N’importe qui peut vous traquer en ligne (et ça fait peur)

« C’est le marché de Noël de Bucarest. L’arbre en bois, le style architectural, le style vestimentaire des passants et les motifs du pavé confirment cette localisation. »

En moins d’une demi-heure, la localisation précise de ma photo a été trouvée par Luc Lefebvre, cofondateur de l’organisme Crypto.Québec se spécialisant en vulgarisation d’enjeux en lien avec la cybersécurité. Qui sait ce qu’il aurait pu trouver de plus en l’espace d’une heure? Mon groupe sanguin, peut-être?

En tout, je lui ai envoyé une dizaine de photos en prenant bien soin de varier les lieux et de rogner les angles de manière à exclure le plus d’éléments distinctifs possibles. Pour ajouter un degré de difficulté supplémentaire, je suis même allée jusqu’à prendre des captures d’écrans des photos afin qu’aucune métadonnée ne me trahisse.

Je voulais confirmer la véracité de ce qui se chuchote avec épouvante, en ce moment, sur Internet; à savoir qu’on pourrait désormais deviner en trois clics et deux recherches inversées l’endroit où vous vous trouviez.

Le tout assorti de votre nom au complet, votre date de naissance, le surnom affectueux que vous donnait votre grand-père, votre mot de passe Facebook du primaire, vos trois différents finsta (ces comptes Instagram secrets créés pour des publications sans artifices), la date de naissance de votre petite sœur, le prénom de votre chat, votre adresse IP, votre numéro de téléphone, le nom de votre ex, votre bar favori et peut-être même la boisson que vous aimez y commander.

Ces techniques sont étonnamment accessibles à tout le monde — oui, même à nous, simples mortels dont la connaissance poussée de l’informatique se réduit à la combinaison de touches « CTRL + C » pour copier un morceau de texte. Il suffit d’avoir une connexion Internet, un peu de temps libre et un sens de l’observation qui ne laisse rien passer, y compris les détails les plus anodins.

Voilà précisément ce qu’a fait Luc en analysant le reste de mes photos. Examinant les détails les plus inoffensifs (« le citronnier en forme de lampe indique potentiellement une localisation en Europe ou dans le Sud »), drôles (« le non-respect des codes de sécurité/issues de secours laisse aussi croire que c’est potentiellement en Europe ») ou plus précis (« l’indice le plus important est le reflet dans la fenêtre »).

C’est ainsi que la pratique m’est nommée et décrite par Patrick Rousseau Mathieu, cofondateur du plus grand rassemblement de hacking au Canada, le Hackfest. L’OSINT (ou « Open Source Intelligence ») est une méthode légale de collecte de renseignements provenant de sources ouvertes pour obtenir l’information que l’on veut.

Par « source ouverte », on entend tout ce qui est publiquement accessible, même dans les limbes non indexés du deep web. Il pourrait donc autant s’agir de votre ancien compte MySpace laissé à l’abandon que de votre historique de commentaires sur Reddit, votre profil Tinder, votre liste d’amis sur Facebook, votre dernière story Instagram, votre portfolio professionnel et le CV disponible avec – tout.

« On peut même consulter les fiches publiques de taxes foncières de chaque ville, en extraire toutes les adresses qu’on veut, les rechercher sur des sites immobiliers, consulter les photos de chacune des pièces de ces maisons… ça peut aller loin », ajoute-t-il.

Tout ça grâce à des outils terriblement banals du paysage numérique – Google, Bing, Yahoo ou encore DuckDuckGo. Un puits sans fond d’informations publiques est donc disponible à tous, mais encore faut-il avoir les bonnes méthodes pour savoir comment les récolter – comme utiliser « site:[nom du site] » ou « filetype:PDF » pour tirer l’information à sa source.

D’autres sites moins connus du grand public, mais tout aussi gratuits et puissants peuvent aussi être utilisés afin de pousser la recherche encore plus loin. Parmi eux, le moteur de recherche russe Yandex est capable de situer un petit bâtiment visible à l’arrière d’une photo avec une acuité surprenante.

Mais tout ceci est-il bien légal?

Je vous entends vous questionner pour ensuite être interloqué en apprenant que la réponse est oui.

Cela dit, la ligne est infiniment fine, comme prend soin de spécifier Tara D’Aigle-Curley, avocate spécialisée dans les questions de droit à la vie privée, de protection des renseignements personnels, d’accès à l’information et des technologies de l’information.

Chers passionnés de LinkedIn, soyez donc soulagés : ce n’est pas parce que certains de vos renseignements professionnels ou personnels sont disponibles publiquement en ligne qu’ils peuvent être récoltés. S’ils le sont, la personne qui les exploite devra prouver qu’elle était dans la nécessité de les collecter et/ou qu’elle a eu votre consentement pour le faire.

Ce ne sont pas non plus toutes les données publiques qui sont connues de leur propriétaire. Quelques fois, un document se retrouve en ligne par erreur et l’exploiter équivaudrait donc à violer la propriété intellectuelle de la personne qui ignore tout de son accessibilité publique.

« Donc, regardez l’information telle qu’elle est, mais ne faites surtout aucune copie ou exploitation quelconque, parce que sinon, c’est là que les problèmes commenceront », prévient-il.

L’expectative de vie privée est une dernière barrière précieuse offerte par la loi aux cybercitoyens. Car si une information personnelle est puisée sur un compte paramétré pour n’être ouvert qu’à un public restreint, on peut deviner que le propriétaire de ce compte souhaitait garder l’information privée et qu’il aurait donc fallu son consentement avant de la collecter.

Hélas, pour certains, l’appel de l’information est souvent plus fort que le souci de légalité.

« J’ai besoin d’aide pour comprendre comment ce type m’a trouvée », écrit en panique une étudiante de 20 ans dans le subreddit des amateurs d’OSINT.

Lors d’un week-end d’escapade, elle raconte avoir brièvement sympathisé avec un homme qui l’a retrouvée le lendemain même par courriel et sur Facebook, alors qu’elle ne les lui a jamais transmis. Elle affirme ne lui avoir dévoilé que son prénom, sa ville, son université et son domaine d’étude.

« C’est super facile de trouver quelqu’un avec les informations que vous lui avez fournies. Vous n’avez même pas besoin d’être un maître de l’OSINT », lui répond cependant un internaute.

Plus haut, un autre commentaire en remet une couche en déduisant d’autres informations personnelles sur elle à son tour – son code postal, sa série télé préférée, et son style de musique favori.

Presque tous les commentaires s’accordent toutefois sur le fait que ce genre de comportement est non seulement douteux, mais contraire à l’éthique censée guider la communauté OSINT.

La mauvaise nouvelle, toutefois, c’est qu’aussi noble et ancienne soit cette pratique, sa récente popularité ne semble être due qu’à son cas de figure le plus effrayant : le stalking légal. Il n’y a qu’à observer la façon dont cette technique de collecte est viralement marketée en ligne, par exemple.

« Comment stalker les gens efficacement et légalement via OSINT », avance une première vidéo.

« Des outils OSINT pour vous retrouver. Vous ne pouvez pas vous cacher. », en prévient une seconde.

« OSINT [sur les] comptes privés de médias sociaux », appâte une troisième.

« L’art du stalking : a.k.a OSINT », s’intitule un article paru dans Medium.

Que du clickbait racoleur, selon Gabrielle. L’experte en bioéthique trouve même dommage cet accent sur les potentiels usages malveillants des outils d’OSINT et souhaite lui redonner ses lettres de noblesse.

Pour bien illustrer cette différence, la doctorante utilise une métaphore fortement répandue dans le milieu : celle du marteau. « Il peut aussi bien servir à bâtir une maison qu’à tuer quelqu’un. Tout dépend de l’intention de la personne qui le tient. »

Mais la ligne reste floue entre l’utilité et la malveillance, surtout avec la montée en popularité de l’OSINT auprès d’un public non initié, et donc plus à même d’appliquer ces techniques de collecte pour servir leur propre agenda.

Dans un sens, le simple fait que cet article existe est un signe de cette démocratisation qui prendra de l’ampleur à mesure que les outils d’OSINT deviendront plus performants, car ses usages deviendront indénombrables et les violations de vie privée seront de plus en plus difficiles à prouver ou même à déceler en temps réel. S’ajoute à ça la loi qui peine à s’actualiser au fil des avancées technologiques, et donc à offrir aux victimes de cyberattaque une protection maximale.

Peut-être est-on même déjà dans ce futur; tous les trimestres ou presque, iCloud notifie avec une grande impuissance ses utilisateurs lorsque 80 % de leurs mots de passe sont compromis et le mois dernier, 3 personnes étaient arrêtées après cinq années d’enquête sur la colossale fuite de données de la banque Desjardins, en 2019, ayant touché pas moins de 9,7 millions de personnes.

Jules tient toutefois à relativiser : « disons que le présent est moins alarmant que le futur ».

Reste l’option de vivre dans une grotte sans wifi, avec des murs suffisamment épais pour qu’aucune donnée ne puisse être extraite de l’extérieur.

À moins de prendre une page du livre Extreme Privacy : What It Takes to Disappear in America de Michael Bazzell, une sommité incontestée de l’OSINT qui aurait aidé de nombreuses célébrités à disparaître complètement du radar virtuel.

Mais pour ceux qui souhaitent juste vivre sans avoir à devenir un ermite, existe-t-il encore un juste milieu possible?

« Tout ça met vraiment le doigt sur un gros dilemme du 21e siècle qui est l’opposition entre le besoin de s’exposer pour réaliser sa vie professionnelle et les problèmes de sécurité que trop s’exposer peuvent causer », explique Gabrielle.

D’autant plus que nous sommes en plein dans l’ère du sur-partage virtuel où tout le monde sait désormais tout sur tout le monde, se filme dans sa salle de gym, liste ses restaurants préférés et ce qu’ils y mangent et parle en détail de ce qu’ils vivent. Gabrielle voit là un clair danger dans cette mise à nu systématique et banalisée.

Dans la bouche de Patrick et Gabrielle revient la même expression urgente : « hygiène numérique ». Peut-être est-il effectivement temps de cultiver une conscience plus responsable face à notre présence en ligne.

« L’hygiène numérique, ce n’est pas juste le temps passé derrière l’écran, c’est aussi de prendre conscience de ce qu’est Internet, de ce qu’on y fait, des enjeux derrière nos actions numériques, et des outils pour se protéger », précise Gabrielle.

Cela passe par certains réflexes ajustables selon chaque situation et degré de confort. Par exemple, Tara conseille de ne pas partager notre visage ou d’informations trop spécifiques sur notre localisation, mais aussi sur notre personne – comme nos goûts, nos désirs, nos aspirations, nos peines.

« C’est toujours bon de toujours garder une certaine distance et de parler à un grand public, plutôt qu’à ses meilleurs amis. Ça fait en sorte de créer une espèce de bulle de protection autour de nous », explique-t-elle.

C’est l’opinion de Gabrielle, qui y voit plus une entreprise plus collective qu’individuelle. Même s’il est quelquefois facile de tout mettre sous le parapluie de l’école, peut-être est-ce le seul endroit capable de prodiguer une éducation citoyenne que les parents eux-mêmes ne sont souvent pas à même de faire.

« Les parents qui partagent souvent des renseignements personnels sur leurs enfants sur les réseaux sociaux vont peut-être un jour se faire avoir quand, plusieurs années plus tard, ces informations seront toujours disponibles quand leurs enfants deviendront majeurs », craint Tara.

Mais face à une omniprésence de la technologie progressivement inévitable, certains choisissent de hausser les épaules et de laisser les choses aller, tout en se disant que leurs informations n’ont rien de précieux pour attirer des regards malveillants.

Gabrielle n’en est pas si sûre.

« On peut se dire : “ce n’est pas grave, je n’ai rien à cacher”, mais peut-être qu’un jour, ça ne sera plus le cas. »