Le doxisme, qui est l’abréviation de « dropping dox » (« dox » étant l’argot pour les documents), est la pratique malveillante consistant à recueillir et à divulguer publiquement les informations personnelles d’une personne, telles que ses adresses personnelles, numéros de téléphone, informations financières ou autres informations personnelles, sans le consentement de la victime.
Avec l’essor des réseaux sociaux et des données en ligne facilement accessibles, le doxing est devenu une tactique populaire qui est souvent utilisée pour harceler, intimider ou nuire aux personnes. Cela est généralement motivé par des vendettas personnels, des conflits idéologiques ou le désir de causer un préjudice à la victime.
Les pirates utilisent différentes tactiques pour compiler des informations personnelles à partir de sources accessibles au public ou mal protégées :
Des noms d’utilisateur cohérents sur toutes les plateformes permettent aux attaquants de connecter facilement des profils en ligne et de créer une image complète de l’activité en ligne d’une cible.
Si vos comptes de réseaux sociaux sont publics, tout le monde peut trouver des informations que vous publiez sur ces comptes. Cela peut inclure des détails tels que des balises de localisation, des photos de famille ou d’ami, des détails de poste et même quelque chose d’aussi simple que le nom de votre animal de compagnie. Ces informations peuvent fournir des indices précieux que les doxers peuvent utiliser pour rassembler des profils personnels ou même aider les doxers à répondre à des questions de sécurité pour pirater d’autres comptes que vous possédez.
Les doxers peuvent utiliser plusieurs méthodes pour découvrir l’adresse IP d’une cible afin d’estimer son emplacement. Ils peuvent ensuite utiliser des techniques d’ingénierie sociale sur le fournisseur de services Internet (ISP) de la cible pour obtenir plus d’informations sur la victime.
Les attaquants utilisent un logiciel pour collecter et compiler de petits points de données provenant de différentes sources, créant ainsi un profil approfondi de leur cible à partir de détails apparemment insignifiants.
En saisissant un numéro de téléphone dans les services de recherche, les doxers peuvent ensuite associer ce numéro à un nom, une adresse et éventuellement à d’autres informations sensibles.
Si une cible possède un nom de domaine, ses informations seront stockées dans un registre. Si la cible n’a pas choisi de masquer ses données sur le registre, les doxers peuvent utiliser une simple recherche WHOIS qui peut révéler des informations de contact enregistrées telles que le nom, le numéro de téléphone, les adresses, les e-mails et d’autres informations personnelles.
De faux e-mails ou messages peuvent être utilisés pour piéger les cibles et révéler des informations privées telles que les identifiants de connexion ou les coordonnées, que les attaquants utiliseront ensuite pour exploiter davantage leur victime.
Si un Doxer peut accéder à votre réseau, il peut utiliser le reniflage de paquets pour surveiller et intercepter des paquets de données spécifiques qui peuvent contenir des informations sensibles telles que des mots de passe, des coordonnées bancaires, des numéros de carte de crédit et d’autres informations qu’il pourrait souhaiter prendre.
Les courtiers en données collectent, analysent et vendent ou concèdent sous licence des informations sur les consommateurs à d’autres sociétés, généralement à des fins de marketing. Ces courtiers de données créent généralement un profil pour une personne contenant des éléments tels que des intérêts, des passe-temps, des données démographiques et d’autres données auxquelles ils peuvent accéder.
Ils obtiennent généralement des informations auprès de sources publiques, de sociétés tierces, d’enquêtes et de plusieurs autres sources.
Malheureusement, ces informations peuvent se retrouver sur le dark web, puis être utilisées par les doxers moyennant un petit supplément.
Les pirates recherchent généralement différents types d’informations personnelles pour créer un profil complet sur leur cible, souvent avec une intention préjudiciable :
L’un des points de données les plus courants que les doxers recherchent est l’adresse du domicile d’une personne. L’accès à ces informations leur permet de faire remonter le harcèlement ou les menaces à un niveau physique, ce qui rend la victime dangereuse à la maison.
Les numéros de téléphone permettent aux doxers de harceler directement les victimes par le biais d’appels ou de SMS. Ils peuvent également utiliser des services de recherche inversée pour découvrir des informations personnelles supplémentaires ou effectuer des attaques d’ingénierie sociale en usurpant l’identité de la cible.
Adresses e-mail
Les adresses e-mail sont une passerelle vers le harcèlement, les attaques de phishing et le spam. Avec un e-mail, les doxers peuvent tenter de pirater les comptes en ligne de la cible, ce qui entraîne souvent d’autres fuites de données.
Savoir où travaille une personne permet aux doxers de cibler leur vie professionnelle, parfois en contactant l’employeur de la victime pour diffuser de fausses informations. Ce type de harcèlement peut nuire à la réputation et même compromettre l’emploi.
Les informations financières sensibles, telles que les informations de compte bancaire ou les numéros de carte de crédit, sont très précieuses pour les doxers. L’accès aux données financières peut entraîner un vol d’identité, des transactions non autorisées ou du chantage.
Avec un numéro de sécurité sociale ou une pièce d’identité nationale, les doxers peuvent commettre un vol d’identité, ouvrir des comptes de crédit au nom de la victime ou usurper l’identité de la victime pour accéder à d’autres données sensibles, ce qui entraîne des conséquences financières et juridiques à long terme.
La légalité du doxing varie selon la juridiction. Dans certaines régions, les lois interdisent explicitement le doxing, tandis que dans d’autres, il tombe dans une zone de gris légal. Par exemple, les États-Unis ont des lois contre le harcèlement et la cybertraque qui peuvent s’appliquer au doxing, mais tous les cas ne répondent pas aux critères juridiques de poursuite. Le Règlement général sur la protection des données (RGPD) de l’Union européenne protège également les personnes contre l’exposition de données personnelles sans consentement, en ajoutant une autre couche de défense contre le doxing.
Sur le plan éthique, le doxing est largement condamné comme une atteinte nuisible à la vie privée. Alors que certaines personnes plaident pour la transparence ou la « liberté d’information », l’exposition des informations d’une autre personne sans son consentement est généralement considérée à la fois dangereuse et contraire à l’éthique.
Limitez la visibilité du profil et soyez sélectif avec les demandes d’amis. Limitez la quantité d’informations personnelles affichées publiquement.
Protégez vos comptes avec des mots de passe sécurisés et activez la 2FA pour une couche de sécurité supplémentaire.
Évitez de publier des informations comme votre adresse personnelle, votre numéro de téléphone ou votre emplacement sur les réseaux sociaux ou d’autres plateformes publiques.
Un réseau privé virtuel (VPN) peut masquer votre adresse IP, ce qui rend plus difficile pour les attaquants de suivre vos activités en ligne ou de vous localiser physiquement.
Recherchez régulièrement votre nom et vos informations personnelles pour vérifier toute information non autorisée publiée en ligne.
Utilisez la protection de la confidentialité du domaine pour dissimuler des informations personnelles dans les dossiers WHOIS, réduisant ainsi le risque que les doxres accèdent à vos coordonnées.
En adoptant ces pratiques, les individus peuvent réduire le risque d’être doxes et garder un meilleur contrôle sur leurs informations personnelles.
Demandez la suppression de vos informations de tout site où elles ont été publiées.
Pour les cas impliquant des menaces ou du harcèlement, déposez un rapport auprès des forces de l’ordre locales ou des agences de cybercriminalité.
Informez vos proches de la situation, en particulier s’il existe un risque qu’ils soient également ciblés.
Vérifiez toute activité inhabituelle sur vos comptes ou votre rapport de crédit, car le doxing peut entraîner une usurpation d’identité ou une fraude financière.
Dans les cas graves, envisagez de contacter un expert en cybersécurité pour obtenir une assistance et des conseils supplémentaires.