NOUS CONTACTER
Article à la une...

Recoupement d’informations en ligne : ce que vous publiez peut dévoiler votre vie privée

Ce que vous publiez sur Internet, même sous pseudo, peut permettre de vous identifier et de révéler votre vie privée. Les méthodes de réidentification appelée Renseignement d’Origine Source Ouverte (ROSO ou OSINT) consistent à collecter et à recouper des informations en ligne. À travers la description de leur fonctionnement, la CNIL sensibilise sur les risques et propose des moyens pour limiter les atteintes à la vie privée.

 roso osint

Relier des données éparpillées pour identifier un individu

Il est tentant de penser qu’une photographie d’un lieu, publiée sur Internet ou un réseau social, est une donnée totalement anonyme si aucun individu n’est identifiable sur la photo et si son auteur n'est pas mentionné.

En effet, seule, cette photographie ne permet pas d’identifier une personne.

Toutefois, en reliant cette photographie à un identifiant, à d’autres comptes de réseaux sociaux ou en utilisant certaines techniques (données de géolocalisation, recherche d’image inversée), il est possible de recouper les informations pour révéler certaines données : la localisation de la photographie, sa date, voire son auteur.

Aussi, les données que vous publiez sur une multitude d’applications et de plateformes doivent être considérées dans leur ensemble. À la manière d’un dessin que l’on découvre en reliant des points, la multiplication des sources d’informations accessibles sur Internet permet de révéler une identité en reliant différentes données éparpillées publiquement, même si elles ne sont pas, individuellement, identifiantes.

Par exemple, en recoupant une publication de photographie sur un réseau social sous pseudonyme, un avis laissé sur un restaurant et les données du footing matinal géolocalisé publiées pour comparer ses performances, il est possible d’identifier une personne, son travail et son adresse personnelle.

Ces méthodes de réidentification sont un ensemble de techniques regroupées dans une discipline appelée Renseignement d’Origine Source Ouverte (ROSO ou OSINT).

Particulièrement vigilante à la réutilisation des données personnelles publiquement accessibles, la CNIL explore depuis de nombreuses années les différentes méthodes de réidentification (par exemple le projet CabAnon et 2017 ou Geo Trouve-Tous en 2022). Dans la poursuite de ces travaux et afin de sensibiliser les personnes aux risques pour leur vie privée, le Laboratoire d’innovation numérique de la CNIL montre comment il est techniquement possible de remonter la piste des données d’un internaute pour le réidentifier et d’apprendre beaucoup de choses à son sujet.

Qu’est-ce que le Renseignement d’Origine Source Ouverte (ROSO ou OSINT) ?

Le Renseignement d’Origine Source Ouverte (ROSO), aussi appelé OSINT en anglais (Open Source INTelligence), consiste à identifier des individus ou des entités, en utilisant des informations publiquement disponibles.

Aujourd’hui, le ROSO présente un intérêt pour divers acteurs professionnels, notamment :

  • des journalistes : pour la vérification des sources (ou fact-checking) ;
  • le monde de la sécurité : les attaquants peuvent mieux connaître leurs cibles et amasser le plus d’indices possible pour déceler une faille à exploiter. À l’inverse, il permet de surveiller si des informations sont publiées à la suite d’une violation de données (pour le cadre du RIFI, voir la fiche dédiée) ;
  • les services d’enquêtes : par exemple, les services de police/gendarmerie, de l’administration fiscale ou encore de la CAF peuvent, dans le cadre de leur pouvoir d’enquête, remonter et recouper des informations ouvertes ;
  • des recruteurs : la CNIL a dédié à cette pratique une fiche de son guide du recrutement.

La réutilisation d’information disponible publiquement n’est pas interdite par principe. Cependant, elle doit notamment respecter les principes de protection des données contenus dans le règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés (loyauté de la collecte, base légale du traitement, information des personnes, finalité, etc.).

Afin de clarifier le cadre légal, la CNIL a publié après consultation publique une série de fiches destinées à aider les ré-utilisateurs professionnels collectant des données personnelles en vue d’une exploitation de celles-ci. Ces fiches abordent particulièrement certaines thématiques comme le moissonnage de données (webscraping).

 

ATTENTION

Même si l’utilisation des techniques de ROSO n’est pas en soi interdite, la seule diffusion publique d’une donnée personnelle ne vous autorise pas à la réutiliser pour n’importe quelle finalité.

La recherche et le recoupement d’informations, par l’intermédiaire du ROSO, sur une personne est une démarche intrusive.

Par exemple, utiliser le ROSO en vue de révéler des informations relatives à la vie privée, familiale ou professionnelle d'une personne ou permettant de l'identifier ou de la localiser et l’exposant à un risque direct, qui ne peut être ignoré, d’atteinte à sa personne ou à sa famille, est passible de 3 ans d’emprisonnement et de 45 000 euros (article  223-1-1 du Code pénal).

 

Comment se protéger contre le ROSO ?

Ces méthodes fonctionnent par recoupement d’informations. Aussi, pour limiter les risques, il faut essayer de maintenir une certaine étanchéité entre les différents comptes que vous souhaitez garder séparés, et de maîtriser vos données :

  • utilisez des pseudos et des courriels différents pour ces comptes ;
  • ne postez pas la même photographie/vidéo sur différentes plateformes ;
  • évitez de diffuser publiquement des informations permettant de vous retrouver (adresse, documents d’identité, plaque d’immatriculation, cartes d’embarquement, etc.) ;

Plus généralement, quand vous partagez des contenus :

  • avant de publier la photographie permettant d’identifier un tiers, demandez-lui son accord ;
  • vérifiez et réglez les paramètres de confidentialité des applications que vous utilisez pour éviter que vos postes contiennent trop d’information (comme la géolocalisation), adaptez la portée de la diffusion (amis, amis d’amis ou public) en fonction des contenus ;
  • ayez conscience qu’une photo peut parfois être localisée et datée grâce aux éléments qui sont dessus. Vous pouvez par ailleurs vérifier vos propres photos à la recherche de détails révélateurs.

Pour mieux comprendre le ROSO et vous protéger, vous pouvez regarder la démonstration du LINC et essayer de reproduire la méthode sur vos propres données.

Source : CNIL

Administrateur INFO CNIL 0 minutes de lecture
Article à la une...

L’identité numérique

La question de l’identité des individus est une composante importante de l’organisation de toute société, car elle permet notamment d’attribuer un statut ou un rôle à chacun dans une organisation collective.

L’identité ne se résume pas à l’état civil ou identité dite « régalienne », tenu en France dans les mairies depuis 1792 et dès le XIVe siècle dans les registres paroissiaux. Elle renvoie en effet à plusieurs notions en sciences sociales :

  • l’identité propre en philosophie (ipséité) ou ce qui fait qu’une personne est unique et distincte d’une autre ;

  • l’identité personnelle, c’est-à-dire à la conscience et la représentation qu’une personne a d’elle-même ;

  • l’identité sociale, qui peut être multiple et se réfère au groupe, aux catégories sociales dont on possède des attributs.

Une même personne peut avoir plusieurs identités, car l’identité présentée dépend du contexte dans lequel elle est utilisée (état civil, vie sociale, vie professionnelle, jeux en ligne, etc.) et de la confiance qui lui est accordée. Lire la suite ci-contre.

Admin INFO CNIL 0 minutes de lecture

Départ en vacances : les erreurs à ne pas commettre sur le web

Les cambrioleurs usent souvent de stratagèmes simples pour identifier leurs victimes sur le web. Voici quelques clés pour partir l'esprit léger !

Avant votre départ

N'indiquez pas vos lieux de vacances !

Il vaut mieux éviter de confier vos lieux et vos dates de vacances à l'ensemble de vos abonnés Instagram ou votre liste d'amis sur Facebook ou sur Snapchat ! Il est également déconseillé de citer la ou les personnes avec lesquelles vous faites vos bagages...

Enfin, évitez de partager une confirmation de billet de train ou d'hôtel dans vos stories, que ce soit une capture d’écran, une numérisation ou une photo.

Verrouillez vos comptes sociaux !

Les cambrioleurs guettent les proies faciles, c'est-à-dire celles qui ne verrouillent pas leurs comptes sociaux ou qui en disent trop. Âge, situation familiale, goûts… une simple recherche leur permettra de retrouver une victime potentielle selon les critères souhaités.

Il est par ailleurs conseillé de régler, au moins, la visibilité de vos publications pour éviter qu’un inconnu ne puisse voir ce que vous faites.

Soyez discrets sur vos biens !

N'oubliez pas de dépublier la photo de la télévision dernier cri achetée la semaine passée ! Un cambrioleur peut directement identifier sa future victime selon les biens qu'elle possède. Vous pouvez généralement, sur les réseaux sociaux, supprimer les anciennes publications de votre mur en quelques clics.

Évitez d'indiquer votre domicile !

Ne facilitez pas la tâche des « enquêteurs » ! Faites une recherche associée en tapant sur un moteur de recherche « Votre adresse + votre nom », ne géotaguez pas votre domicile, n'indiquez jamais votre adresse précise sur les réseaux sociaux ou demandez directement à un site de dépublier votre adresse postale.

Pendant votre séjour

Faites une pause photo !

Ne postez pas de photos qui pourraient révéler la durée de votre trajet domicile-lieu de villégiature. Les images de cocotiers, d'un panneau de ville, d'un quai d'embarquement pour un long vol suffiront à rassurer les malfaiteurs sur la distance qui vous sépare de votre domicile... et sur leur temps d'action.

Administrateur INFO CNIL 6 minutes de lecture