Doxing : tout savoir sur la divulgation malveillante d'infos personnelles
C'est officiel : doxing se traduit désormais en français par "divulgation malveillante d'informations personnelles". Voici ce qu'il faut savoir sur cette pratique nuisible, passible de lourdes poursuites pénales en France.
On ne le dit jamais assez : il faut être extrêmement prudent avec ce que l'on publie sur Internet ! En effet, chaque petite information insignifiante, associée aux nombreuses autres qui pullulent sans que l'on se rende compte sur la Toile et à la masse d'utilisateurs, peut avoir de graves conséquences. C'est notamment le cas avec la pratique du doxing – également épelé doxxing, la contraction de "docs" (documents) et de "drop" (laisser tomber) –, un terme qui désigne l'acte de révéler les informations sensibles d'une personne, comme son véritable nom, son adresse postale, son numéro de téléphone ou l'endroit où elle travaille, publiquement, notamment sur Internet. Les personnes malveillantes y ont généralement recours pour harceler, menacer ou se venger.
Si le terme doxing date des années 90, ce n'est que le 24 février 2023 qu'il a le droit à un équivalent français : "la divulgation malveillante d'informations personnelles". En effet, la Commission d'enrichissement de la langue française (CELF) a fait publié dans le Journal officiel une nouvelle liste de mots étrangers utilisés couramment, notamment dans les domaines de l'informatique et d'Internet, comme sextortion (chantage sexuel), credential stuffing attack (cyberattaque par envoi massif d'identifiants), smishing (hameçonnage par texto) ou encore stalkware (logiciel traqueur).
Doxing : une pratique dangereuse aux conséquences graves
Désormais, le doxing se traduit officiellement par "divulgation malveillante d'informations personnelles", également abrégé "divulgation malveillante", et désigne la "diffusion d'informations personnelles concernant un tiers, qui est opérée sans son consentement et l'expose à un risque" – c'est par exemple le cas si l'adresse postale est divulguée ou si la victime subit du cyberharcèlement. Pour trouver ces fameuses informations, les doxers peuvent éplucher Internet à la recherche du moindre petit élément, notamment sur les réseaux sociaux, qu'ils assembleront – ce qui peut permettre de découvrir la vraie identité qui se cache derrière un pseudonyme par exemple. Ils peuvent également les acheter sur le Dark Web, les trouver en piratant les grandes plateformes ou via des campagnes de phishing. Plus rarement, il peut s'agir d'un proche qui possède déjà l'information.
Les personnes malveillantes peuvent recourir au doxing suite à une dispute en ligne, pour se venger, pour harceler une personne et même pour "s'amuser". Ces attaques peuvent être assez bénignes, comme de fausses inscriptions à des courriers ou des livraisons à domicile de – nombreuses – pizzas, mais elles peuvent également être très dangereuses, comme le cyberharcèlement – qui peut conduire au suicide –, le harcèlement physique de la victime ou de ses proches, l'usurpation d'identité, les menaces de mort, etc. Récemment, la pratique du swatting a gagné en popularité – surtout auprès des streamers, les cybercriminels cherchant à interrompre la diffusion du direct. Cela consiste à appeler la police pour signaler une urgence grave, comme une alerte à la bombe, un enlèvement ou une prise d'otages, à l'adresse de la victime. Une équipe d'intervention est alors dépêchée sur place et agit en conséquence. Malheureusement, certains cas de swatting se sont déjà terminés par la mort de la victime...
Doxing : un délit passible de lourdes poursuites
Même si la pratique du doxing date de plusieurs dizaines d'années, elle est toujours bien présente et, pire, elle se généralise grâce au développement d'Internet et aux générations de plus en plus connectées. Plus récemment, la divulgation malveillante d'informations personnelles est devenue un outil populaire chez les activistes, certains n'hésitant pas à s'en prendre à des personnes ayant des idéologies opposées – et ça marche dans les deux camps. De nombreuses célébrités, journalistes, mais aussi influenceurs sont régulièrement touchés par cette pratique.
Pourtant, le doxing est un délit en France. Jusqu'en 2020, la divulgation malveillante d'informations personnelles n'était pas définie dans le Code pénal et n'était donc pas réprimée en tant que tel, même si elle pouvait relever, selon les modes opératoires employés, de plusieurs infractions pénales, comme l'atteinte à la vie privée, la dénonciation calomnieuse ou encore l'atteinte au secret des correspondances. En 2021, la législation a été actualisée pour sanctionner spécifiquement les fuites de données personnelles visant à nuire à un tiers, notamment suite à l'affaire Samuel Paty, un professeur qui était la cible de menaces de parents d'élèves l'accusant d'être un "voyou" et un "malade" pour avoir montré des caricatures en classe, dans le cadre d'un cours sur la liberté d'expression. Suite à la divulgation du nom et de l'adresse de l'établissement scolaire dans lequel il exerçait, l'homme a été assassiné.
Aussi, depuis le 25 août 2021, l'article 223-1-1 du Code pénal punit pénalement le fait de révéler l'identité d'une personne sur Internet ainsi que des informations personnelles la concernant dans le but de lui nuire, avec une peine allant jusqu'à 3 ans de prison et 45 000 euros d'amende. En cas de circonstances aggravantes (mineur, femme enceinte, handicap, journaliste, élu, personne dépositaire de l'autorité publique, etc.), la sanction peut aller jusqu'à 5 ans de prison et 75 000 euros d'amende. Si jamais vous pensez être ou êtes victime de doxing, changez immédiatement tous vos mots de passe et activez l'identification à double facteur. Vous pouvez signaler le problème aux plateformes qui hébergent vos informations, car certaines d'entre elles, comme Facebook et Twitter, sont soumises à des conditions de service contre le doxing et doivent suspendre les comptes des auteurs. Vous pouvez également, si les choses vont plus loin, changer de numéro de téléphone, conserver soigneusement les preuves et, surtout, contacter les autorités compétentes.