Risque de cambriolage, d’atteinte à l’intégrité physique, cyber ou même réputationnelle : certaines données accessibles en ligne peuvent être sources de risques. Face à cela, faire réaliser une empreinte numérique sur sa personne permet d’avoir une image complète des données personnelles qui seraient accessibles en ligne pour quelqu’un de mal intentionné et d’obtenir des recommandations personnalisées sur les moyens de limiter les risques.
Depuis quelques mois, plusieurs faits divers ont mis un coup de projecteur sur les risques associés à la présence de données personnelles sur Internet. Dernier incident en date, l’influenceuse marseillaise Soraya Riffy a été victime d’un violent cambriolage à son domicile. Son avocat explique, dans les pages de Libération, que ses agresseurs « savaient très bien qui elle était » et que, « comme beaucoup d’influenceuses, Soraya Riffy expose sur les réseaux un train de vie qui peut paraître assez luxueux ». Cette agression fait écho à la série de tentatives de kidnapping sur des personnalités du secteur des crytpo-monnaies, en partie rendue possible grâce aux informations accessibles en ligne les concernant, elles ou leurs proches.
Outre ces risques physiques, les données personnelles en ligne font peser un risque cyber en ce qu’elles peuvent aider un assaillant à mettre sur pied des attaques par ingénierie sociale, lesquelles sont en forte augmentation selon un rapport récent de Palo Alto Networks.
Comment y remédier ?
Face à ces risques, un moyen de se protéger consiste à réaliser une empreinte numérique afin d’obtenir un rapport détaillé de l’ensemble des données sensibles sur sa personne disponibles en ligne.
L’intérêt d’une enquête d’empreinte numérique, au-delà de l’énumération des informations accessibles en ligne, est de rechercher les risques encourus et de donner des moyens de remédiation
Ainsi, chez SightSwarm, nos rapports comprennent plusieurs volets :
-
Un aperçu de la présence numérique dressant la liste de l’ensemble des éléments trouvés (contacts, comptes de réseaux sociaux, etc.)
⇒ Ces données collectées sont détaillées et la manière dont nous les avons trouvées est indiquée afin que l’enquête soit reproductible.
-
Un rapport divisé par types de risque (risque physique, cyber, réputationnel, etc.), eux-mêmes décomposés entre les données collectées, les scénarios de risque et les moyens de remédiation.
⇒ Chaque scénario de risque est décortiqué pour que nos clients puissent se faire une idée claire du niveau de risque et de l’urgence à y répondre.
Comment une empreinte numérique est-elle produite ?
Sil existe une méthodologie commune pour effectuer des empreintes numériques, chaque enquête est différente et dépend du sujet.
Par exemple, dans le cas d’un entrepreneur, une masse d’informations sensibles peut être trouvée sur les registres de commerce (adresses, numéros de téléphone, courriels, etc.), d’autant plus que, dans ce domaine, les sites spécialisés dans l’agrégation de données ne censurent pas toujours bien certaines données très sensibles. Il est ainsi parfois possible de récupérer des scans de pièces d’identité entièrement lisibles au moyen de quelques techniques bien senties de Google Dorks.
Les scénarios de risque dépendent eux-mêmes du client : une même donnée accessible en ligne peut constituer un risque avéré pour une personne mais ne représenter aucune menace pour une autre.
Pour le reste, une enquête d’empreinte numérique s’effectue au moyen d’un « marqueur » (nom, pseudo, numéro de téléphone, adresse courriel) qui va permettre de pivoter en utilisant des services dédiés comme Epieos ou OSINT Industries, ou encore des scripts en sources ouvertes tels que Maigret ou OSR Framework, afin de mettre au jour des comptes de réseaux sociaux liés au sujet et à ses proches. Pour faire ressortir davantage de données, il est également possible d’utiliser d’autres technologies comme des services de reconnaissance faciale.
Une fois l’ensemble de ces informations collectées, il ne reste plus qu’à en analyser le contenu. On peut notamment réaliser une analyse d’images pour mettre au jour une adresse personnelle qui n’avait pas vocation à être publique et même parfois des documents contenant des données sensibles pouvant être lisibles sur des photos sans que le propriétaire s’en soit rendu compte.
En fonction du niveau d’intensité souhaité par le client, des recherches peuvent être menées sur le dark web pour mettre en lumière d’éventuelles fuites d’authentifiants ou autres données sensibles.
