vos comptes en ligne :

Après avoir signalé l’incident, il est crucial de renforcer la sécurité de vos comptes en ligne. Changez immédiatement les mots de passe de tous vos comptes, en commençant par ceux qui contiennent des informations sensibles, comme vos comptes bancaires ou vos réseaux sociaux. Utilisez des mots de passe uniques, longs et complexes pour chaque compte. Si vous pensez que vos adresses e-mail ont été compromises, envisagez de créer de nouvelles adresses pour les comptes les plus importants.

• Protéger vos comptes financiers :

En cas de doxing, il est important de protéger vos finances et donc tout compte bancaire. Informez votre banque de l’incident pour qu’elle puisse surveiller toute activité suspecte sur vos comptes. Vous pourriez également envisager de modifier vos coordonnées bancaires ou de renforcer les contrôles de sécurité sur vos comptes pour éviter toute tentative de fraude.

• Demander de l’aide et du soutien :

Ne restez pas seul face à cette situation. Parlez-en à des proches en qui vous avez confiance pour obtenir du soutien émotionnel et des conseils. Dans certains cas, il peut être nécessaire de changer de numéro de téléphone si vous recevez des appels ou des messages incessants. Vos amis et votre famille peuvent également vous aider à surveiller les informations en ligne pour détecter d’éventuelles nouvelles fuites.

• Contacter les sites pour la suppression des informations :

Une fois que vous avez sécurisé vos comptes et informé les autorités, contactez les administrateurs des sites où vos informations ont été publiées. Demandez la suppression immédiate des contenus, en fournissant les preuves nécessaires pour justifier votre demande. La plupart des sites respectent les lois sur la vie privée et coopéreront pour retirer les informations sensibles.

Comment et où signaler un doxing ?

Si vous êtes victime de doxing, il est crucial de réagir rapidement pour limiter les dégâts et protéger vos informations personnelles. Porter plainte est une étape essentielle pour obtenir justice et empêcher le doxer de continuer à nuire. Voici les démarches à suivre pour signaler un incident de doxing :

1. Signaler le doxing aux plateformes concernées

La première étape consiste à signaler l’incident aux plateformes en ligne où vos informations ont été divulguées. La plupart des réseaux sociaux et des sites web ont des politiques strictes interdisant le doxing. Accédez aux outils de signalement de ces plateformes pour demander la suppression immédiate des contenus concernés. En général, les comptes responsables de la diffusion de vos informations peuvent être suspendus ou bannis, ce qui empêchera le doxer de continuer à agir.

2. Porter plainte pour dox auprès des autorités compétentes

En France, le doxing est considéré comme une infraction pénale. Si vous êtes victime de menaces, de harcèlement ou si vos informations personnelles ont été publiées sans votre consentement, il est important de porter plainte auprès des autorités locales telles que la police ou la gendarmerie. Fournissez toutes les preuves que vous avez rassemblées (captures d’écran, URL, messages de menaces) pour appuyer votre plainte. Une enquête pourra alors être ouverte pour identifier et poursuivre l’auteur du doxing.

3. Utiliser des services spécialisés pour supprimer vos données

En plus de vos démarches auprès des plateformes et des autorités, vous pouvez envisager d’utiliser des services spécialisés comme Incogni pour supprimer vos données personnelles des bases de données en ligne. Incogni peut contacter les courtiers en données et d’autres sites pour demander la suppression de vos informations, ce qui réduit ainsi votre exposition future au doxing.

Comment se doxer soi-même ?

Se doxer soi-même peut sembler contre-intuitif, mais c’est en réalité une démarche importante pour évaluer et protéger votre vie privée en ligne. En effectuant un auto-doxing, vous identifiez les informations personnelles qui sont facilement accessibles sur Internet et prenez des mesures pour les supprimer ou les protéger. Voici comment procéder pour vous doxer vous-même de manière efficace.

Recherchez votre nom sur les moteurs de recherche

La première étape consiste à effectuer une recherche sur votre propre nom dans un moteur de recherche comme Google. Commencez par entrer simplement votre nom complet et voyez ce qui apparaît. Vos comptes de réseaux sociaux seront probablement parmi les premiers résultats. Si vous trouvez des informations que vous préférez garder privées, explorez les paramètres de confidentialité de ces plateformes pour limiter l’accès à votre profil. Par exemple, sur Facebook, vous pouvez désactiver l’option qui permet aux moteurs de recherche externes de lier votre profil dans les résultats.

Effectuez des recherches ciblées

Vous pouvez affiner vos recherches après avoir exploré les résultats généraux en ajoutant des mots-clés spécifiques liés à vos informations personnelles, comme votre numéro de téléphone, adresse e-mail, ou adresse postale. Cette méthode peut révéler des informations que vous aviez peut-être oubliées ou des données personnelles exposées sur des sites que vous ne connaissiez pas. Vous pouvez également utiliser des variantes de votre nom, des pseudonymes ou des surnoms que vous avez utilisés par le passé.

Vérifiez les résultats d’images

Une fois que vous avez exploré les résultats de recherche textuels, n’oubliez pas de vérifier les résultats d’images. Si vous avez des photos en ligne, il est important de savoir où elles sont hébergées et si elles sont associées à des informations personnelles. Vous pouvez également utiliser la recherche d’images inversée pour voir si vos photos ont été publiées sur des sites où elles ne devraient pas se trouver.

Analysez les sites de courtiers en données

Il est fréquent que vos informations personnelles soient compilées par des courtiers en données qui vendent ces informations à des tiers. Ces sites peuvent contenir des détails comme votre nom, adresse, historique de localisation, numéro de téléphone, et plus encore. Si vous trouvez vos informations sur de tels sites, vous pouvez contacter les courtiers pour demander la suppression de ces données.

Conclusion

Le doxing représente un danger réel dans notre ère numérique où la frontière entre vie publique et privée devient de plus en plus floue. Limiter les informations disponibles sur soi-même en ligne devient une nécessité. Il faut non seulement et plus que jamais adopter une attitude pro-active en étant conscient de chaque information que nous divulguons en ligne, mais également réaliser des recherches de routines sur les informations que le monde du web dispose sur nous.

FAQ

C’est quoi Dox quelqu’un ?

Le doxing, c’est le fait de divulguer publiquement des informations personnelles d’une personne sans son consentement, dans le but de nuire. Cette pratique, souvent utilisée pour harceler ou intimider, est illégale et peut avoir des conséquences graves.

Est-ce que le doxxin est dangereux ?

Oui, le doxing est dangereux. Il expose la vie privée de la victime, pouvant entraîner du harcèlement, des menaces physiques, et des atteintes graves à la sécurité personnelle. Les conséquences peuvent être psychologiques, financières, et parfois même criminelles.

Peut-on aller en prison pour avoir doxxé quelqu’un ?

Oui, en France, le doxing est illégal et peut entraîner des peines de prison. Selon la gravité de l’infraction, les auteurs de doxing peuvent être condamnés à des peines allant jusqu’à cinq ans d’emprisonnement, ainsi qu’à de lourdes amendes.

Quelle est la différence entre le doxxing et le swatting ?

Le doxing consiste à divulguer publiquement des informations personnelles d’une personne sans son consentement, tandis que le swatting va plus loin en utilisant ces informations pour orchestrer une fausse alerte d’urgence, souvent envoyant une équipe SWAT ou la police à l’adresse de la victime.