Concept-clé
Le doxing est une pratique qui vise à rechercher et collecter depuis des sources ouvertes, des données et des informations personnelles relatives à un individu puis à les publier en ligne à son insu dans le seul but de lui nuire (intimidation, humiliation, menace, etc.).
Le doxing se déroule en deux phases. Durant la première, dite de « collecte », les auteurs rassemblent toutes les informations disponibles sur les victimes (adresses privées, adresses mails et comptes réseaux sociaux associés, numéros de téléphone, identification des membres de la famille, photos privées et parfois données plus personnelles (bancaires, santé, professionnelles, sexualité, etc.). Aucun recours à de l’hacking n’est requis. Toutes ces informations personnelles sont consultables sur les réseaux sociaux, sur des sites Internet (mentions légales), sur des blogs et forums, des sites spécialisés en recherche de source ouverte (base de données des abonnements téléphoniques), etc.
La seconde phase consiste à publier largement, généralement en une seule fois, les informations ainsi collectées. Le recours à de faux profils ou à des plateformes anonymes (par exemple sur le site web pastebin) est couramment utilisé pour diffuser largement tout en restant protégé. Les publications sont souvent accompagnées de menaces pouvant avoir des répercussions dans la vie des victimes.
Synonymes
- Doxxing
- Bulle mortifère
Samuel Paty c’est l’exemple d’une violente campagne de doxing orchestrée sur les réseaux sociaux où on a traqué son nom, son numéro de portable et l’adresse de son collège, quelques jours avant son meurtre.
– une victime
Ce qu’il faut retenir…
Le doxeur se nourrit des nombreuses informations publiées librement sur Internet qui dévoilent peu à peu votre intimité et votre vie privée. Il convient de limiter les informations que l’on partage sur Internet :
- évitez dès que possible d’utiliser votre nom et prénom sur Internet. Il en est de même pour votre adresse mail. Ayez recours à des pseudos ;
- évitez le recours au processus d’inscriptions automatiques des GAFAM (Facebook, Google…). Vous éviterez ainsi de communiquer à ces sites, l’entièreté de vos données personnelles collectées par ces derniers (nom, prénom, adresse, habitude, amis…) ;
- paramétrez la confidentialité de vos réseaux sociaux pour éviter que tout le monde puisse avoir accès à vos publications. Créez un faux compte lambda et surveillez depuis ce dernier la visibilité de votre profil ;
- recherchez-vous régulièrement sur les moteurs de recherches afin de contrôler ce qui est dit de vous sur Internet. Mettez en place des alertes automatiques qui vous préviennent dès que votre nom apparaît sur un site ;
- adoptez la double authentification dès que possible. Renforcez vos mots de passe (12 caractères alphanumériques, caractères spéciaux, inintelligible, unique, secret, périodique) ;
- utilisez dès que possible un VPN pour sécuriser vos connexions et rendre inintelligibles vos échanges.
Aux origines
Révéler les informations personnelles d’une personne sans son consentement est une pratique qui n’a pas attendu l’avènement d’Internet pour trouver une certaine prospérité. Cependant le mot doxing est apparu pour la première fois dans les années 1990, lorsque l’anonymat était encore une notion révérée parmi les premiers pirates informatiques (considérés hors-la-loi).
À l’époque, plusieurs confrontations ont opposé des hackers rivaux, qui étaient uniquement connus par leurs pseudonymes ou leurs alias. Peu d’options permettaient alors de riposter, voire de se venger, si ce n’est briser cet anonymat sous lequel ils se dissimulaient, en révélant des « documents » les identifiant, les exposant ainsi à des actions répressives.
En anglais, ces « documents » ont opéré un glissement sémantique en « docs », puis en « dox », contracté au verbe « to drop » pour appuyer la notion de « révélation ».
Exemple concret
Que dit le cadre légal…
Le 10 février 2021, l’Assemblée nationale a voté la création d’un délit de mise en danger de la vie d’autrui par la diffusion d’informations relatives à la vie privée. Il s’agit de l’article 36 dit « Samuel Paty » (qui vient combler un vide juridique) dans le cadre de la loi du séparatisme :
« Le fait de révéler, de diffuser ou de transmettre, par quelque moyen que ce soit, des informations relatives à la vie privée, familiale ou professionnelle d’une personne permettant de l’identifier ou de la localiser aux fins de l’exposer, le ou les membres de sa famille, à un risque direct d’atteinte à la personne ou aux biens que l’auteur ne pouvait ignorer ».
Ce délit est puni de trois ans d’emprisonnement et de 45 000 euros d’amende.
La peine de prison encourue est de 5 ans lorsque le délit est commis à l’encontre :
- d’une personne dépositaire de l’autorité publique ou chargée d’une mission de service public ;
- du titulaire d’un mandat électif ;
- d’une personne mineure.
À noter que la sanction punit « l’intention de nuire » (la volonté d’exposer autrui à un risque direct d’atteinte) et non pas « l’intention d’informer ».
Avant la création de ce délit et suivant les cas saisis, le doxing pouvait relever du Code pénal et être considéré comme une atteinte à la vie privée, une dénonciation calomnieuse, une violation du secret des correspondances, une atteinte au système de traitement automatisé de donnée, une collecte, traitement et divulgation de données personnelles sans le consentement ou autorisation.
Pour aller un peu plus loin…
Quelques références scientifiques :
- Chandler Daniel, Munday Rod, Doxing, A dictionary of Social Media, Oxford University Press, 2016, 320 pages.
- Chen Mengtong, Cheung Anne Shann Yue, Chan Ko Ling, Doxing: What Adolescents Look for and Their Intentions, International Journal of Environmental Research and Public Health, vol. 16, n° 2, 2019, p. 218-230, [https://doi.org/10.3390/ijerph16020218].
- Jomni Adel, Le Darknet est-il une zone de non droit ?, Sécurité globale, vol. 15, n° 3, 2018, p. 17-23, [https://doi.org/10.3917/secug.183.0017].
- Li Lisa Bei, Data Privacy in the Cyber Age: Recommendations for Regulating Doxing and Swatting, Federal Communications Bar Association, vol. 70, n° 3, 2018, p. 317-328, [https//doi.org/10.2139/ssrn.3012266].
- Mathews Roney Simon, Aghili Shaun, Lindskog Dale, A Study of Doxing, its Security Implications and Mitigation Strategies for Organizations, 2012, [https://concordia.ab.ca/wp-content/uploads/2017/04/Roney_Mathews.pdf?x60138].
- Marion Nancy E., Twede Jason, Cybercrime : An Encyclopedia of Digital Crime, ABC-CLIO, 2020, 520 pages.
- Trottier Daniel, Denunciation and doxing: towards a conceptual model of digital vigilantism, Global crime, Routledge, 2020, vol. 21, n° 3-4, p. 196‐212, [https://doi.org/10.1080/17440572.2019.1591952].
