Comment l'OSINT rompt l'anonymat
Quand l'anonymat se rompt, ce n'est pas nécessairement à cause d'une intrusion technique.
Le simple fait de réunir des informations publiques peut relier un compte anonyme à la personne qui se trouve derrière.
C'est une rupture de l'anonymat par l'OSINT.
Même si la personne pense : « je n'ai pas écrit mon vrai nom dans cette publication », les anciens réseaux sociaux, images, résultats de recherche, archives et profils qui restent peuvent resserrer les candidats.
Les comptes anonymes peuvent être reliés aux informations passées
Si l'on regarde seulement un compte anonyme, le vrai nom n'est peut-être pas visible.
Cependant, si le contenu des publications, l'icône, le nom d'utilisateur, le style d'écriture ou les sujets recoupent d'anciennes informations sous identité réelle, un lien peut être établi.
Par exemple, le déroulement peut être le suivant.
- Un compte anonyme publie sur un domaine spécialisé
- Un ancien blog avec le même style d'écriture est trouvé
- L'ancien blog contient le même récit d'expérience
- Un ancien profil reste sur ce blog
- Le profil révèle le vrai nom ou la région
Même si une seule information ne suffit pas, les relier peut rendre des choses visibles.
L'OSINT n'est pas une intrusion particulière
L'OSINT est une manière de collecter et d'analyser des informations publiques.
Il ne s'agit pas de casser des mots de passe ni d'entrer dans des appareils. Il relie des informations visibles de l'extérieur, comme les moteurs de recherche, les réseaux sociaux, la recherche d'images, les archives, les profils publics, les informations d'emploi, les pages d'événements et les anciens blogs.
| Source d'information | Ce qui peut être trouvé |
|---|---|
| Moteurs de recherche | anciens blogs, profils, citations |
| Recherche sur les réseaux sociaux | anciens pseudonymes, publications, réponses |
| Recherche d'images | icônes, visages, arrière-plans |
| Archives | états passés de pages supprimées |
| Pages d'événements | participation, intervention, affiliation |
| Pages d'emploi et d'organisation | parcours professionnel, domaine spécialisé, région |
Ce qui compte dans l'OSINT, c'est que l'information soit publique. Même une ancienne information oubliée par la personne peut devenir un matériau de corrélation si elle est visible de l'extérieur.
Modèles courants de corrélation
| Modèle de corrélation | Ce qui se produit |
|---|---|
| Même nom d'utilisateur | d'anciens comptes sur plusieurs services sont trouvés |
| Même icône | la recherche d'images relie à un compte sous identité réelle |
| Même récit d'expérience | il peut établir un lien avec d'anciens blogs ou réseaux sociaux |
| Même style d'écriture | il ressemble à des publications sous un autre nom |
| Même information régionale | les lieux habituels se resserrent |
| Mêmes relations | elles recoupent les relations du côté identité réelle |
Dans l'OSINT, un seul indice ne suffit pas toujours. Plusieurs indices faibles sont combinés.
Déroulement du côté de la recherche
Quand l'anonymat se rompt par l'OSINT, la personne qui cherche resserre les candidats étape par étape.
D'abord, elle cherche le nom d'utilisateur. Ensuite, elle examine l'image de l'icône. Elle relève la région ou le domaine spécialisé à partir du contenu des publications. Elle compare le style d'écriture et les récits d'expérience avec d'anciens blogs. Elle regarde les pages supprimées et les archives.
Ainsi, elle passe d'un indice au suivant.
| Étape | Ce qui est regardé |
|---|---|
| 1 | nom d'utilisateur, nom affiché, profil |
| 2 | icône, images, arrière-plan |
| 3 | contenu des publications, région, termes spécialisés |
| 4 | style d'écriture, récits d'expérience, chronologie |
| 5 | anciens réseaux sociaux, blogs, archives |
| 6 | personnes liées, abonnements, réponses |
Le côté défensif utilise ce déroulement en sens inverse. Cherchez vous-même et vérifiez où des liens peuvent s'établir.
Les informations supprimées peuvent rester
Même si vous supprimez d'anciennes publications, elles peuvent rester dans les résultats de recherche, les captures d'écran, les reprises et les archives.
Anciens profils. Blogs fermés. Publications supprimées sur les réseaux sociaux. Anciennes images. Anciennes pages d'emploi ou d'événement.
Si ces éléments restent, ils peuvent établir un lien avec l'activité anonyme actuelle.
« Je l'ai supprimé maintenant, donc tout va bien » n'est pas toujours vrai.
Modifier les publications actuelles est aussi important
Il est difficile d'effacer toutes les informations passées.
C'est pourquoi, en défense, il est important non seulement d'« effacer le passé », mais aussi de « ne pas produire, dans l'activité anonyme actuelle, des indices qui recoupent les informations passées ».
Ne pas utiliser d'anciens pseudonymes. Ne pas utiliser d'anciennes images. Ne pas répéter les mêmes récits d'expérience. Ne pas écrire la région ou le lieu de travail avec la même granularité. Éviter le même style d'écriture que du côté identité réelle.
| Comportement actuel | Raison de l'éviter |
|---|---|
| Réutiliser un ancien ID | d'anciens comptes sont trouvés |
| Réutiliser d'anciennes images | la recherche d'images crée une connexion |
| Même récit d'expérience | il peut établir un lien avec un ancien blog |
| Même sujet spécialisé | le métier ou l'affiliation se recoupent |
| Mêmes relations | les relations deviennent visibles |
Même si des informations passées restent, le risque diminue si elles n'établissent pas de lien avec l'activité anonyme actuelle.
Ne pas oublier la recherche d'images et les archives
Dans l'OSINT, la recherche d'images et les archives sont importantes en plus de la recherche textuelle ordinaire.
La même icône, des photos utilisées dans le passé, des images de profil de blogs et des photos d'événements peuvent être trouvées par recherche d'images. Les pages supprimées peuvent aussi rester dans des archives.
| Ce qu'il faut vérifier | Raison |
|---|---|
| Image d'icône | peut établir un lien avec d'anciens comptes |
| Photo du visage | peut établir un lien avec des profils sous identité réelle ou des photos d'événements |
| Photo d'arrière-plan | révèle les lieux habituels ou le lieu de travail |
| Ancien blog | conserve le profil ou le style d'écriture |
| Archive | conserve des informations supprimées |
Ne jugez pas que vous êtes en sécurité parce que la recherche textuelle ne montre rien. Vérifiez aussi les images et les anciennes pages.
La défense contre l'OSINT ne se limite pas à la suppression
Quand on pense aux contre-mesures OSINT, on a tendance à ne penser qu'à la suppression des informations passées.
Cependant, certaines informations ne peuvent pas être supprimées. Il peut s'agir de publications d'autres personnes, de citations, de captures d'écran, d'archives, de caches de résultats de recherche et de pages d'événements.
Dans ce cas, il devient important de ne pas produire les mêmes indices dans l'activité anonyme actuelle.
| Contre-mesure | Objectif |
|---|---|
| Supprimer | réduire l'exposition que l'on peut contrôler |
| Demander la suppression de résultats de recherche | réduire les points d'entrée visibles |
| Généraliser les publications actuelles | les rendre plus difficiles à relier aux informations passées |
| Changer les noms et les images | éviter la corrélation avec d'anciens comptes |
| Vérifier régulièrement | remarquer les informations nouvellement apparues |
La défense contre l'OSINT consiste à la fois à effacer le passé et à réduire la corrélation actuelle.
Faire de l'OSINT sur soi-même
Avant de commencer une activité anonyme, vérifiez vos informations publiques dans un périmètre sûr.
Cherchez principalement les informations textuelles déjà visibles de l'extérieur, comme le vrai nom, les anciens pseudonymes, les ID de réseaux sociaux publiés, les anciens blogs et les profils publics. Les termes de recherche eux-mêmes peuvent aussi devenir des enregistrements côté service ; évitez donc de répéter des vérifications à haut risque avec un compte sous identité réelle ou dans le navigateur quotidien. Évitez de saisir ou de téléverser directement des adresses e-mail, numéros de téléphone, photos de visage, images non publiées, documents avant une alerte et informations similaires dans des services de recherche externes ou des services de recherche faciale.
Si vous devez absolument utiliser la recherche d'images, ne ciblez que des images déjà publiques et supposez que les images ou l'historique de recherche peuvent rester côté service. Si vous cherchez avec un compte sous identité réelle, l'historique de recherche peut rester ; faites donc aussi attention à l'environnement de recherche.
| Ce qu'il faut chercher | Ce qu'il faut regarder |
|---|---|
| Vrai nom | profils, écoles, lieux de travail, événements |
| Anciens pseudonymes | anciens réseaux sociaux, forums, ID de jeux |
| Adresses e-mail et contacts publiés | anciennes inscriptions et informations issues de fuites |
| Images publiées | icônes, visages, arrière-plans |
| Formulations caractéristiques | anciens blogs et publications |
Les informations que vous pouvez trouver vous-même peuvent aussi être trouvées par des tiers.
Ce que le côté défensif doit regarder
Pour éviter une rupture de l'anonymat par l'OSINT, vérifiez vos propres informations depuis l'extérieur.
- Chercher le vrai nom
- Chercher les anciens pseudonymes
- Vérifier si les coordonnées publiées peuvent établir un lien avec des informations passées
- Chercher les noms d'utilisateur souvent utilisés
- Vérifier si les icônes et photos publiées peuvent établir un lien avec des informations passées
- Vérifier les anciens blogs et réseaux sociaux
- Vérifier si des informations restent dans des archives
Il est plus sûr de faire cette vérification avant l'activité anonyme. Même si vous vous dépêchez de supprimer après le début de l'activité, les éléments peuvent déjà avoir été vus.
Faites aussi attention au fait de laisser les résultats vérifiés dans un cloud sous identité réelle ou dans des notes ordinaires. Les notes de recherche elles-mêmes peuvent devenir des enregistrements reliant l'activité anonyme à un environnement sous identité réelle.
Résumé
L'anonymat peut se rompre par l'OSINT parce que les informations publiques peuvent être reliées.
Même si un compte anonyme ne contient pas de vrai nom, le nombre de candidats peut se réduire quand le nom d'utilisateur, l'icône, le style d'écriture, les récits d'expérience, les informations régionales et les anciennes publications se recoupent.
Les informations supprimées peuvent aussi rester dans les résultats de recherche et les archives.
Pour protéger l'anonymat, il faut vérifier non seulement les publications actuelles, mais aussi la manière dont les anciennes informations publiques apparaissent.
Outils liés
Wayback Machine
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://web.archive.org/
Google Search removal tools
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
OSINT Framework
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
Google Lens
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://lens.google/
Have I Been Pwned
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
ExifTool
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://exiftool.org/
MAT2
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.