Data Mining sur le Web : What The Internet Knows About YOU
Par Mathieu le samedi 27 novembre 2010, 08:52 - Informatique - Lien permanent
Le Data Mining est une discipline assez récente de l’informatique qui consiste principalement à faire de l’extraction de données sur de très grandes bases de données brutes. Le Data Mining sert à donner un sens aux données, en extraire les relations masquées et non triviales, bref à exploiter la base de donnée. Le Web peut être considéré comme une gigantesque base de donnée. Let’s play.
Cet article présente, après un bref rappel sur l’anonymat relatif sur internet, certains outils utilisés de manière extensive par certains DRH peut scrupuleux, et la dernière partie vous explique comment vous en protéger.
Je suis sûr qu’il existe des outils pour effectuer des recherches automatiques, à défaut de les connaître, j’utilise une combinaison d’outils que je vais détailler ci dessous. Une plongée dans ce que l’internaute ne voit pas.
On peut utiliser les techniques ci dessous pour énormément de choses, des bonnes et des moins bonnes (souvent les moins bonnes), je les présente ici à titre informatif, car ce sont des techniques utilisées par les recruteurs, chasseurs de têtes, et autres DRH un peu tatillons. En sachant comment ils agissent vous saurez comment vous protéger. Une petite ouverture sur l’enfouissement de données sera également faite en fin d’article.
Notions générales - enfoncement de portes ouvertes
Votre pseudo n’est PAS anonyme
Les gens pensent s’anonymiser par un pseudo, et ainsi se protéger des représailles de leurs supérieurs. Oui mais non. Voici quelques rappels :
- Votre fournisseur d’accès vous connaît, de toute façon.
Dire des insanités sur un blog peut vous valoir une plante en bonne et due forme par l’éditeur du blog où vous avez commenté, si le blog vous appartient, un tiers peut lui aussi réaliser une demande d’identification en portant plainte, la justice se chargeant de transmettre la demande à la plate-forme d’hébergement, qui obtempère en général assez vite. - Le pseudo ne fait pas tout.
En général, lorsque vous êtes amené à publier quelque chose, on vous demande aussi votre adresse mail, en plus du pseudo. À partir de là, vous êtes aussi identifiable de la même manière. De même, si vous nommez explicitement des lieux ou des personnes, un lien peut rapidement être trouvé, via les outils que je présenterais plus en détail ensuite.
Du pseudo au prénom, voire plus
Il y a plusieurs moyens pour déduire le prénom à partir du pseudo, certaines plate-forme un peu mal foutues (Windows Live Spaces pour ne pas le citer) laissent fuiter votre prénom. De même, vous pouvez aussi vous faire avoir sur Twitter ou Facebook, selon que vous n’ayez pas fait attention à la relation entre l’URL de profil et le nom réel affiché. Oups.
Le nom, l’identité
À partir du nom (ou du couple nom/prénom), l’identification devient un jeu d’enfant, pour peu que vus soyez inscrit à un club, un comité des fêtes, une association, ou un organisme qui laisse fuiter ses informations membres un peu facilement. Il devient alors très facile de retrouver vos hobbies, habitudes, lieu de travail, et adresse.
Du nom à l’adresse
Vous avez une ligne de téléphone fixe ? Un abonnement internet ? Un téléphone portable ? Votre adresse est alors certainement dans un des nombreux annuaires publics. Du nom à l’adresse, il n’y a qu’un pas.
Les outils du Black Hat
Ce n’est pas pour rien que Google est votre ami, c’est l’outil indispensable (bien que souvent incomplet) pour extraire des informations du Web. Il sufit juste de lui poser la bonne question. Essayez par exemple avec votre pseudo habituel ou votre nom de famille, voir votre nom et prénom. Les résultats bruts sont déjà souvent surprenants. En affinant la recherche, en se limitant aux blogs ou aux images, on peut sortir des informations encore plus intéressantes, et quelques notions de Google Hacking, on peut obtenir beaucoup !
Essayez par exemple :
- intitle:(profil|profile) votrepseudo
- site:twitter.com votrepseudo
Moteurs de recherche spécialisés
Google a des variantes intéressantes, on peu même « Créer un moteur de recherche personnalisé » via le système de recherches personnalisées (compte Google requis), mais la base qui est alors utilisée pour la recherche est moins complète que l’originale, ce qui peut être un avantage si les résultats sur l’original étaient trop « chaotiques ».
Bref, Google c’est bien mais ça ne fait pas tout, certains moteurs spécialisés, qui sont en général des méta-moteurs font bien mieux ! À titre d’exemple, essayez 123people.fr, vous risquez d’être surpris !
Ces moteurs sont des méta-moteurs, c’est à dire qu’ils interrogent d’autres moteurs de recherche, et en sortent pour vous l’information pertinente, 123people interroge les pages jaunes, Facebook Twitter, Google, et d’autres moteurs, et vous présente même un résumé des recherches sous forme de nuage de tags (mots-clef).
Plus simple : le WhoIs
Dans la catégorie des outils « Simples mas il faut être informaticien », il y a le whois. Le WhoIs est une commande shell (accessible via plusieurs interfaces web, pour les neuneus) qui interroge une base de donnée publique contenant … le nom, adresse, numéro de téléphone du propriétaire d’un domaine !
Assez de sensationnalisme, il y a quelques bémols :
- Il faut que le domaine appartienne à l’éditeur du contenu, exit donc les hébergeurs gratuits, en général.
- La plupart des registrars (« hébergeurs » de domaines proposent un système pour masquer les informations de contact, au moins en partie.
Tu veux être mon ami ?
Attention : Les techniques qui sont présentées dans ce paragraphe relèvent de l’usurpation d’identité et du vol de données personnelles, punie très sévèrement dans le cadres de la (future ?) loi LOPPSI.
Il existe un excellent moyen d’ouvrir un profil privé (souvent un profil Facebook), c’est tout simplement de demander la personne en ami.
Bon, dans la théorie c’est simple, mais en fait il y a un minimum de prérequis pour que ça marche :
- Avoir assez d’informations sur la personne
- Avoir au moins le nom (avoir une photo en plus c’est encore mieux) d’une personne que cette personne connaît, et qui n’est pas encore inscrite sur la plateforme, ou que la personne n’a pas encore en ami.
Dès l’acceptation de la demande d’ajout (avant qu’il ne s’en rende compte et vous en retire l’accès), aspirez tout le profil, vous pouvez vous aider d’une application pour cela, par exemple sur Facebook le simple fait d’utiliser une application donne à l’application les mêmes droits que vous (ou presque) sur le profil de vos amis. Il devient alors facile d’automatiser le processus d’extraction d’un profil.
Encore plus fort, encore plus interdit, puisque une application a les mêmes permissions que vous (ou presque) sur votre compte, vous pouvez aussi pousser la personne à ajouter votre « application spyware », qui dumpera alors le profil de la personne … avec les permissions de la personne ! Vous aurez ainsi accès à des informations que cette dernière aurait put vous rendre inaccessible, ainsi qu’à des informations que les amis n’ont pas c’est à dire les listes d’amis, les albums privés, etc !
En résumé
S’il y a quelque chose à retenir de tout cela, c’est que plus on a d’informations au départ, mieux c’est. Avec plus d’informations sur la personne, on peut en tirer des informations plus précises, éviter les pièges des doublons et des « faux positifs ». Il faut également être méfiant vis à vis des informations sorties, le Web étant public, il est possible que ces informations aient été altérées, soit intentionnellement par un professionnel pour faire du tort (ou non) à la personne, soit non intentionnellement par le jeu des doublons et mises en cache.
Exemple pratique
Prenons l’exemple de Simone. Simone est secrétaire dans une grande entreprise de services. Simone a un blog, mais elle n’y met rien d’intéressant ni de très personnel, juste des anecdotes sur ses collègues ou sa vie de mère de famille. Rien de très grave. Pour l’instant.
Un jour, une de ses amies lui envoie une invitation pour s’inscrire à Facebook. En utilisatrice curieuse d’internet (ou plus précisément, du Web), Simone s’inscrit, et crée un profil. Simone va assez peu remplir son profil, puisqu’elle a déjà un blog, elle estime que cela ne sert à rien, mais elle publie quand même l’URL de son blog, de toute façon ses amies et collègues proches connaissent déjà son blog, et publient même parfois des commentaires. Et puis Facebook c’est privé, non ?
Les semaines et les mois passent, et Simone continue de publier sur son blog, mais à présent chaque nouvel article est annoncé sur son profil Facebook, parce que beaucoup de ses amies ont un smartphone, et peuvent ainsi commenter directement les articles, c’est pratique.
Et pus un jour, Simone publie un billet gentiment moqueur sur le nouveau stagiaire, celui qui bégaye un peu, et qui a des problèmes capillaires. De toute façon ce n’est pas méchant, et puis comment il aurait sut que l’ont parlait de lui ? Elle publie avec un pseudo sur son blog, on ne peut pas savoir que c’est elle, hein ?
Oui mais Simone s’est faite avoir, lors d’un changement de la politique de confidentialité de Facebook, Facebook a rendu son profil public, Simone n’avait pas compris la question et avait coché « Oui » à la question « Voulez vous conserver ces paramètres pour votre profil », et le temps passant, elle avait complètement oublié cette histoire.
Il se trouve que le jeune stagiaire est inscrit sur Facebook et a rejoint le réseau (public) de l’entreprise, et se met à rechercher ses collèges. Il tombe sur le profil de Simone, et sur l’URL de son blog. Il lt l’article et se reconnaît. Vindicatif bien que timide, il décide de se venger. Il se met alors à rechercher des informations sur Simone, trouve son adresse et l’inscrit à des formulaires de jeu-concours ou de demandes de brochures. Simone se met à recevoir de la publicité dans sa boîte aux lettres.
Il va ensuite s’inscrire sur un forum que fréquente Simone et sous couvert d’anonymat va révéler les petites choses que Simone ne voulait pas que l’on sache. Simone est humiliée, mais ne sait pas qui peut lui en vouloir ainsi.
Simone alerte sa direction mais rien n’y fait, et elle commence à recevoir des coups de téléphone anonymes à des heures tardives. Simone déménage et change de numéro de téléphone, mais quelques semaines plus tard le cauchemar recommence. Simone avait publié sur Facebook sa nouvelle adresse et son nouveau numéro de téléphone.
Pour terminer, un jour Simone veut se connecter à son compte Facebook mais n’y parviens plus, elle reçoit des textos inquiets de ses amies qui lui dise qu’elle ne devrait pas publier ces vidéos pornos. En fait le stagiaire a volé son compte Facebook en passant par sa messagerie, le mot de passe était le prénom de son fils suivi de son année de naissance. Simone n’a plus le contrôle de son profil Facebook, on la regarde bizarrement au bureau, elle entre alors en dépression et finit par se faire licencier un jour où elle traite son patron de connard, un jour où elle n’en peut plus.
Simone a beaucoup de mal à retrouver un emploi, ses potentiels employeurs étant quelque peu refroidis par les images choquantes de son — désormais faux — profil Facebook. Simone est désemparée. Ce n’est pas sa faute. Enfin, si, un peu quand même :
- Simone n’a jamais porté plainte, elle a avertit sa direction mais ils ne sont pas habilités à ouvrir une enquête de police, c’est comme si Simone n’avait rien fait.
- Simone a crut que son blog était anonyme.
- Simone a crut que son profil Facebook était privé.
- Simone a cédé à la panique, un peu bêtement.
- Simone ne s’est jamais interrogée sur le fait que ses articles auraient put blesser.
Comment se protéger
Protection passive
Vigilance. S’il y avait un mot pour tout résumer, ça serait celui ci. Non, vous n’êtes pas anonymes sur Internet, Non les réseau sociaux ne sont pas privés, Non, votre blog et ce que vous publiez sur le Web est public.
- Vigilance vis à vis du contenu que vous produisez.
- Vigilance vis à vis de la manière de le produire.
- Vigilance vis à vis des interdépendances entre vos profils et vos réseaux. Un pseudo, mais le même partout ?
- Vigilance vis à vis des faux profils et de votre visibilité en ligne, googlez vous régulièrement pour vérifier, ou alors créez une alerte Google.
Vigilance.
Applicable aussi et surtout si vous avez de jeunes enfants qui surfent seuls sur le Web. Le meilleur contrôle parental c’est vous et le dialogue que vous avez avec votre enfant. C’est vous les parents, un logiciel n’empêchera jamais un enfant de publier des choses qu’il pourra regretter plus tard.
Protection active
Quand c’est trop tard, quand le mal est fait, on peut encore faire quelque chose. Quelques conseils pour les (futures ?) Simone qui lisent cette article.
- Retrait de contenu : si un contenu vous est volontairement blessant, injurieux, ou si vous souhaitez retirer votre compte et toutes vos publications d’un réseau, en général il suffit de le demander gentiment par mail à l’administrateur du réseau en question qui ne s’y opposera pas. En cas de besoin, utilisez la justice et portez plainte.
- Enfouissement : quand on ne peut pas retirer un contenu, pour une raison ou pour une autre, on peut toujours l’enfouir. Cela revient à « noyez le poisson » pour ne plus figurer dans les premiers résultats de recherche. Il vaut mieux pour cela faire appel à un professionnel, qui pourra lui aussi tenter l’opération de retrait des contenus, et à défaut l’enfouissement.
- Rayonnement : et pourquoi ne pas utiliser le Web de manière positive ? Vous pourriez créer un profil Facebook public attractif, incluant un lien vers votre CV, une page sympathique et unique que ne manquera pas de trouver un potentiel recruteur. Attention cependant aux offres gratuites pur la conception de cette page, ce genre de page doit être personnalisée, sans publicités sur le côté. Le choix d’un nom de domaine peut également s’avérer judicieux.
Conclusion
Il y a énormément de choses que je n’ai pas dites, par exemple je n’ai pas parlé du système pages fan de Facebook, ou encore des fonctionnalités « and » sur les liens d’amitié. C’est voulut, je n’ai pas détaillé les requêtes FQL pour dumper un profil, et je ne fournis pas l’application spyware. J’ai également fait l’impasse sur les annuaires des universités (pour les étudiants) et les méthodes pour s’introduire dans ces réseaux de confiance (qui bien souvent sont vulnérable à quelques injections SQL).
C’est voulut, cet article est à but informatif, pour vous faire prendre conscience de l’importance du contrôle de vos donnée sur le Web. Cette absence de prise de conscience est un aubaine pour les DRH, mais aussi pour les voleurs de carte bancaire, de chéquier, ou même les voleurs d’identité.
En espérant vous avoir fait réfléchir, prenez soin de vous et n’hésitez pas à commenter … derrière un pseudo ;) .
Commentaires
pauvre simone ^^
Parlant de se googler, ça peut même nous sauver la vie !
http://bloguenerdz.ztele.com/un-bon...