Hier j’ai animé une session sur les “dangers” de l’Internet. Contrairement aux autres intervenants, j’ai commencé par dire que le réseau des réseaux n’est pas dangereux et que ce sont nos comportements qui peuvent nous amener à nous faire prendre des risques. Si nous n’y prenons pas garde, notre vie privée peut être exposée au regard de tous et nos plus noirs secrets peuvent nous éclabousser dans la vie réelle. Ce qui est important c’est que nous pouvons tout savoir sur tout le monde grâce à l’Internet, si nous n’y prenons pas garde.

Parce que mon intervention auprès de ces personnes a été plébiscitée par d’autres groupes, je me suis dit qu’il était intéressant de la partager au plus grand nombre. Je vais donc détailler dans ce billet de blog le déroulé des réflexions que j’ai exposées. 

Nous allons voir ensemble que tout le monde peut devenir un journaliste Hacker et mener des enquêtes sans même sortir la tête de son Chromebook. Attention des révélations de la plus haute importance seront faites dans cet article, âme sensible s’abstenir.

Tous savoirs sur tous grâce à l’Internet

Nous avons peur de ce que nous ne connaissons pas

Afin d’illustrer le comportement dangereux des utilisateurs face à l’Internet, j’ai demandé aux personnes présentes, lors de cette conférence, de rechercher le terme OSINT via le moteur de recherche de Google. Sur les 32 personnes présentes devant moi, 68 % d’entre elles ont tapé dans l’omnibox de Chrome le terme “Google”, pour accéder à la page du moteur de recherche. Quand je leur ai annoncé que par défaut l’omnibox de Chrome était le moteur de recherche Google, elles sont tombées des nues.

Combien de personnes tape Google sur Google ? 

Cet exemple montre bien la méconnaissance et l’illectronisme de la population et ne croyez pas que tous ceux qui ont saisi Google sur Google avaient 90 ans, le plus jeune avait seulement 19 ans et il était, avant mon intervention, collé à son smartphone. 

Alors qu’est-ce que l’OSINT ? 

Pour parler des dangers de ne pas comprendre l’Internet, j’ai fait glisser mon auditoire dans la peau d’un détective privé. Ici pas de planque pendant des heures devant la maison du suspect, ni même de fouille en règle de ses poubelles. En effet, nous allons juste pister le moindre fait et geste de notre suspect sur l’Internet et pour cela, nous allons utiliser l’Open Source INTelligence ou l’OSINT

Pour vous donner une définition ultra-simple, l’OSINT n’est rien d’autre qu’une méthode de collecte et d’analyse de l’information de sources ouvertes. Cela consiste à chercher toutes les informations relatives à votre enquête à travers des sources accessibles au grand public. Ces sources incluent les journaux, les réseaux sociaux, les livres, les magazines scientifiques, les diffusions radiophoniques, télévision, etc.

Les réseaux sociaux sont une mine d’informations

Il n’y a pas besoin d’être un génie de l’informatique pour trouver des informations sur une personne. Pour dénicher des informations sur notre cible, rendons-nous simplement sur Facebook, Twitter… Il suffit très souvent de saisir simplement le nom et le prénom de la personne cherchée pour avoir accès à beaucoup trop d’informations.

Conseil
Paramétrer votre compte pour que seuls vos amis ou la famille puisse accéder à vos données personnelles.

Merci les PTT 

Vous n’êtes pas au fait sur le fonctionnement du réseau des réseaux, il est tout de même possible de trouver pas mal de choses facilement. Rendez-vous sur pagesjaunes.fr pour trouver le numéro et l’adresse de notre suspect.

Avion

Conseil
Demandez à votre opérateur téléphonique de ne pas apparaitre sur l’annuaire.

Si Google nous en disait bien plus sur vous que vous ne le pensiez !

Le géant de la recherche en ligne n’est pas un simple moteur de recherche pour ceux qui le maîtrisent parfaitement, c’est un outil exceptionnel pour traquer quiconque ayant  une vie numérique. Nous allons utiliser un mode de recherche appelé le Google Dorking permettant de faire des recherches très précises via l’outil de Mountain View. Google a implémenté toute une liste de commandes à entrer dans la barre de recherche permettant par exemple de chercher un type de fichier particulier, des résultats sur une période donnée ou une expression exacte, voir des personnes. 

Les commandes et opérateurs booléens de Google

Vos recherches sont très certainement toutes du même type, vous saisissez votre recherche et vous faites Enter. Si je vous disais que nous pouvions accéder à des données beaucoup plus précises vous seriez étonné ? Nous pouvons compléter notre recherche en intégrant des opérateurs booléens dans notre requête. Voici quelques exemples de techniques de recherche courantes :

Les commandes avancées de Google

Avec les bonnes commandes de recherche, il est possible d’aller très loin dans nos découvertes, cela nous permet de trouver des noms d’utilisateurs et mots de passe, des listes d’emails, des documents sensibles, des données personnelles , …

  • filetype: permet de chercher un type de fichier , Pdf, Xls …, ajouter y le terme recherché
    • la commande [ confidentiel filetype:pdf ] vous affichera tous les documents confidentiels au format PDF
    • filetype:xls inurl:”email.xls” vous pouvez chercher des fichiers complets d’email, “phone * * *” “address *” “email” 
  • cache: internet a une mémoire et nous pouvons revenir dans le passé
    • la commande cache:”terme” permet de retrouver les anciennes publications.

Google permet d’accéder directement à la recherche avancée en passant par la page paramètres

Si vous ne voulez pas que l’on vous trouve suite à des actions effectuées dans le passé, demander le droit à l’oubli une visite

Droit à l’oubli

Votre adresse IP peut vous trahir

Toujours sur votre Chromebook, il est facile de découvrir la géolocalisation physique approximative de notre suspect. Il existe de nombreuses solutions pour avoir accès à l’adresse IP d’une personne. La plus simple consiste à lui demander !

Si notre cible nous a déjà envoyé un mail, il est facile de trouver son adresse IP. Pour l’exemple je passe ici sur Gmail, mais cela peut fonctionner avec d’autres fournisseurs :

  1. Ouvrez votre boite mail 
  2. Accédez au mail de notre suspect
  3. en haut à droite du mail reçu, cliquez sur les trois petits points
  4. Puis sélectionner Afficher l’original
  5. Vous pouvez trouver l’IP client directement dans le texte

Une fois l’adresse Internet Protocole trouvée, rendez-vous sur des sites comme hostip.fr et saisissez l’iP. Nous ne sommes pas ici dans une grande précision, mais cela donne quelques pistes de recherche.

🚨Conseil: Ne répondez pas au mail de personne inconnue. Si le mail vous annonce que vous avez gagné alors que vous n’avez pas joué.

La recherche inversée par photo sur les moteurs de recherche

Toujours dans l’optique d’en savoir plus sur notre suspect, nous pouvons chercher si son visage s’affiche sur un site web ou autre. Pour cela, nous allons utiliser la recherche par image. Si Google image n’est pas le meilleur dans la recherche inversé, il existe deux autres moteurs plus habiles  qui sont Bing et Yandex.

Pour savoir si notre suspect apparaît sur les réseaux sociaux ou dans les forums, nous pouvons coller une image de lui et laisser les moteurs de recherche faire leur travail. Le résultat n’est pas toujours probant, mais cela peut déboucher sur de véritables pistes.

🚨 Conseil: Ne remplissez pas les réseaux sociaux de vos images personnelles, partagez-les avec vos amis à la maison quand ils viendront prendre l’apéritif. 

Les photos numériques “parlent” beaucoup

Si la personne recherchée a envoyé une photo prise depuis son smartphone, nous pouvons rapidement savoir où cette dernière a été prise, et ainsi pister ses allées et venues. Par défaut une photo est géolocalisée via ses coordonnées GPS, pour lire ces informations contenues dans la photo, il est nécessaire d’utiliser un logiciel EXIF pour trouver les valeurs GPS. 

EXIF Viewer Classic
EXIF Viewer Classic
Télécharger QR-Code
EXIF Viewer Classic
Développeur: Inconnu
Prix: Gratuit

Sur Chromebook vous pouvez trouver les coordonnées GPS de la photo directement depuis l’application Fichiers de Chrome OS :

  • Ouvrez l’application fichiers (Atl+Maj+M)
  • Faites un clic simple sur la photo, pour la sélectionner, mais pas pour l’ouvrir
  • Appuyer sur la touche Espace de votre clavier

Dans le cadre de droite vous découvrirez toutes les informations liées à la prise de vue

  • La taille de l’image
  • La date de prise de vue
  • Le type de la photo
  • Le modèle d’appareil qui a réalisé cette image
  • La géolocalisation sous forme de prise de vue. 

Une fois les coordonnées géographiques récupérées, il suffit de les saisir sur Google maps pour découvrir l’adresse exacte de la prise de vue. Avez-vous découvert l’endroit où j’ai pris cette photo ?

🚨Conseil: Dans les paramètres photos de votre appareil photo, décocher la géolocalisation des clichés

Fouiller le passé de la personne recherchée 

Si l’humain peut oublier, le réseau des réseaux n’oublie rien. Alors, profitons de cette mémoire pour fouiller ce qui aurait pu être effacé ou modifié dans le temps. 

Il existe de nombreux sites de référence pour dénicher les évolutions d’une page web ou d’un site et si notre suspect était dessus alors, nous allons le trouver. 

Remonter le temps sur internet 

Le site que j’utilise souvent pour faire des recherches dans le passé est web.archive.org. Il permet de fouiller le passé d’un site web. Il suffit d’y noter l’URL de la page voulue et découvrir des informations bien utiles pour notre enquête. 

Scrutez les cartes cadastrales pour en savoir plus 

Nous commençons à en savoir beaucoup sur notre suspect et nous pouvons aller encore plus loin en utilisant les cartes cadastrales mises à disposition par l’Etat. Maintenant que nous avons son adresse, nous pouvons savoir quelle est la superficie de son terrain et peut-être même la valeur foncière de celle-ci.

Plusieurs cartes sont disponibles pour avoir des informations sur sa valeur.

  • Cadastre.gouv.fr permet de connaitre le propriétaire d’une parcelle ou d’un bien immobilier, attention cela a un coût.
  • Le prix d’achat du bien
  • La taille des parcelles
  • Le nombre de pièces de la maison
  • le métrage de la maison
  • Wikimapia.org vous donnera de nombreuses informations sur les lieux avoisinant l’adresse.

Comment se protéger des informations 

Vous avez testé les différentes solutions présentées ci-dessus et les informations trouvées vous font peur, mais surtout elles vous font prendre conscience des possibilités pour savoir “presque” tout sur une personne. À vous maintenant de contrôler les petits cailloux blancs que vous avez laissés derrière vous. 

Tout d’abord, protéger tous vos comptes mails et les informations de connexions, celles de vos opérateurs que ce soit votre FAI ou celui de votre GSM, l’accès à votre banque. Il vous faudra bien sûr de véritables mots de passe, tous uniques. Personnellement j’utilise l’application LastPass qui me génère des mots de passe qui ne sont pas liés à moi, vous n’y retrouverez pas ma date de naissance ou ceux de ma famille, ni le nom de mon chien ou de mon chat.

À présent, vous avez les clés pour protéger votre vie privée sur internet, il est donc temps de commencer à mettre en place ces quelques préceptes.

Avez-vous des conseils à nous donner pour rendre notre vie numérique plus agréable et moins risquée ? Donnez-moi votre avis, posez-moi vos questions dans la suite de cet article à travers vos commentaires. 

Shares:

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.