France: Préservez votre anonymat en ligne : Réidentification et bonnes pratiques

Plusieurs spécialistes ont l'habitude de dire que l'anonymat n'existe pas. Que n'importe quelle attaque en ré-identification peut permettre d'isoler et identifier une personne concernée. D'aucuns pourraient dire que mettre ses données en ligne auprès de Meta ou Google revient à donner ses poules à un renard. La CNIL le dit parfaitement « Ce que vous publiez sur Internet, même sous pseudo, peut permettre de vous identifier et de révéler votre vie privée ».

Quel est le principe de la réidentification par le recoupage ?

Le principe de la ré-identification par le recoupage est d'agréger suffisamment de données sur une personne concernée (photo, géolocalisation, amis, abonnés/abonnements, etc) afin de l'identifier.

A elle seule, une donnée peut même en révéler d'autres. Une simple photographie peut alors permettre d'identifier la localisation de la photographie, sa date, voire le photographe lui-même.

L'affaire du drapeau de Shia Laboeuf «He will not divide us » en est le parfait exemple : seuls apparaissaient un drapeau et le ciel en stream. Ce dernier a pu être localisé en 48h après croisement, des posts instagram de l'acteur, du passage des avions, des étoiles, etc. Le drapeau a ensuite été déplacé dans une pièce où seuls le drapeau et un mur étaient visibles. Là encore, à travers le croisement de la lumière du soleil et de la zone d'habitation d'un proche de l'acteur, le drapeau a pu être localisé.

Plus concrètement, la CNIL prend cet exemple « en recoupant une publication de photographie sur un réseau social sous pseudonyme, un avis laissé sur un restaurant et les données du footing matinal géolocalisé publiées pour comparer ses performances, il est possible d'identifier une personne, son travail et son adresse personnelle ».

Ces techniques de ré-identification font partie d'une discipline connue sous le nom de Renseignement d'Origine Source Ouverte (ROSO) ou Open Source Intelligence (OSINT).

Quelle est l'utilité de l'OSINT ou du ROSO ?

La CNIL le souligne très bien, le ROSO/OSINT ouvre plusieurs possibilités :

• Vérifier les sources (ou fact-checking) journalistiques ;
• Mieux connaître leurs cibles pour les hackeurs et amasser le plus d'indices possible pour déceler une faille à exploiter.
• Effectuer des veilles sur le deep/darkweb afin de detecter si des informations sont publiées à la suite d'une violation de données (pour le cadre du RIFI, voir la fiche dédiée) ;
• Permettre aux services de police/gendarmerie, de l'administration fiscale ou encore de la CAF, dans le cadre de leur pouvoir d'enquête, de remonter et recouper des informations ouvertes ;
• Renforcer les mesures de background check liées à la LCB-FT (KYC).

Il convient de noter que le traitement de ces données doit s'effectuer dans le cadre du RGPD¹. La CNIL rappelle même que « utiliser le ROSO en vue de révéler des informations relatives à la vie privée, familiale ou professionnelle d'une personne ou permettant de l'identifier ou de la localiser et l'exposant à un risque direct, qui ne peut être ignoré, d'atteinte à sa personne ou à sa famille, est passible de 3 ans d'emprisonnement et de 45 000 euros »².

Comment se protéger contre la réidentification par le recoupage ?

Comme le dit l'adage « vivons heureux, vivons cachés ! ». Comme exposé plus haut l'anonymat n'existe pas » pourtant, cela n'empêche pas de limiter les risques de ré-identification. Dans ce cadre, il convient d'éviter la porosité des comptes en mettant en place une certaine étanchéité entre ces derniers à travers les mesures suivantes :

• L'utilisation de pseudos et de courriels différents pour les comptes ;
• Eviter la redondance dans la publication des photographies/vidéos sur les différents réseaux et plateformes ;
• Limiter la publication de données (adresse, documents d'identité, plaque d'immatriculation, cartes d'embarquement, etc.) et ne publiez pas de photos/données d'un tiers sans lui demander son consentement ;
• Être vigilant sur la politique de confidentialité des sites où les données sont publiées (Clin d'Sil à TikTok).

Le net est un environnement particulier, avec ses propres codes. Comme tout environnement, à l'image de la ceinture de sécurité dans une voiture, ou regarder à droite et à gauche avant de traverser, il convient donc d'adopter les mesures de prudence appropriées si, bien entendu, on souhaite contrôler ses données.

Footnotes

1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Reglement General Sur La Protection Des Donnees)

2. Article 223-1-1 du Code pénal

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.