Mois : septembre 2022

Faire un pas de côté : brouteur, sextorsion, hygiène numérique et bonnes pratiques

Sur Twitter, un nouveau thread a fait le buzz ces derniers jours. C’est d’ailleurs le cas de beaucoup de threads. Mais celui-ci a particulièrement attiré mon attention. Si bien que j’ai moi-même fait un thread à propos de ce thread, ce qui est contraire à mes habitudes, vu que je râle toujours sur les threads. Ça fait beaucoup de fois threads. Vous voyez comme c’est énervant ? Voici donc un petit billet de blog qui en découle. Je l’avais promis :

Bref, revenons à notre sujet initial : le thread en question. Pour la faire rapide, on a une personne qui a créé un faux profil Twitter en se faisant passer pour un gamin de 12 ans. Il a bien évidemment attiré dans ses filets un brouteur. Pour ceux qui ne savent pas ce qu’est un brouteur, il s’agit d’une personne qui se fait passer pour une autre dans le but de vous arnaquer. Il s’agit souvent de chantage affectif et/ou sexuel, mais également des arnaques plus générales concernant des biens à vendre ou louer, des campagnes d’hameçonnage en se faisant passer pour la gendarmerie ou autre. Cette personne tente donc de gagner votre confiance ou de vous effrayer avant de vous extorquer de l’argent.

Le brouteur en question s’est donc lancé dans une démarche de chantage sexuel après avoir obtenu des photos du faux jeune, nu. Dans ce fameux thread Twitter, la personne qui a attiré le brouteur se retourne contre lui, indique comment ne pas se faire avoir, quel comportement adopter, etc. Je rappelle que le compte est faux, que les photos envoyées sont fausses, et que le visage du jeune de 12 ans est celui de quelqu’un qui n’existe pas. Cela ne devrait donc en théorie causer de tort à personne. En théorie oui, mais…

Dans un autre thread, en réaction au premier, une victime de sextorsion raconte son histoire et rappelle que, même lorsque l’on sait, même lorsque l’on est informé, on peut toujours se faire avoir. Les sentiments, la confiance, ça ne se contrôle pas toujours. Surtout selon les âges. Les mécanismes mis en place par ces brouteurs, leur façon de tenir leur victime en otage au risque de détruire leur vie, sont bien rodés. Des jeunes se suicident régulièrement, ne sachant plus comment s’en sortir.

Là, j’entends venir le classique refrain : Oui mais (ça commence mal) le/la jeune n’avait qu’à pas envoyer ces photos à un(e) inconnu(e). On est en 2022, tout le monde sait qu’il ne faut faire confiance à personne sur Internet. Il/Elle l’aura tout de même un peu cherché.

Le problème qui saute aux yeux lorsque j’entends ce genre de discours, c’est que tout le monde semble avoir subitement oublié que nous avons toutes et tous été jeunes. Que nous avons toutes et tous fait des erreurs, mais surtout que nous avons pour beaucoup grandi sans les nouvelles technologies et tout ce qu’elles permettent. Il n’y a qu’à revenir 20 ans en arrière, quand j’étais au collègue, avant Facebook et autres… Si certains voulaient s’en prendre à moi, ils avaient des possibilités de diffusion assez limitées : le collège, éventuellement le village, et ensuite tout le monde oubliait ça en quelques jours/semaines. C’est d’ailleurs probablement ce qui m’a facilité la tâche, mais je m’égare. Bref, nous avons tous fait des erreurs, des conneries, mais les conséquences étaient relativement limitées. Nos enfants ne connaîtront jamais ça.

En gardant tous ces éléments en tête, et en tant que papa, j’essaie de faire un pas de côté, et de prendre un peu de recul sur le sujet. J’ai des enfants, en bas âge pour le moment, mais ces enfants grandiront. Ces enfants tout comme leurs camarades auront une vie, un téléphone, des amis, des secrets… Et j’aurai beau essayer de prévenir le plus possible, de les éduquer aux différents dangers, il me sera bien inutile de leur interdire certaines choses qui seront tout de même faites dans mon dos. Alors pourquoi ne pas plutôt les éduquer, et essayer des les protéger au mieux si un jour mes enfants se retrouvent à échanger du contenu qui pourrait leur porter préjudice ensuite ?

Dans le cadre d’une arnaque au chantage sexuel, notamment par l’échange de photos ou de vidéos, ou même dans le cadre d’un échange de photos et de vidéos légitime avec leur partenaire du moment, il y a quelques bonnes pratiques à garder en tête.

La première, qui évitera d’avoir à suivre les suivantes, est de ne tout simplement jamais envoyer de photos ou de vidéos qui puissent se retourner contre vous plus tard, mais repensons au paragraphe plus haut où je rappelle que nous avons tous fait ce genre de chose, et qu’on peut très vite se laisser emporter.

La seconde bonne pratique, si vous ne suivez pas la première, est de ne JAMAIS montrer votre visage sur ces photos ou vidéos. Ça limitera déjà les possibilités de vous identifier, et il sera plus difficile de vous faire chanter. Et ce que ce soit un brouteur ou un(e) ex un peu rancunier (et surtout stupide). En effet, si on ne peut pas prouver que c’est vous, quel est l’intérêt de publier les photos, sachant qu’il n’y a pas de moyen de pression réel ?

La troisième bonne pratique consiste, dans la lignée de la seconde, à ne pas partager de signes distinctifs sur ces photos : bijoux, tatouages, tâches de naissance, grains de beauté, … Tout ce qui correspond à une de vos particularités physiques permettant de vous identifier, même si on ne voit pas votre visage. Non, tout le monde n’a pas Droopy tatoué sur le dos de la main gauche ! Encore une fois, le but est de limiter les possibilités de vous identifier, et donc de vous faire chanter.

Enfin, quatrième et dernière bonne pratique, à cumuler avec les autres bien entendu : Pensez toujours à l’arrière-plan de la photo ! Un meuble, une photo, un poster, tout peut servir à ceux qui vous connaissent pour vous identifier, et donc au brouteur ou à l’ex de vous faire chanter, puisqu’il sera avéré qu’il s’agit bien de vous. Pensez plutôt à un mur tout blanc. C’est très bien un mur tout blanc.

Enfin, dernier point important et à ne surtout pas oublier : Vous pouvez malgré tout vous faire avoir, et ce NE sera PAS de votre faute ! VOUS êtes la victime ! VOUS n’êtes PAS trop naïve ou trop naïf ! VOUS subissez les agissement d’une AUTRE PERSONNE ! N’hésitez pas à vous tourner vers des proches de confiance pour être aidée ou aidé, et n’hésitez pas à porter plainte. Mais s’il-vous-plaît, ne culpabilisez pas, et n’hésitez pas à aller chercher de l’aide. Encore une fois, c’est vous la victime.

Et pour les parents qui seraient confrontés à ce genre de situation avec leurs enfants, ne les enguirlandez pas. Enfin si, mais pour éduquer, pas pour blâmer. Votre enfant est la victime, votre enfant ne pensait pas faire une telle erreur, et votre enfant est la victime. Accompagnez-le, soutenez-le (votre enfant), montrez-vous présents, mais surtout n’oubliez pas : c’est votre enfant la victime.

Courriels et professionnels de santé, mais pas qu’eux

Disclaimer : Dans cet article ne sont pas expressément ciblées les personnes concernées, à qui aucun reproche n'est directement fait.

Il n’est pas un secret, suite à cet article où j’expliquais mon parcours, que je consulte des médecins pour mes différents troubles neurodéveloppementaux. Des médecins dans le domaine de la psychiatrie, et des psychologues. Rien d’anormal jusque-là, et rien qui doive être caché.

J’ai dû ce matin contacter mon psychiatre, par l’intermédiaire de son secrétariat, pour une demande concernant mon dossier. J’ai donc envoyé un premier courriel assez générique, contenant peu d’informations. Ce courriel contenait ma clé de chiffrement publique, dans l’espoir d’aller vers un échange chiffré lors du passage aux échanges qui concernent mon dossier patient, et donc mes données médicales. Petite parenthèse pour les personnes non techniques : pour chiffrer un courriel et le rendre lisible uniquement pour l’expéditeur et le destinataire, chacun des deux doit disposer de la clé publique de l’autre. Le déchiffrement se fait ensuite grâce à la clé privée de chacun. Pour des informations techniques complémentaires, je vous invite à visiter cette page.

Après deux trois échanges standards, la personne qui me répondait m’indique ne pas pouvoir ouvrir ma pièce-jointe. Attends, quelle pièce-jointe ? Je regarde rapidement mes courriels envoyés et là, le déclic. Cette personne me parle du fichier .pub, soit ma clé de chiffrement envoyée avec mes courriels.

De cette réponse de sa part découle une observation assez simple : le secrétariat de ce spécialiste ne sait pas chiffrer des courriels. Vous me direz, la plupart des utilisateurs de cet outil ne savent pas chiffrer leurs courriels, ni l’existence de cette possibilité. Et ce n’est pas là le problème. Ici, nous sommes face à des personnes qui manipulent à longueur de journée des données personnelles et sensibles : des données de santé.

Pourtant, les données de santé sont considérées comme des données sensibles, protégées par le secret médical. Celles-ci doivent être hébergées auprès d’un organisme certifié pour l’hébergement de données de santé. De la même façon, l’échange des données de santé doit respecter le cadre juridique défini par l’article L1110-4 du code de la santé publique. Même si je n’ai retrouvé aucune source pour le moment indiquant qu’il s’agit d’une obligation légale, la CNIL donne plusieurs recommandations concernant l’échange de ce type de données par messagerie ou fax.

Beaucoup d’entre vous pourront se dire que ça ne risque pas grand chose, et que de toute façon, vous seul(e) avez accès à votre messagerie. En êtes-vous si sûr(e) ? Une rapide recherche concernant Google, pour ne citer que la messagerie la plus utilisée, révèle très clairement que vos courriels sont tous analysés, ainsi que leur contenu. Maintenant, vous allez me dire : Mais que pourraient-ils bien en faire ? Google, directement, pas grand chose, sauf s’ils ont des filiales dans la santé (puisque c’est le sujet qui nous intéresse ici). Mais que se passe-t-il si, parmi les partenaires de Google, se trouvent votre banque, votre assurance santé, ou tout autre acteur de ce type ? Quels tarifs vous seront ensuite appliqués sur des bases infondées ? Comment pouvez-vous également vous assurer que personne de votre famille n’a accès à des courriels que vous aimeriez garder pour vous ?

Et c’est bien là que le bât blesse. Même si vous n’avez « rien à cacher », tout ne doit pas pour autant être rendu public. Et il est selon moi anormal que nous n’ayons pas en 2022 plus de sensibilisation à toutes ces problématiques chez les acteurs du système de santé, que ce soient les praticiens ou leurs équipes administratives. Aujourd’hui, la sensibilisation à ces sujets est essentiellement réalisée par les hacktivistes, dans des cercles plutôt restreints. Il est temps que cela évolue. D’autant plus que, si les acteurs de la santé ne veulent pas s’embêter avec des aspects techniques parfois complexes à mettre en œuvre seul, de nombreuses solutions externalisées existent comme MSSanté, service proposé directement par le Ministère de la Santé et de la Prévention. Il est temps de sensibiliser l’ensemble des personnels de santé à ces problématiques, et je pense échanger rapidement à ce sujet avec les miens lors de mes différents rendez-vous à venir.

J’ai pris l’exemple des professionnels de santé dans ce petit billet, mais ils ne sont pas les seuls concernés. Qui s’est déjà vu proposer un échange de courriels chiffré par sa banque, par son/sa notaire, par les services publics, par l’assurance maladie ? Le problème est vaste, et Internet rend les données personnelles plus critiques que jamais, notamment par la facilité d’accès à celles-ci, ainsi que les possibilités importantes de diffusion.