Le doxing

Le doxing

Avant-propos et avertissement

Article concernant une forme de hacking.

[Je ne pourrais en aucun cas être tenu comme responsable de vos agissements, cet article est à but purement éducatif]

C’est quoi le doxing ?

Le doxxing, ou doxing est une pratique consistant à rechercher et à divulguer sur l’Internet des informations sur l’identité et la vie privée d’un individu dans le dessein de lui nuire. Les informations révélées peuvent être l’identité, l’adresse, le numéro de sécurité sociale, le numéro de compte bancaire, etc.

Le terme doxxing vient soit du verbe anglais « to document », qui signifie «fournir des preuves », soit de docs, pluriel de doc, abréviation de document.

D’après des chercheurs des universités de l’Illinois et de New York, la moyenne d’âge des victimes est d’environ 21 ans et les hommes sont plus touchés que les femmes par le doxxing puisqu’ils représentent 82 % du nombre total. Néanmoins, ce type de harcèlement ne touche pas que les plus jeunes puisque les victimes ont de 10 à 74 ans. Les personnes les plus visées sont les hackers, les passionnés de jeux vidéo et les célébrités

Source wiki

Quel est le but ?

Outre « faire chier le monde », on peut dire que cette pratique est employée de manière régulière sur les forums communautaires pour se venger d’une personne ayant insulté la dites communauté.

Cibler des personnes qui maltraitent les animaux, les pédophiles, des gens malsains, pour harceler des harceleurs, pour se venger

Quelles sont les conséquences ?

Nuire à l’autre. Il peut y avoir espoir de vindicte envers la cible. Si la personne est recherchée par la police pour X plainte cela sert de documentation « trouvée » sur internet. Cela peut engendrer perte d’emploi, difficultés familiales, renvoi d’établissement scolaire ou d’association.

Le harcèlement poussé par les communautés bien établies peuvent en arriver à utiliser les photos pour des détournements, parfois assez dévalorisants et surtout malveillants.

Divers utilisations de l’adresse : Pizza, livraison, appel de secours, swatting avec les forces anti-terroristes, menace en tout genre, …

Que dit la loi ?

Il y a clairement une atteinte à la vie privée dans le fait de révéler des informations d’ordre privé.

La calomnie mais dans ce cas, il faut viser les montages photos ou les mensonges mélangés aux informations vérifiables. Dans les deux cas, il y aura un étalement de vie privée.

Il est par ailleurs interdit de divulguer les informations d’une correspondance mais aussi interdit sans consentement de divulguer des données personnelles.

En conclusion

Au final, la pratique du doxing est juste l’art de se documenter sur quelqu’un. Cette technique est utilisée depuis longtemps par les services de renseignement, les espions, les détectives, les policiers, la concurrence, les industriels, les assurances.

Ils « montent » des dossiers. Il n’y a rien d’illégal quand c’est pour des recherches dites personnelles.

Par contre, si le but est l’étalement en public, la calomnie, l’espionnage, faire peur, harceler, faire du mal, détériorer sa vie, … c’est totalement illégal.

C’est l’acte qui vient suivant ce que l’on fait des informations recueillies qui est problématique.

La technique est borderline

Imaginez que quelqu’un gifle votre enfant sur le chemin du retour de l’école.
Vous allez chercher à savoir qui a fait cela.
Une fois son adresse en main qu’allez vous faire ?

Mais c’est du domaine du légal.

Je préfère ouvrir un système d’alarme pour savoir comment il fonctionne avant de l’installer, que de faire confiance à des multinationales pour venir les placer à mon domicile.

Les techniques expliquées ici c’est le même. Le but est de se prémunir de ce genre de pratique ou éventuellement de se défendre en cas d’attaque peu importe le type d’attaque.

Et après le doxing on fait quoi ?

Soit on arrête car on a réussi à placer assez de pression à l’autre. Soit on va plus loin.

Le « hot-reading » consiste à analyser les infos récupérées grâce à vos talents pour dessiner un portrait psychologique de la cible. Pour au final répondre à la question : « Qui est cette personne ?

On switch ensuite sur le social engineering qui est l’art de manipuler la cible afin d’en tirer un maximum d’information que l’on aurait pas eu autrement qu’en l’abordant directement.

Ce trio technique est à faire sans se faire voir, ni se faire connaitre. Sinon l’intérêt est bien amoindri.

Par ailleurs, beaucoup de gens sont très limités et vous n’aurez aucun mal en tirer ce que vous souhaitez.

Exemples d’ordre privé

Deux exemples pratiques que j’ai vécu et après exécution de cet art, j’ai visiblement calmé le jeu.

Le premier était un petit malin venu m’insulter et me menacer de mort sur un des réseaux sociaux. Le soucis est qu’il connaissait mon prénom et mon nom. Il prétendait connaitre mon adresse.

Sceptique mais pas crédule. A partir de son pseudo et de son adresse IP, en moins d’une heure, j’ai monté un dossier dans lequel j’avais son nom, prénom, adresse de son père et de sa mère (parents divorcés), numéros de téléphones fixes et portables. Adresses IP des deux domiciles. Numéro de carte bancaire de sa mère et de son père. Nom de leur fournisseur d’accès à internet.

Je connaissais son emploi du temps pour les semaines à venir en prime, vu que j’avais récupéré le nom de son établissement scolaire.

Je lui ai envoyé le tout dans un dossier zip. Il n’a pas accepté pensant que c’était un virus. Je lui ai alors présenté les documents un à un.

Il a vite déconnecté sans rien dire. Et je ne l’ai plus jamais entendu.

Finalement, la violence physique c’est bien l’arme des débiles.

Second exemple : Administrateur d’un forum. Je ban un connard. Il revient avec des menaces. Même pratique que plus haut. Moins de résultat mais finalité identique.

Mise en pratique

Pour la mise en pratique je vais inventer des données et surtout n’utilisez pas cette technique pour faire du tort aux gens qui ne vous ont rien fait, n’oubliez jamais comme l’a si bien dit les pères du rap IAM : « Même le pire des pouilleux a un ange gardien ».

Vous ne savez jamais réellement de quoi est capable celui en face.

Cette technique sert à vous prémunir comme je l’ai fais dans le passé. Mais jamais à attaquer.

Le but est d’exploiter TOUT ce que l’on a sur la personne pour en savoir plus.

Imaginons une personne vient nous harceler sur Skype.

Utiliser un Skype Resolver est une pratique étonnement efficace. Ce sont des sites internet qui partant du pseudo de la personne vont vous renvoyer son adresse IP.

Une adresse IP peut être récupérée depuis tout contact établi par mail. Tchat Facebook. Whatapps, commentaire sur n’importe quel site internet. Cela va de facile à compliqué pour la récupération.

Pour Skype pas de chance c’est facile.

Il suffit de coller l’IP dans un traceur d’adresses IP, ce qui va géolocaliser la cible sur un arrondissement de 50 Km en moyenne. Tout va dépendre de son fournisseur d’accès. Le mieux étant d’utiliser plusieurs traceurs d’IP de coller des « poinçons » dans Google MAPS.

https://www.ip-tracker.org/locator/ip-lookup.php?

http://stevemorse.org/jcal/latlon.php

https://itouchmap.com/latlong.html

http://www.latlong.net/

https://www.whois.com/whois/

https://who.is/

Ensuite avec l’échelle du site comptez 50 km tout autour pour avoir une certitude de trouver la cible là. C’est une grande zone. Très vaste. Rien de précis en vue de retrouver quelqu’un. Mais n’oubliez pas qu’il y a 5 minutes on n’avait qu’un pseudo qui nous insultait. Maintenant on a une zone de moins de 50 km².

Attention

La cible peut être cachée derrière un VPN (Système de « tuyaux » permettant d’être plus ou moins caché ou anonyme sur internet). Ce qui va fausser les résultats pour l’IP. Idem pour un proxy.

Du coup, vous pouvez envisager de passer l’adresse IP sur ces sites afin de voir si il y a un VPN ou autre qui se cache derrière :

https://ipleak.net/

https://www.ps3cfw.com/VPNDetector.php

Il existe des annuaires en ligne où il suffit de taper le nom et le prénom, l’adresse mail ou le pseudo pour avoir un tas d’informations des plus utiles.

Sur internet de manière générale

http://www.pipl.com

https://www.peoplelooker.com/

http://com.lullar.com/

https://www.spokeo.com/

https://radaris.com/

https://www.linkedin.com/

https://twitter.com/

www.google.com

Il est possible de trouver l’Email d’un pseudo Skype

http://skypegrab.net/skype2email.php

Trouver le pseudo d’une adresse Email est jouable

http://skypegrab.net/email2skype.php

https://resolvethem.com/email.php

http://mostwantedhf.info/email.php

Trouver le pseudo skype d’une adresse IP

https://resolvethem.com/ip2skype.php

http://mostwantedhf.info/ip2skype.php

http://skypegrab.net/ip2skype.php

Instagram, Facebook et Google image vous offrent une base de donnée gigantesque.

Tapez les adresses mails, les ip, les noms et prénoms, les dates de naissance et les pseudos de votre cible dans tout les sens et entre guillemet : « pseudo1459 » <= Les guillemets demandent à Google : Effectue une recherche de Pseudo1459 précisément s’il apparaît comme je l’ai écrit.

Sans les guillemets vous allez récupérer des sites contenants le mot « pseudo » et les chiffres 1 4 5 9 dont on se fout royalement.

Connaissez vous les Exif data ?

Alors quand vous aurez récupéré les photos, on peut pousser le vice bien plus loin attendez partez pas.

Connaissez vous les Exif data ? Non ? Moi oui.

Ce sont les données cachées dans vos photos. Clic droit sur une photo > propriété. Vous allez avoir une petite idée de ce que cela peut donner. Mais il y a pire.

Certains appareils logent les longitudes et latitudes des endroits où les photos ont été prises. Alors imaginez [Photo dans mon jardin] => Vous ouvrez ça en EXIF et vous découvrez l’adresse de la personne

http://exif-viewer.com/

Si le site fini par lâcher vous pouvez télécharger des logiciels qui font le même boulot.

Mon petit truc en plus à ce sujet que peut exploitent :

Ouvrez un document bloc note vierge, faites glisser un photo dedans.

Vous voyez les caractères étranges qui ne ressemblent à rien ?

Dedans vous pouvez trouver certaines infos en claire. Ca prendra 3 minutes.

Quand vous avez les photos vous pouvez aussi jouer avec ceci :

https://www.tineye.com/

https://images.google.com/?gws_rd=ssl

Si ces images viennent d’internet elles seront dupliquées un peu partout. Mais si c’est des photos privées elles ne seront probablement nul part ailleurs que chez votre cible.

Néanmoins, il est intéressant de savoir que beaucoup de personne mal intentionnée utilisent des photos de profil ne leur appartenant pas. Donc on peut parfois être étonné de trouver la photo de celui qui nous parle sur un profil chinois ou coréen.

Surtout quand notre interlocuteur n’a qu’une photo alors que le chinois ou le coréen en a plus d’une 50aine à son actif.

Pensez aussi à passer par : https://www.instagram.com/ qui appartient à Facebook.

Pour télécharger les photos d’Instagram vous pouvez : https://downloadgram.com/

Je sais que des fois ça peut être ennuyant.

Vous avez l’adresse et une photo de sa maison

Il est évident qu’une fois la latitude et la longitude retrouvée, ou le nom et le prénom, recroisé avec les infos d’un annuaire ou autre, il est possible d’aller sur Google Earth/Maps, taper tout ça puis cibler la maison => Capture d’écran.

Vous avez l’adresse et une photo de sa maison.

Merci et au revoir le harceleur.

Il est plus que normal de bloquer et de n’avoir aucun grain à moudre dans ce genre d’enquête.

Il faut juste se dire que l’on manque parfois de chance même si la chance n’y est pour rien.

La personne est juste peut être parano voir méfiante.

Comment s’en prémunir ?

Ne pas dévoiler ses informations privées sur internet.

Ne pas harceler les gens.

Dnl5 : En écoutant Agartha – Vald