Bonjour Brigitte, la forme ?



On ne le dira jamais assez, la protection de vos données personnelles est importante si vous voulez être tranquille, sans personne pour vous espionner.

Cette protection de votre vie privée ne se limite pas aux seuls éléments qui font votre vie privée : elle s’étend à toute donnée considérée comme personnelle et, à ce titre, le couple d’identifiant « nom prénom » en fait partie.

Mon billet parle donc de Brigitte. Je resterai volontairement flou dans ce billet car les données traitées sont privées, mais je pense qu’il sera assez clair pour voir le danger que je souhaite présenter.

Bref. Nous étions à une terrasse après PSES (Pas Sage en Seine), un ami me demande de démarrer le bluetooth pour m’envoyer une donnée et me voilà donc, à cet instant, avec un petit scanner bluetooth dans les mains. Tout se passe normalement jusqu’à ce qu’un petit détail attire mon attention : un Macbook air dans les environs.

Comment l’ais-je vu ? Via le bluetooth. Le nom de ce périphérique était « Macbook Air de Brigitte R. » (donnée volontairement masquée pour le billet, le nom était entier).

Ici, deux cas de figure : soit vous êtes en train d’halluciner, auquel cas la suite ne vous étonnera pas, soit vous vous dites « oui, et ? Ce n’est qu’un nom. » et je vous invite à lire attentivement la suite.

Avec un téléphone et google et en environ 5 minutes, voici les données récupérées sur Brigitte :

  1. Nom / Prénom (via bluetooth)
  2. Age
  3. Numéro de téléphone fixe / portable
  4. Adresses mail privées et professionnelles
  5. Adresse postale
  6. Profession
  7. Passions
  8. Sites ou Brigitte est inscrite, ce qu’elle y fait, certaines choses qu’elle dit, d’ou elle vient, son lieu de naissance, ses études, son dernier emploi, son domaine d’expertise
  9. 12 photos venant confirmer qu’il s’agit bien de la bonne Brigitte, que les données citées ci-dessus concernent bien la dame assise à quelques mètres de nous et pas une autre.

Je vous passe quelques détails que j’ai obtenu avec une recherche plus approfondie, une fois revenu sur un ordinateur et j’insiste : tout est parti d’un nom + prénom.

Imaginons maintenant les possibilités offertes par ces informations et tant qu’a faire, allons au fond des choses :

Cas N°1 : vu son adresse, elle est loin de chez elle. Je peux donc aller la cambrioler et vu qu’elle n’a pas de mari ni d’enfants, la maison sera vide.

Cas N°2 : Je peux me faire passer pour quelqu’un proche d’un de ses amis, elle en a plus de 150, ça ne devrait pas être difficile. Ensuite, je suis presque libre de faire ce que je veux, obtenir d’autre noms, des numéros de téléphone …

Cas N°3 : Je peux me faire passer pour un de ses élèves, Brigitte étant prof d’informatique dans une université parisienne. De là, je peux obtenir énormément d’informations privées : noms de certains de ses élèves, contenu de ses cours, ambiance ou rumeurs sur telle ou telle personne.

Cas N°4 : Je peux lui faire peur également, arriver devant elle, lui dévoiler toute sa vie et lui demander de l’argent. Je peux tout aussi bien lui mentir et lui faire croire que je suis une personne des forces de l’ordre afin d’obtenir sa confiance.

Ca semble fou et un peu tiré par les cheveux mais pourtant, c’est possible. Ce n’est d’ailleurs qu’une toute partie des choses possibles, toujours avec un simple nom et prénom.

Nous aurions pu faire tout ceci, lui mentir, lui faire peur et encore plein d’autres choses. Nous ne l’avons pas fait. Un de mes amis s’est levé et est allé la voir.

– « Bonjour Madame R. »
– « Euh, bonjour, on se connaît ? »
– « Non. Mais si vous tenez à protéger votre vie privée, désactivez votre connexion bluetooth, votre nom apparaît dessus. »
– « Ah, euh, merci. »

L’ami en question nous à confirmé que ça lui avait fait tout bizarre qu’une personne vienne la voir, lui donne son nom sans la connaître, et lui dise de faire attention. Imaginez l’espace d’un instant si nous étions allé la voir dans un autre but ?

Fin de l’histoire, Brigitte a désactivé son bluetooth et est redevenu une personne prenant un verre, dans un bar.

Réfléchissez et ne laissez pas traîner vos données personnelles partout. Cette fois-ci Brigitte nous a rencontré, mais ça aurait pu être une autre rencontre, d’un genre radicalement différent.

Vous aimez cet article? Partagez-le ;-)

TwitterGoogle +LinkedInMail
Flattr !

32 commentaires to “Bonjour Brigitte, la forme ?”

  1. avatar

    Pareil avec certains pseudo, le combo google facebook permet souvent de retrouver la personne. (personellement je stalke des filles sur des sites de rencontre) 😀

    • avatar

      C’est une technique :D, mais (et comme tu le soulignes), maintenant, un simple google + facebook donne déjà énormément d’informations et, si ça ne suffit pas, il y a 123 people et la recherche à l’ancienne : éplucher le net pour trouver des infos puis tout recroiser.

  2. avatar

    En tout cas ce billet est très bien rédigé.
    On le ne dira jamais assez : protégez votre vie privée ! C’est de pire en pire, surtout depuis l’arrivée d’un certain réseau social :).

    (Grâce à ce commentaire, tu as maintenant connaissance de mon adresse mail :o)

    • avatar

      Merci 🙂

      Ce n’est pas seulement de la faute de ce réseau que nous ne citerons pas, mais c’est plus général, le société tend à rendre les données privées banales d’un côté et, de l’autre, les gens ne sont pas sensibilisés à cette protection, qui s’avère nécessaire.

  3. avatar

    Il est regrettable que la réflexion sur cet article soit si peu développée. L’angle d’attaque est clairement placé sur le registre de la peur : « Imaginez l’espace d’un instant si nous étions allé la voir dans un autre but ? »

    La question a vraiment poser est : comment se fait-il que l’on puisse en connaître autant sur Brigitte ? Maitrise-t-elle la diffusion de toutes ses informations personnelles ? Lui a-t-on fourni toutes les instructions ?

    Il ne faut pas oublier que 99,99% du temps, les données personnelles sont utilisées dans un but commercial pour mieux cibler de la publicité. Le renseignement intérieur peut éventuellement s’en servir, dans un cadre tout de même serré.

    Il serait préférable de sensibiliser les personnes plutôt que de leur faire peur avec leur connexion Bluetooth.

    • avatar

      Ce n’est pas la réflexion qui n’est pas développée, c’est l’angle que j’ai choisi qui ne plait pas forcément.

      C’est en partie basé sur la peur, mais ce n’est pas non plus l’effet cherché, j’ai simplement poussé la réflexion dans tous les sens pour l’exploitation de ces données privées.

      Tu soulignes un point intéressant : l’utilisation commerciale de ces données privées (alors que le propriétaire de ces données ne touche rien), il ne faut pas l’oublier, c’est un fait, mais l’utilisation de ces données en est une autre.

      Je t’invite, si tu le souhaites, à développer ton point de vue (sous forme d’un billet ?) sur ces données privées, dans le contexte dont tu parles.

  4. avatar

    La peur est la meilleure arme de sensibilisation.
    On se sent toujours plus concerné quand nous sommes directement touchés

    • avatar

      C’est surtout ça, mais ça n’était pas pour faire peur, du moins pas directement. C’est surtout que, tout ceci, ça ne vient que d’un nom prénom, croisés sur une connexion bluetooth, dans un bar. Je peux m’orienter sur le scan et la recherche et là, je pense que des Brigitte, il y en aura bien plus.

    • avatar

      Attention Valentin, je te laisse réfléchir à quels partis politiques utilisent la même rhétorique que celle utilisée dans ton commentaire…

  5. avatar

    En même temps…. tu serait allé la voir, tu lui aurait demandé son nom et prénom (genre en simulant une enquête).

    Elle te les donne.

    Tu fait les mêmes recherche

    T’arrive au mêmes informations.

    Tu t’as pas fait chier a sniffer du bluetouf

    Morale : c’est pas un problème de Bluetouf, c’est un problème de données sur le net…

    Et si on peut plus poster tranquillement ses données sur le net sans être anonymes, c’est à cause de malades comme toi :p #kidding

  6. avatar

    Je n’ose pas croire que Brigitte est « prof d’informatique dans une université parisienne » ….

    On a du souci à se faire pour ses élèves !

  7. avatar

    Ce qui est délirant dans cette histoire est que la personne est « prof d’informatique dans une université parisienne ». C’est le cordonnier le plus mal chaussé, mais là c’est vraiment curieux :/

  8. avatar

    Mmmm, ouais ok, vous savez que quand vous appelez votre service client par ex orange, il peut arriver à la personne au bout du fil d’aller voir si y a un profil Facebook ou des infos sur vous sur Google « pour voir votre tête », par curiosité, parce qu’elle se fait chier, et elle a les données de base pour vous trouver….dc un bluetooth ça fait relativement moins peur.
    Ce qu’il manque c’est l’interview de Brigitte R. sur l’étendue de son empreinte numérique et à quoi ça lui sert.

    • avatar

      Hmm, nous ne travaillons pas dans le même service alors, personne ne fait ça là ou je travaille. Après, mais c’est un avis perso, je ne comprend pas l’utilité de voir la tête de la personne à qui on est en train de parler. Pour finir, son interview aurait été succincte puisqu’elle fait 4 lignes.

      Édit: oui, dans les faits, un ensemble de données sont accessibles à un ensemble de personnes et c’est bien le souci : l’exposition de ces données privées (et les utilisateurs sont tout autant responsables que ceux qui banalisent cette pratique)

  9. avatar

    Ane aux nimes : Ce genre d’amalgames est aussi utilisé par ces partis.

    Cette réflexion est stupide car la question n’est pas QUI utilise la méthode mais de quelle façon et dans quel but elle est utilisée 😉

    • avatar

      Sans aller jusqu’à dire que c’est stupide (chaque approche est bonne à prendre), c’est la méthode tout autant que son application qui sont bonnes à prendre, le qui, osef, tout le monde peut le faire.

  10. avatar

    C’est pour ça que chez moi ça dit « Macbook Air de Steve Jobs »

  11. avatar

    Marrant, l’avertissement sur la protection des données personnelles sur un site avec 6 traceurs bloqués par Ghostery…

  12. avatar

    Expérience intéressante, mais basé sur beaucoup de « et si… ».

    Par exemple, est-ce que tu vérifies les bagages de tous ceux qui montent dans le même train que toi ? Parce que n’importe qui pourrait avoir embarqué une bombe ?
    D’ailleurs, as-tu changé ta serrure par un modèle sécurisé ?
    Parce que les serrures, ça s’ouvre tellement facilement via du lock picking ou bump key.

    2 exemples un peu gros, mais dans le but de montrer que la société fonctionne assez bien dans l’ensemble, parce que les gens restent responsables et ne font pas n’importe quoi, sous le simple prétexte que c’est possible de le faire.

    • avatar

      Tu marques un point: les gens sont encore responsables. C’est d’ailleurs pour ça qu’un gang de cambrioleurs tournait quasi exclu sur Facebook, qu’un tueur également et que quelques autres malades.

      Certes, ce ne sont que quelque cas, mais quand même.

      Je ne vérifie pas les valises des autres mais cet exemple ne colle pas. Il faudrait que je puisse les vérifier à l’insu des propriétaires, chose plus délicate avec une valise.

  13. avatar

    Voici ce que je fais dans ce domaine (le nommage de machine).

    Lorsque j’installe ordinateur, pour l’identifiant sur le réseau, je choisi un terme bateau et vague, du genre « some_connected_computer », « le-pc-de-machine »… Aucune référence à sa marque, sa gamme, son modèle, son propriétaire, titulaire (même pas des initiales)…
    Ce nom de machine est un nom « en dur », non modifiable par la suite (à ma connaissance), il faut donc bien le choisir ! N’oubliez pas que ce nom de machine passe parfois en clair dans les emails (CTRL/CMD+F -> EHLO), idem pour certains noms de réseaux local(aux).

    Pour les noms personnalisés des appareils mobiles (téléphone, tablette, certains baladeurs, des imprimantes…), je note celui fourni par le système (au cas où), puis je me creuse la tête. Je donne sciemment de faux identifiants. Le nom reste relatif au type d’appareil ou sa fonction, mais évoque un autre fabricant, une gamme plus ancienne, un modèle qui n’existe pas, voire un faux nom propre, d’une personnage de fiction décédé… Ça permet de brouiller un peu les pistes.
    Le seul effet pervers ici serait que justement ça pousse à l’investigation, mais peu de gens le font. 😀

    Pour les réseaux Wifi, idem : ne pas mentionner l’opérateur, la principale machine connectée à celui-ci, l’entreprise ou l’association le cas échéant, ne pas inclure le mot de passe ni le moindre indice… En revanche « HADOPDI, on te voit ! » ou « VirusFormatageEnCours.exe » permet de s’amuser un peu ! Et sur le Web j’ai déjà lu « we_can_hear_you_having_sex » ou ce genre de choses ^_^

    • avatar

      C’est une bonne démarche et cela permet de garder le contrôle sur les données qu’on laisse sortir (celle qui sont à caractère manifestement privées et dont l’utilisateur est conscient (numéro de carte bleue, adresse (encore que)) … et celles plus délicates, genre un nom de machine qui contient nom + prénom, quand il a fallu enregistrer la machine.

      Le renommage d’un ordinateur (sous Windows comme GNU/linux) est possible, on peut aller jusqu’à changer l’adresse MAC d’une carte, tout comme changer le nom d’un point d’accès wifi ou bluetooth.

      Les techniques que tu utilises permettent déjà de ne pas laisser de traces visibles à ton nom, combinées à d’autres points, ça permet d’avoir un minimum de vie privée sur les Intertubes 🙂

      PS : j’ai rigolé sur les noms d’AP présentés 😀

  14. avatar

    – Bonjour, comment tu t’appelles ?
    – Je ne veux pas vous répondre car vous êtes surement un cyber-criminel qui va en profiter pour aller voler chez moi pendant mon absence.

    C’est vrai qu’il est tellement difficile de se procurer le nom d’une personne …
    Heureusement qu’il y a bluetooth.

    Cet article est idiot.

    • avatar

      Ton commentaire, pour rester courtois, est sans intérêt.

      Sans intérêt car si tu réponds cela, c’est que tu l’as mal lu, le problème étant ce que j’ai trouvé par la suite et, surtout, le fait que ces données, à la base privées, soient accessibles avec une simple connexion bluetooth.

      Tu as le droit de trouver ce billet idiot, comme moi de trouver ton commentaire vide de sens.

Rétroliens/Pings

  1. Atelier securité | Pearltrees - 21 juin 2012

    […] Bonjour Brigitte, la forme ?  Flame : cyberespionnage et guerre virale dans votre salon  Le virus informatique (un ver , en fait) le plus virulent du monde, Flame , qui infecte même les PC munis d’un antivirus, semble bel et bien être un produit des laboratoires gouvernementaux américains et israéliens. (Source Ars Technica ) Dans ce qui semble être la plus grosse opération de cyberespionnage de tous les temps, on a découvert la semaine dernière que Flame est relié à Stuxnet, ce puissant ver informatique, découvert en 2010, qui a attaqué les installations nucléaires iraniennes. Lors des prochaines élections législatives de juin, plus d’un million d’électeurs pourront ne pas se rendre dans l’isoloir et voter par Internet. Suite à la réforme constitutionnelle de 2008 voulue par Nicolas Sarkozy, le vote par Internet sera proposé aux « Français établis hors de France » qui éliront pour la première fois onze députés. Bugs, risques de piratages et de fraudes, sécurité et confidentialité non garanties, sous-traitance à des entreprises privées et délocalisation à l’étranger : le vote par internet est bien loin d’être infaillible. L’ancien gouvernement est pourtant passé outre. […]