Je sais ce que vous vous dites… « Le Doxing, encore un énième terme technologique qui vient s’ajouter à la panoplie de vocabulaires cyber ». Oui, c’est vrai mais celui-ci, nous vous conseillons vivement de le connaître !

Bien qu’elle ne soit pas nouvelle, le Doxing est aujourd’hui une menace redoutable. Elle nuit fortement à la sécurité et à la réputation des entreprises. Comme pour toute menace, il est primordial de l’appréhender, comprendre comment elle agit et connaître les répercussions possibles. L’objectif étant de mettre en place par la suite les mesures de sécurité appropriées pour vous en protéger. C’est ce que nous allons donc vous exposer dans cet article.  

Le Doxing, qu’est-ce que cela signifie ?

Le Doxing provient de l’expression anglaise « dropping dox », un mot-valise que l’on pourrait traduire plus familièrement par « lâcher les infos ». Ce terme n’est pas nouveau. Il est apparu dans les années 1990 dans le cercle des pirates informatiques.

Il désigne le fait de rechercher et divulguer des informations sensibles et privées sur internet dans le but de nuire à une personne ou à une entité. Ces informations peuvent également être utilisées afin d’obtenir certains avantages (concurrentiels, financiers…).  

Cet acte malveillant concerne aussi bien le grand public que les entreprises. Certaines formes de Doxing peuvent se révéler « bénignes », comme inscription non-consentie à une liste de diffusion. D’autres, au contraire, peuvent être plus dangereuses et engendrer de graves problèmes de sécurité.

Comment fonctionne le doxing ?

Le Doxing est un véritable travail d’investigation. Les cybercriminels décortiquent les sites Internet pouvant contenir de précieuses informations et les regroupent afin de constituer une arme redoutable.

Adresses e-mail et numéros de téléphone de vos employés, informations sur vos fournisseurs, sur vos partenaires commerciaux, les historiques d’achats… Toute donnée peut s’avérer utile pour les pirates informatiques. Certaines informations jouent un rôle de passerelle pour en obtenir d’autres, plus sensibles et plus confidentielles. Il est, par exemple, possible d’accéder aux données financières d’une entreprise, à ses plans stratégiques ou encore aux données clients.

La divulgation de ces informations pourrait avoir de graves conséquences pour l’entreprise : perte de confiance des clients, violation des lois sur la protection des données, réputation entachée, perte de part de marché, la perte de propriété intellectuelle… etc.

Une panoplie de méthodes de Doxing

Les méthodes pour acquérir les informations privées et sensibles des victimes sont nombreuses. Certaines ne nécessitent pas de connaissances particulières et d’autres, au contraire, demandent plus de technicité.

Voici quelques méthodes de Doxing :

 

  • Surveiller les adresses IP afin de connaître votre emplacement physique. Grâce à cette information, associée à des techniques d’ingénierie sociale, les cybercriminels incitent votre fournisseur d’accès à Internet (FAI) à divulguer des informations vous concernant.
  • Espionner vos réseaux sociaux, une mine d’or pour les cybercriminels.Ils peuvent y trouver des informations sur vos amis, votre famille, savoir ce que vous aimez, votre lieu de travail et tout un tas d’autres informations.
  • Les recherches WHOIS sur le nom de domaine afin de retrouver des informations d’identification personnelles (nom, adresse postale, adresse mail…).
  • Eplucher les sites web gouvernementaux où l’on peut trouver des bases de données ou archive contenant des informations telles que le certificat de mariage, de naissance, permis de conduire…etc.
  • L’analyse des paquets de données consiste à intercepter le trafic internet entre l’expéditeur et le destinataire. Les cybercriminels peuvent recueillir ainsi vos coordonnées bancaires, vos mots de passe, identifiants… etc.
  • Le phishing (hameçonnage) afin de récupérer des informations personnelles directement à la source.
  • Faire appel à un courtier en données consiste à acheter auprès d’une entreprise ou d’un professionnel des informations collectées à partir de différentes sources.
Une panoplie de méthodes de Doxing

Les entreprises, victimes potentielles du Doxing  

Les motivations qui se cachent dernière le Doxing sont variées et ne concernent pas uniquement le grand public. Les entreprises peuvent être une cible de choix des cybercriminels et ce, pour diverses raisons. Tout d’abord, certaines personnes ou militants peuvent s’opposer à une entreprise pour des raisons idéologiques, politiques ou économiques. Ils souhaitent par exemple dénoncer des pratiques douteuses, des manquements ou des fautes commises.  

D’autres personnes peuvent vouloir nuire à une entité pour obtenir un avantage concurrentiel ou financier. Le Doxing peut être utilisé pour discréditer l’entreprise, lui faire perdre un gros contrat ou encore baisser sa valeur lors d’un rachat. Il offre ainsi aux concurrents la possibilité de récupérer des parts de marché.

Ou tout simplement, le doxing peut être utilisé pour des questions de jalousie ou de vengeance. Un succès jugé non-mérité ou un ex-employé mécontent par exemple. Des situations qui arrivent plus souvent que l’on ne croit. 

Quel qu’en soit la raison, une entreprise n’est jamais à l’abri du Doxing. Elle a donc tout intérêt à considérer la menace et mette en place les mesures de sécurité nécessaire pour s’en protéger.

Exemple : des cas célèbres de Doxing

L’entreprise Sony Pictures a été victime de Doxing en 2014. Des informations confidentielles ont été divulguées en ligne par les « Guardians of Peace », un groupe de hackers. Ces informations comprenaient des courriels, des contrats, des films et des scripts inédits, ainsi que des informations personnelles sur les employés de Sony Pictures.

En 2019, c’est le responsable de la marque Gilette de Protor & Gamble qui a été pris à partie par les doxxers, en raison de la campagne publicitaire « We Believe ». Cette dernière évoquée la masculinité toxique. Son profil LinkedIn a été partagé sur 4chan accompagné d’un message visant à encourager les internautes à lui envoyer des messages haineux.

Plus récemment encore, ce sont les clients d’Apple et de Meta qui ont fait les frais de doxing. Après avoir récupérer des informations personnelles (adresse IP, e-mail, prénom…) auprès des deux géants de tech en se faisant passer pour les forces de l’ordre, les hackers ont harcelé et extorqué sexuellement des femmes et des mineurs.

Comment se préserver du Doxing ?

La règle d’or pour réduire les risques de Doxing est d’éviter un maximum de divulguer des informations personnelles sur le web. Pour protéger votre entreprise et vos collaborateurs du doxing, il existe plusieurs mesures que vous pouvez mettre en place :

Protégez votre adresse IP avec un VPN

L’utilisation d’un réseau privé virtuel (VPN) permet de masquer votre adresse IP. De plus, il assure un haut niveau de confidentialité et d’intégrité des données. En effet, les données transitent de manière confidentielle et sécurisée grâce à un système cryptage du VPN. Les cybercriminels ne pourront donc pas analyser les paquets de données et voir votre activité en ligne.

Redoubler de vigilance face aux e-mails de phishing

Soyez attentif lorsque vous recevez des e-mails, notamment lorsqu’ils semblent inattendus ou suspects. Vérifiez toujours l’adresse mail de l’expéditeur et plus particulièrement le nom de domaine utilisé. Analysez également le contenu du message. Au moindre doute, ne cliquez jamais sur le lien ou la pièce jointe. Demandez conseil à votre prestataire informatique ou contacter directement l’expéditeur en passant sur les sites officielles (jamais avec les coordonnées jointes dans le mail).

Entrainez vos collaborateurs à faire face aux attaques phishing à travers des simulations phishing et de spear phishing régulières. Elles permettront de mettre en condition réelle vos équipes, qui pourront ainsi mettre en application les bonnes pratiques numériques.

Lire aussi : cybersécurité, avez-vous pensé à la simulation phishing ?

~

Ayez une politique de gestion de mots de passe

Comme toujours, l’utilisation de mots de passe complexes et uniques pour chaque compte reste une mesure de sécurité essentielle. Ce conseil semble peut-être basique mais il est encore trop peu appliqué par les salariés. D’après l’étude du cabinet Censuswide, seul 19% des internautes interrogés cherchent à créer un mot de passe différent pour chacun de leur compte.

Nous vous conseillons également d’activer l’authentification multifactorielle pour renforcer d’avantage votre sécurité en ligne. Elle peut se matérialiser par un SMS de confirmation ou par un code crée dans une application d’authentification.

U

Surveillez et analysez le dark web

Des milliers de données sont dérobées et vendues sur le Dark Web. Identifiants et mots de passe en font bien évidement partis. Certains prestataires informatiques, comme BA INFO, propose un monitoring du Dark Web afin d’identifier les données de vos collaborateurs qui y sont exposées. En réalisant des recherches approfondies, vous serez alerté  si vos données ont été comprises et vous pourrez ainsi agir en conséquence, via des actions correctives ou préventives.

Sensibiliser vos collaborateurs sur le Doxing

Ce n’est plus un secret pour vous ! La sensibilisation est une mesure indispensable pour renforcer la cybersécurité d’une entreprise.

Sensibilisez vos collaborateurs sur le Doxing en leur exposant les risques, les conséquences, les méthodes utilisées. Présentez-leur des cas concrets de Doxing vécus par des entreprises ou des salariés.

Rappelez également les bonnes pratiques numériques à adopter. Voici quelques conseils sur la thématique du Doxing que vous pouvez leur apporter :

  • Soigner la confidentialité sur leurs réseaux sociaux
  • Nettoyer les informations superflues disponible sur le web
  • Utiliser de préférence de pseudonyme sur les forums en ligne
  • Fermer les comptes obsolètes
  • Eviter de se connecter un site ou une application via vos identifiants Facebook, google ou autre.
  • Respecter les mesures « d’hygiène numérique » prévues par l’entreprise (mot de passe, navigation, séparation des usages pro/perso…).

Lire aussi : comment mieux sensibiliser vos collaborateurs à la cybersécurité ?