CV : vie privée et hygiène numérique
27 mai 2024 AxerosDeratas |
Nous remercions /Yoan Blanc (Oscar Zulu), Marc Boissonnot (PredictaLab) et /Stéphanie Ladel (OSINT-FR) pour leur travail de relecture, de correction et d'amélioration avant la mise en ligne de ce tutoriel. |
C'est presque un lieu commun de conseiller de faire attention à la trace qu'on laisse sur internet. Depuis des années, on nous le dit : les employeurs scruteront nos réseaux sociaux pour savoir quel genre de personne nous sommes, il faut faire attention à son image publique.
Il est à noter que légalement un employeur ne peut consulter sur internet que des informations « professionnelles ». Dans la fiche n°14 de son guide du recrutement, la CNIL rappelle l'article L. 1221-6 du code du travail selon lequel « la consultation de données publiquement accessibles par le recruteur ne peut avoir pour finalité que d'apprécier la capacité du candidat à occuper l’emploi proposé ou ses aptitudes professionnelles ».
Toutefois, il serait naïf de croire que les informations, même personnelles, ne seront jamais consultées au cours du processus de recrutement.
Ce tutoriel va montrer comment utiliser des méthodes OSINT pour recueillir des informations sur une personne, en partant des données disponibles sur son CV. Toutes les informations déduites de ce CV seront surlignées en rouge dans la suite du document.
Pour illuster cette méthode, j'utiliserai mon propre CV, visible ci-dessous. Les informations clés pour les recherches sont : je suis étudiant à Polytech Angers et je m’appelle Anthonin Devas. J'ai également fourni une adresse email, un numéro de téléphone, une photo, et diverses informations liées à ma scolarité et mon expérience.
Remarque : certaines images seront floutées ou en partie modifiées pour ne pas afficher le visage de personnes sans leur accord.
1. Réseaux sociaux
Je vais commencer par parler de méthodes relativement évidentes de recherches sur une personne, tout en soulignant la nécessité de rester vigilant. Je ne citerai pas ici tous les réseaux sociaux mais je parlerai des principaux.
D'après un sondage fait par « The Harris Poll » pour « Express Professionals » en 2022 au Canada, 86% des entreprises Canadiennes affirment qu'elles licencieront un employé si du contenu non approprié était trouvé sur ses réseaux sociaux. Un autre sondage des mêmes entreprises de 2022 rapporte que 70% des entreprises américaines disent utiliser les réseaux sociaux pour recruter.
Même si ces chiffres ne sont pas directement exploitables pour la France, ils montrent l'importance qu'attachent les recruteurs aux informations présentes sur les réseaux sociaux.
Avertissement Lorsque vous consultez le profil d'une personne, celle-ci reçoit une notification et sait donc que vous avez consulté son profil. Certaines personnes utilisent un faux compte (on parle de « sockpuppet ») pour rester discret. |
LinkedIn est une source d’information évidente pour un employeur. Étant un réseau professionnel, il ne devrait pas y avoir de problème majeur avec votre profil, à condition de rester prudent dans vos commentaires et réactions aux messages, qui pourraient révéler plus que nécessaire.
En regardant mon compte /faye-devas, il n’y a pas beaucoup de nouvelles informations, et encore moins de données compromettantes. Cependant nous obtenons une information supplémentaire, en plus de Devas, j’utilise également le nom Faye :
Il est impossible de trouver mon profil en tapant mon nom sur Instagram, mais c’est peut-être différent pour vous, il faut donc être vigilant en postant sur ce réseau, particulièrement si votre profil est public.
Instagram est potentiellement une source importante d’informations compromettantes sur des futurs employés, portez donc une attention particulière à votre profil.
J'ai cependant un compte Instagram, mais non trouvable à partir de mon nom. Mon profil semble acceptable, à l’exception de mes « story à la une », une des catégories a pour nom « My war crimes ». Bien qu'elle ne contienne rien d’offensant, le nom pourrait être mal perçu.
À noter qu’il est actuellement impossible de voir spécifiquement ce que quelqu’un a « liké » sur Instagram, votre historique de likes ne devrait donc pas poser problème en l'état actuel des choses.
Mon profil Facebook ressort en tapant mon nom. Il est vide mise à part une photo de moi datant de 2020. Il n’y a donc pas d’information à trouver ici.
J'ai toutefois (avril 2024) laissé en public les amis que j'ai sur ce réseau, et cela permet notamment de trouver le compte de mon père :
Mon père publie énormément et ne met pas toujours ses publications en privé. À ce jour - en avril 2024 - son profil est accessible publiquement.
En fouillant dans ses publications, on peut découvrir des informations sur moi, notamment que j’ai eu un intérêt pour la moto. Ce n’est pas particulièrement intéressant à savoir et il faut me reconnaître sur les vidéos, mais j’ai effectivement appartenu à un groupe de motards.
Les profils Facebook existent souvent depuis longtemps et sont de moins en moins utilisés. Il faut donc être particulièrement vigilant à ce qui s’y trouve depuis des années.
Attention également aux proches qui publient beaucoup avec un profil public : des informations vous concernant peuvent apparaître par leur intermédiaire.
2. Reconnaissance faciale
Il existe un service appelé PimEyes qui utilise la reconnaissance faciale pour trouver d’autres photos à partir d'une seule. Pour cela le système analyse les données biométriques telles que la distance entre les yeux ou la forme du nez et il compare ensuite ces caractéristiques avec sa base de données.
Dans sa version gratuite, il est possible de s’en servir une dizaine de fois. Pour cela, il suffit de déposer une photo du sujet et de laisser faire.
Cette recherche a été pour moi la plus étonnante. En mettant la photo de mon CV, que n’importe qui peut trouver puisque c'est également ma photo de profil LinkedIn, j’ai pu retrouver des photos de moi que je n’avais jamais vues auparavant.
En examinant plus en détail l’origine de ces photos, j'ai découvert qu'elles provenaient du portfolio d’un photographe présent lors d’un évènement auquel j'ai assisté :
On peut donc déduire que j'ai un intérêt pour les sujets « geek ».
Remarque : vous avez la possibilité, même avec la version gratuite, de demander à Pimeyes de supprimer une photo où vous apparaissez. Une option payante permet de demander au service d'effectuer les démarches de suppression de la photo à sa source. |
3. Méta recherches : Holehe, Epieos, Predicta Search
Holehe
L'outil Holehe est open source et doit être installé dans un environnement d'exécution Python. Il permet d'interroger en temps réel une liste de sites web (121 en mai 2024) à partir d'une adresse email et indique si cette adresse est reconnue sur ces sites :
Cette adresse email n'est donc pas utilisée sur les sites référencés par l'outil Holehe.
Epieos
Nous pouvons effectuer une recherche similaire sur le site Epieos qui permet également d'obtenir de précieuses informations à partir d'une adresse email :
On trouve des informations liées à Google, mais sans réelle utilité, car je n'utilise pas les services Google (agenda, calendrier, etc).
Epieos offre également la possibilité d'effectuer une recherche à partir d'un numéro de téléphone :
Mon numéro n'a donné aucun résultat.
PredictaSearch
Nous remercions la société PredictaLab qui nous a permis de bénéficier gracieusement pour notre recherche de son offre payante : nous avons pu effectuer une recherche complète. |
L'outil en ligne PredictaSearch permet également de retrouver des informations à partir d'un email mais également à partir d'un numéro de téléphone.
L'offre gratuite permet d'utiliser complètement l'outil. L'offre sur abonnement permet d'obtenir des rapports plus détaillés, et propose une information sur une potentielle « fuite de données ».
Cette recherche donne le même résultat que précédemment, uniquement le compte Google :
On peut également lancer une recherche à partir d'un numéro de téléphone. Comme précédemment, on ne trouve rien qui « traîne » :
OSINT Industries
On peut aussi mentionner l'outil OSINT Industries qui est cependant uniquement accessible sur abonnement et que nous n'avons pas eu l'occasion de tester dans le cadre de ce tutoriel.
4. Recherche Google
Les avis Google
Grâce à l'outil open source GHunt, on peut, en fournissant une adresse Gmail, obtenir des informations sur une personne à partir de ses avis laissés sur Google.
Cet outil permet d’obtenir une adresse probable, les calendriers Google publics de la personne, etc. En l'utilisant nous pourrions même avoir les avis Google postés par une personne. On pourrait alors retrouver son restaurant préféré, sa salle de sport... Même si on s'éloigne un peu de la démarche initiale en faisant ça.
Voir ce qu’une personne est prête à partager comme avis nous aide à en apprendre plus sur celle-ci
Mon profil peut sembler peu intéressant de ce point de vue, puisqu'on ne trouve rien de nouveau. Cela peut également suggérer que je m'efforce de maîtriser mes traces numériques.
Recherches basiques
Si on veut des informations sur une personne, une première idée qui nous vient est de faire une simple recherche Google. Cependant les informations récoltées avec les outils précédents peuvent nous aider à affiner cette cherche et à trier le contenu pertinent de l'inutile. Continuons l'étude de cas sur ma présence en ligne.
En cherchant mon nom sur Google, on tombe sur beaucoup d’informations assez inutiles, et une minorité qui peuvent être pertinentes. Dans une situation réelle, une personne menant des recherches pourrait avoir beaucoup de mal à démêler l’utile de l’inutile.
Remarque : il est recommandé dans le cadre d'un diagnostic sur son empreinte numérique de rentrer son nom sur plusieurs moteurs de recherche différents puisque ceux-ci ont des méthodes d'indexation différentes et peuvent donc présenter des résultats différents en sortie. |
Parmi les résultats, j'ai pu évidemment trouver mon compte LinkedIn, mais aussi un rapport de projet de 2e année de cycle préparatoire et ma participation à un évènement en Finlande.
Le plus intéressant est un rapport d’un cours que j’ai suivi.
L’information intéressante n’est pas sur le contenu du rapport mais qui l’a publié. En effet il est écrit sur le rapport qu’il a été écrit par Anthonin Faye Devas (donc moi), mais qu’il a été publié par axerosderatas, un de mes pseudonymes sur internet.
À partir de cette information, de nombreuses nouvelles possibilités de recherches s’ouvrent. Commençons donc une recherche internet avec ce pseudo :
On retrouve le rapport précédent, ainsi qu'une nouvelle information : mon intérêt pour les jeux vidéo à travers une participation à plusieurs tournois Valorant.
Il est presque certain pour un regard extérieur que ces participations sont les miennes car l’équipe est inscrite à un événement étudiant comme appartenant à "Polytech ISTIA - Ecole polytechnique universitaire de l’université d’Angers".
On découvre que mon pseudo Discord est également axerosderatas :
5. WhatsMyName
Puisque nous avons à présent un pseudonyme, nous pouvons utiliser des applications ou services de recherches de profils comme WhatsMyName pour chercher tous les comptes associés à ce pseudonyme.
Nous l'utilisons avec le pseudo AxerosDeratas et nous trouvons trois résultats : mon compte Snapchat, mon compte Telegram et mon compte Chess.com.
Il n’y a aucune information supplémentaire à tirer de Snapchat. En revanche, ce n'est pas le cas pour les deux autres.
chess.com
Il est possible de retrouver quelques informations sur un profil même sans être inscrit sur le site, comme la photo de profil, le pays, la date de création ou la date de dernière partie jouée :
Telegram
Pour Telegram, on peut retrouver des informations plus personnelles. Sans même être en contact avec une personne, on peut obtenir un pseudonyme qui vient en surcouche du nom d'utilisateur (ici Faye Devas), une photo de profil (et l'intégralité des anciennes photos de profil sous réserve que celles-ci n'aient pas été supprimées) ainsi qu'une biographie :
À noter que la photo de profil que j'utilise actuellement sur Telegram est la même que celle d'Instagram. Il serait tout à fait envisageable d'arriver à retrouver mon compte Instagram en utiisant une recherche inversée sur cette photo de profil.
Il faut également prendre note qu’avec ce genre de services, si votre pseudonyme est trop commun, vous serez essentiellement indistinguable de tous les autres homonymes, ce qui est une bonne chose pour votre anonymat.
Conclusion
À travers ce tutoriel, on constate qu’il existe de nombreuses manières d'obtenir des informations « privées » à partir d’informations divulguées publiquement sur un CV comme le nom, l'adresse mail, un numéro de téléphone ou une photo.
Pour se protéger contre ce genre de recherches, il est conseillé de mettre ses profils en privé autant que possible et de limiter les informations disponibles.
Dans ce tutoriel, nous trouvons le pseudonyme à partir de la vraie identité, mais l'inverse est également envisageable. C'est en général préférable de bien séparer les deux, même si ce n'est pas toujours facile. Malgré tout, ne tombez pas dans la paranoïa, la plupart de ce qu’on peut trouver sur internet est anodin.
À titre personnel, ce n’est pas dérangeant qu’on puisse voir que j’ai perdu un tournoi Valorant. Plus généralement, je pense maîtriser mon empreinte numérique : les différentes informations en ligne me concernant ne me portent pas préjudice.