Cinq modèles de corrélation qui brisent l'anonymat
Modèles de corrélation qui brisent l'anonymat
Quand l'anonymat se brise, il n'est pas toujours possible d'identifier une personne à partir d'une seule information.
Dans beaucoup de cas, plusieurs petites informations s'accumulent, renforcent l'impression qu'il s'agit de la même personne et réduisent le nombre de candidats possibles.
Ce lien entre des informations qui semblaient séparées s'appelle la corrélation.
Pour protéger l'anonymat, il faut regarder non seulement ce qu'il faut cacher, mais aussi ce qui se relie à quoi.
Cet article présente les modèles de corrélation représentatifs qui tendent à briser l'anonymat.
Qu'est-ce que la corrélation?
La corrélation signifie que des informations séparées se rattachent à la même personne, au même appareil, au même compte ou à la même activité.
Par exemple, les informations suivantes peuvent être faibles isolément.
- Même heure de publication
- Même sujet
- Même style d'écriture
- Même image
- Même adresse IP
- Même environnement de navigateur
- Même nom d'utilisateur
Mais lorsque plusieurs de ces éléments se superposent, l'impression qu'ils viennent de la même personne devient plus forte.
Les enquêtes qui brisent l'anonymat ne reposent pas toujours sur une preuve décisive unique. Elles peuvent aussi accumuler plusieurs indices faibles.
1. Corrélation réseau
La corrélation réseau signifie que des activités se relient par l'adresse IP, le DNS, les heures de connexion, le volume de trafic et des données similaires.
Par exemple, si une adresse IP précise accède à un service juste avant la publication d'un compte anonyme, et que cette adresse IP est aussi utilisée pour une autre activité en nom réel, cela peut devenir un indice.
Les requêtes DNS et les journaux de communication peuvent aussi être comparés par heure.
| Indice | Lien possible |
|---|---|
| Adresse IP | Activité depuis la même ligne ou le même réseau |
| Requête DNS | Domaine auquel quelqu'un a tenté de se connecter |
| Heure de communication | Comparaison avec le moment d'une publication ou d'une opération |
| Volume de trafic | Schémas de comportement comme la publication de vidéos ou l'envoi de fichiers |
| Utilisation de ou | Caractéristiques de la route de communication |
Pour réduire la corrélation réseau, il faut penser non seulement à la route de communication, mais aussi à l'état de connexion aux comptes et au moment de publication.
2. Corrélation de comptes
La corrélation de comptes signifie que plusieurs comptes sont supposés appartenir à la même personne.
Le même nom d'utilisateur, un pseudonyme similaire, le même texte de profil, la même icône, la même destination liée ou la réutilisation de la même adresse e-mail peuvent tous servir d'indices reliant des comptes entre eux.
De plus, si un compte en nom réel et un compte anonyme sont utilisés en alternance dans le même service, l'historique de connexion, les cookies, les informations d'appareil, les heures d'opération et des données similaires peuvent être reliés en interne.
| Indice | Exemple |
|---|---|
| Nom d'utilisateur | Même nom qu'un ancien compte, ou nom à peine modifié |
| Icône | Même image, ou version modifiée de la même image |
| Profil | Mêmes centres d'intérêt, même texte de présentation, mêmes liens |
| Coordonnées | Même adresse e-mail, numéro de téléphone ou méthode de récupération |
| Environnement de connexion | Même appareil, même navigateur, mêmes cookies |
Quand on sépare des comptes, il faut séparer non seulement les noms, mais aussi les coordonnées, les images, les appareils, les navigateurs et le contenu des publications.
3. Corrélation de style d'écriture et de contenu
Le style d'écriture et le contenu des publications deviennent aussi des éléments de corrélation.
Les habitudes d'écriture, la ponctuation, les terminaisons, les expressions, les termes techniques et le choix des sujets ont tendance à varier d'une personne à l'autre. Les expériences spécifiques et les circonstances internes peuvent aussi être des indices forts qui réduisent le nombre de personnes ou d'affiliations possibles.
Par exemple, si un compte en nom réel et un compte anonyme utilisent le même domaine d'expertise, les mêmes affirmations et les mêmes expressions, l'impression qu'ils appartiennent à la même personne augmente.
À l'ère de l'IA, comparer le style d'écriture et le contenu est plus facile qu'auparavant. C'est pourquoi le texte est un facteur important pour l'anonymat.
4. Corrélation temporelle
La corrélation temporelle signifie que les heures de publication, les heures d'accès, les délais de réponse, les plages d'activité et des informations similaires se relient.
Par exemple, si un compte anonyme est actif tous les jours dans la même plage horaire, et que cette plage correspond au rythme de vie ou aux horaires de travail de la personne, cela devient un indice.
Les publications juste après un événement, les publications pendant un déplacement, ou les publications uniquement pendant les pauses au travail peuvent aussi réduire le nombre de candidats selon la situation.
| Information temporelle | Point d'attention |
|---|---|
| Heure de publication | Le rythme de vie ou le fuseau horaire peut être visible |
| Heure d'accès | Peut être comparée aux journaux serveur ou aux journaux de communication |
| Vitesse de réponse | Les heures d'éveil et les habitudes d'utilisation peuvent être visibles |
| Publication juste après un événement | Les personnes présentes sur place ou impliquées peuvent être réduites |
| Cycle de long terme | Le lien avec les jours ouvrés, les jours de repos ou les horaires de travail peut être visible |
Les informations temporelles sont un axe facile à comparer avec d'autres journaux.
5. Corrélation d'images et de fichiers
Les images et les fichiers deviennent aussi des éléments de corrélation.
Si la même image est utilisée sur plusieurs comptes, elle peut être reliée par recherche d'image. L'arrière-plan d'une photo, les panneaux, les uniformes, les reflets, les bâtiments, les documents et les affichages d'écran peuvent aussi révéler un lieu ou une affiliation.
Les fichiers peuvent contenir des métadonnées. Les fichiers PDF et Office peuvent conserver des noms d'auteur, des noms d'entreprise, l'historique d'édition, le logiciel de création et des données similaires.
Pour les images et les fichiers, il faut vérifier à la fois l'apparence et les métadonnées.
6. Corrélation avec les informations passées
Les informations passées affectent aussi l'anonymat actuel.
D'anciens blogs, anciens comptes de réseaux sociaux, anciens profils, images, noms d'utilisateur et adresses e-mail publiques peuvent être reliés à l'activité anonyme actuelle.
Réutiliser un nom utilisé dans le passé. Retoucher et réutiliser une ancienne image. Écrire sur le même sujet ou la même expérience avec un autre compte.
Ces actions deviennent des indices qui relient le passé et le présent.
Quand on réfléchit à l'anonymat, il faut vérifier non seulement la publication actuelle, mais aussi les informations passées trouvables par recherche.
La corrélation devient plus forte par combinaison
Le point important est de ne pas juger à partir d'un seul indice.
Une adresse IP seule ne prouve pas forcément. Le style d'écriture seul ne prouve pas forcément. L'heure de publication seule ne prouve pas forcément.
Mais quand ces éléments se superposent en même temps, les candidats se réduisent.
| Combinaison | Ce qui se produit |
|---|---|
| Adresse IP + cookie | Même si le réseau change, le navigateur est traité comme le même |
| Heure de publication + rythme de vie | Cela recoupe le schéma de comportement de la personne |
| Style d'écriture + domaine d'expertise | Cela ressemble aux textes du compte à identité réelle |
| Image + ancien compte | Cela se relie par recherche d'image |
| État de connexion + URL consultée | Le comportement est lié au compte |
Pour protéger l'anonymat, il faut réduire les indices faibles un par un.
Bases pour réduire la corrélation
Pour réduire la corrélation, il est important de ne pas mélanger l'activité à identité réelle et l'activité anonyme.
- Séparer les comptes
- Séparer les navigateurs
- Ne pas mélanger les cookies
- Réexaminer le contenu des publications
- Vérifier les images et les fichiers
- Ne pas rendre les heures de publication trop fixes
- Ne pas utiliser les mêmes noms ou images que d'anciens comptes
- Ne pas rechercher des informations pour une activité anonyme dans un environnement en nom réel
Cependant, il n'est pas simple de réduire la corrélation à zéro. Il faut décider quels indices réduire en priorité selon l'objectif et le risque.
Réduire avec des priorités
Les indices de corrélation sont nombreux. Les traiter tous avec le même poids peut empêcher d'agir.
Commencez par réduire les plus forts. Les connexions en nom réel, les mêmes cookies, le même nom d'utilisateur, la même image, les noms de lieux ou heures exacts, et les informations d'auteur dans les fichiers sont des indices à vérifier en priorité.
| Priorité | À vérifier | Raison |
|---|---|---|
| Élevée | Connexion en nom réel, cookies, coordonnées | Se relie directement à un compte |
| Élevée | Images, fichiers, métadonnées | La personne, le lieu ou l'environnement de création peut apparaître |
| Moyenne | Heure de publication, zone de vie, informations de travail | Peut être comparé à d'autres journaux |
| Moyenne | Style d'écriture, termes spécialisés, expériences | Crée l'impression qu'il s'agit de la même personne sur le long terme |
| Pas faible | Petits réglages et habitudes | Faibles isolément, mais s'accumulent |
Dans la pratique de l'anonymat, il est plus important de couper d'abord les fortes corrélations que de réduire les indices faibles à zéro.
Ensuite, dans l'exploitation de long terme, réexaminez régulièrement le style d'écriture, les heures de publication et les biais de sujets.
Résumé
Les modèles de corrélation qui brisent l'anonymat sont des cas où plusieurs informations se relient à la même personne ou à la même activité.
Le réseau, les comptes, le style d'écriture, le contenu, le temps, les images, les fichiers et les informations passées peuvent chacun devenir des éléments de corrélation.
Même une information faible isolément peut renforcer l'impression qu'il s'agit de la même personne lorsqu'elle est combinée à d'autres.
Pour protéger l'anonymat, il faut regarder non seulement "ce qu'il faut cacher", mais aussi "ce qui se relie à quoi".
Réduire la corrélation est une idée centrale quand on réfléchit à l'anonymat.
Outils liés
Wayback Machine
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://web.archive.org/
OSINT Framework
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
ExifTool
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://exiftool.org/