Corrélation temporelle entre événements et journaux
L’anonymat ne se rompt pas seulement à cause de ce que vous avez écrit.
À quel moment vous avez publié. À quel moment vous avez accédé. À quel moment vous avez répondu. Sur quels créneaux horaires seulement vous êtes actif.
Ces informations temporelles aussi créent une impression de même personne.
La corrélation temporelle est l’idée de relier des activités qui semblent séparées à partir de coïncidences dans le temps entre des événements, des publications, des journaux d’accès, des heures de création de fichiers, des enregistrements de communication et d’autres informations similaires.
Cet article organise le risque que plusieurs enregistrements soient rapprochés sur une même chronologie, comme les publications juste après un événement, les journaux d’accès, les heures de connexion et les heures de création ou de modification de fichiers.
Les heures de publication habituelles et les biais de rythme de vie sont traités dans « Corrélation entre l’heure de publication et le rythme de vie ».
La proximité temporelle devient un indice
La corrélation temporelle consiste à déduire que plusieurs actions sont liées à une même personne ou à une même activité parce qu’elles sont proches dans le temps.
Par exemple, un compte sous identité réelle est actif chaque jour vers 23 h. Un compte anonyme publie lui aussi chaque jour peu après 23 h. Ils réagissent au même sujet dans le même ordre.
Cela ne suffit pas à prouver l’identité de la personne. Mais, combiné à d’autres informations, cela devient un matériau de corrélation.
| Indice temporel | Ce qui est supposé |
|---|---|
| L’heure de publication est toujours la même | Rythme de vie ou heures d’activité |
| Les heures d’activité côté identité réelle et côté anonyme sont proches | Impression qu’il s’agit de la même personne |
| Publication juste après un événement | Possibilité d’avoir été sur place |
| Publication seulement hors des heures de travail | Profession ou schéma de vie |
| Réponses seulement tard dans la nuit | Région ou rythme de vie |
Le temps est une information facile à rapprocher d’autres journaux. Il ne faut donc pas le traiter à la légère.
L’heure de publication révèle le rythme de vie
L’heure de publication révèle le rythme de vie d’une personne.
Temps de trajet du matin. Pause déjeuner. Fin du travail. Tard dans la nuit. Longues publications seulement les jours de repos.
Pris séparément, ces comportements semblent courants. Mais s’ils se répètent longtemps, ils deviennent des schémas.
Quand un compte anonyme agit chaque jour sur le même créneau horaire, le rythme de vie devient visible. S’il recoupe les heures d’activité d’un compte sous identité réelle ou d’un ancien compte, l’impression qu’il s’agit de la même personne se renforce.
Dans l’anonymat, on vérifie non seulement le contenu, mais aussi le créneau horaire des publications.
Les publications juste après un événement se relient au lieu
Le temps se relie aussi au lieu.
Si vous publiez un message détaillé juste après une manifestation, une réunion publique, une réunion, un événement interne à l’entreprise, un événement scolaire ou un événement local, les candidats se réduisent aux personnes qui étaient sur place.
Par exemple, supposons que vous publiiez anonymement le contenu non public d’une réunion juste après sa fin. Le contenu, mais aussi l’heure même de publication, deviennent un indice.
« Qui savait cela à ce moment-là ? » « Qui pouvait publier sur Internet à ce moment-là ? » « Qui se trouvait dans un rayon permettant de se déplacer depuis ce lieu ? »
Ce type de resserrement se produit.
Dans les publications juste après un événement, le niveau de détail pose aussi problème.
Si vous écrivez l’ordre des faits, des propos, des places assises, des trajets de déplacement ou une confusion interne que seule une personne présente pouvait connaître, vous serez vu comme participant ou personne liée. Plus la publication est rapide, plus les candidats se réduisent aux « personnes qui savaient à ce moment-là ».
| Contenu de la publication | Ce qui est supposé |
|---|---|
| Impressions détaillées juste après la fin | Possibilité d’avoir participé |
| Informations internes avant publication | Possibilité d’être une personne liée ou interne |
| Publication en déplacement | Position actuelle ou trajet de retour |
| Photo sur place et heure | Lieu de prise de vue et heure d’action |
Pour une publication à haut risque, il ne suffit pas de retarder le message : réduisez aussi les détails qui montrent que vous étiez sur place.
Les journaux de communication servent aussi au recoupement
La corrélation temporelle n’est pas seulement un problème de publications publiques.
Les journaux de communication, journaux d’accès, heures de connexion VPN, heures de connexion , historiques de connexion, historiques de modification cloud, dates de modification de fichiers et enregistrements similaires sont aussi des informations temporelles.
| Journal | Information temporelle qui reste | Point d’attention |
|---|---|---|
| Journal d’accès Web | Heure d’accès | Recoupée avec l’heure de publication |
| Historique de connexion | Heure de connexion réussie ou échouée | Devient une preuve d’utilisation du compte |
| Journal de connexion VPN | Heure de début et de fin de connexion | Devient un indice sur les créneaux de communication |
| Date de modification d’un fichier | Heure de création, de modification, d’enregistrement | Se relie aux heures d’activité de la personne qui a travaillé |
| Historique cloud | Heure de téléversement et de partage | Le lien avec les comptes sous identité réelle reste |
Le temps devient un axe qui relie différents types d’enregistrements.
Même si le contenu est chiffré, le moment où la communication a eu lieu peut rester. Ce point est aussi traité dans l’article sur les journaux de communication.
Décaler le créneau horaire ne suffit pas
Décaler légèrement l’heure de publication ne rend pas automatiquement la situation sûre.
Même si vous publiez chaque fois avec 30 minutes de retard, le même rythme reste un schéma. Publier seulement tard dans la nuit, écrire de longs textes seulement les jours de repos ou réagir seulement juste après certaines nouvelles laisse aussi des habitudes.
Dans l’anonymat, il est plus important de réduire les actions corrélables que de simplement décaler les heures.
Dans les situations à haut risque en particulier, on réfléchit aux points suivants.
- Ne pas faire agir le côté identité réelle et le côté anonyme sur les mêmes créneaux horaires
- Ne pas publier de contenu détaillé juste après un événement
- Ne pas effectuer de recherches liées avec un compte sous identité réelle avant ou après la publication
- Vérifier aussi l’heure de création et l’heure de modification des fichiers
- Ne pas figer excessivement le rythme d’activité à long terme
Ce qui compte dans les mesures liées au temps n’est pas un décalage mécanique, mais le fait de ne pas multiplier les axes de corrélation.
Si vous retardez toujours de la même façon d’une heure, cette façon de retarder devient elle-même une habitude. Même si vous programmez toutes vos publications tard dans la nuit, le rythme de vie reste visible si les heures de travail ou de réponse sont identiques.
Pour réfléchir à l’anonymat, regardez séparément l’heure de publication, l’heure de travail, l’heure de connexion et l’heure de modification des fichiers. Même si l’heure de publication visible est ajustée, les journaux en arrière-plan deviennent un matériau de corrélation s’ils se concentrent sur les mêmes créneaux horaires.
Attention aussi aux publications programmées et aux brouillons
La publication programmée permet d’ajuster l’heure de publication visible. Mais elle ne fait pas disparaître à elle seule la corrélation temporelle.
L’heure de création du brouillon, l’heure de réglage de la programmation, l’heure de connexion et l’heure de téléversement des fichiers peuvent rester séparément. Face à une personne qui peut consulter les journaux côté service ou dans une organisation, ce n’est pas seulement l’heure de publication qui pose problème, mais aussi l’heure de travail.
| Heure qui peut être visible | Point d’attention |
|---|---|
| Heure de création du brouillon | L’heure réelle de travail reste |
| Heure de réglage de la programmation | Se relie au comportement de connexion |
| Heure de publication | Visible par les lecteurs et depuis l’extérieur |
| Heure de téléversement d’image | L’heure de traitement du fichier reste |
| Historique de modification | Les créneaux où les corrections répétées ont été faites deviennent visibles |
La publication programmée peut être utile. Cependant, c’est un moyen de changer uniquement l’heure visible de l’extérieur, pas d’effacer toutes les informations temporelles.
Les indices temporels à regarder avant publication
Avant une publication ou une activité anonyme, vérifiez les indices liés au temps.
| Ce qu’il faut vérifier | Raison |
|---|---|
| Heure prévue de publication | Voir si elle recoupe le rythme de vie ou la participation à un événement |
| Heures d’activité du compte sous identité réelle | Voir si elles recoupent le côté anonyme |
| Dates de création et de modification des fichiers | Voir si elles se relient au temps de travail ou aux mouvements internes d’une organisation |
| Historiques d’accès et de connexion | Voir si des actions juste avant ou juste après restent |
| Schéma de publication à long terme | Voir si l’activité se limite toujours aux mêmes créneaux horaires |
Le temps reste à plus d’endroits que la personne ne l’imagine. Regarder seulement l’heure affichée sur l’écran de publication ne suffit pas.
Résumé
La corrélation temporelle est l’idée de relier des activités séparées à une même personne ou à un même événement à partir de coïncidences horaires ou du rythme des actions.
Les heures de publication, heures d’accès, historiques de connexion, heures de connexion VPN, dates de modification de fichiers et historiques cloud deviennent des indices.
Dans l’anonymat, ce que vous avez écrit n’est pas le seul point important : le moment où vous avez agi compte aussi. Une attention particulière est nécessaire lorsque les heures d’activité du côté identité réelle et du côté anonyme se recoupent, ou lorsque vous publiez un message détaillé juste après un événement.
Le temps devient un axe qui relie plusieurs journaux. Quand vous réfléchissez à l’anonymat, vous devez vérifier non seulement le contenu, le lieu et les comptes, mais aussi la corrélation temporelle.
Outils liés
ExifTool
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://exiftool.org/