C’est le thème d’un rapport préparé par la Direction de l’analyse des technologies du Commissariat à la protection de la vie privée du Canada en ce jôli mois de mai 2013 et dont voici les conclusions :
En règle générale, les résultats permettent de conclure que, contrairement aux simples données contenues dans un annuaire téléphonique, les renseignements examinés peuvent servir à dresser un profil très détaillé d’une personne, de même que révéler ses activités, ses goûts, ses penchants et son style de vie.
Aux fins de la recherche, le Commissariat a mené de simples tests afin de déterminer le type de renseignements pouvant être obtenus à partir d’une adresse IP (ou encore à partir d’une adresse de courriel ou d’un numéro de téléphone) :
- Nous avons tout d’abord utilisé l’adresse IP du serveur mandataire Web du Commissariat ainsi que l’adresse IP d’un contributeur actif de Wikipedia.
- Nous avons ensuite cherché le propriétaire de l’adresse IP, ainsi que toute personne ou organisation enregistrée à cette adresse, à l’aide d’outils comme WHOIS (un service en ligne qui permet notamment d’interroger des bases de données stockant de l’information sur les utilisateurs enregistrés ou les titulaires de noms de domaine ou de blocs d’adresses IP).
- Nous avons effectué des recherches au moyen de l’adresse IP pour déterminer l’emplacement géographique du propriétaire de l’adresse IP et localiser le réseau utilisé.
- Nous avons utilisé l’adresse IP comme terme de recherche dans différents moteurs de recherche (p. ex. Google ou Bing) et examiné les pages Web affichées dans la liste des résultats afin de trouver des exemples d’activités sur le Web (p. ex. entrées dans les journaux du serveur Web, participation à des forums en ligne).
Un numéro de téléphone (fixe ou mobile), l’adresse mail et l’adresse IP peuvent être utilisés pour obtenir divers renseignements au sujet d’une personne, comme :
- les noms et adresses associés à ce numéro (à l’aide d’outils de recherche inversée);
- toute activité publique sur Internet ou document accessible au public où figure ce numéro de téléphone, y compris des billets de blogs, des messages affichés sur des forums de discussion, des dossiers financiers ou médicaux;
- tout domaine Internet associé à ce numéro de téléphone (en fouillant les dossiers d’enregistrement des domaines)…etc, à partir d’une recherche dans des sources ouvertes;
- son nom réel (s’il figure dans l’adresse de courriel ou est associé à celle-ci d’une autre manière);
son inscription à des services à partir de cette adresse de courriel (pour certains services [p. ex. LinkedIn], l’adresse de courriel sert de nom d’utilisateur);
- tout domaine enregistré à l’aide de cette adresse de courriel;
- des activités et documents sur Internet, y compris des courriels, qui contiennent l’adresse et ont été répertoriés par les moteurs de recherche;
- une liste d’amis sur les réseaux sociaux;
- les noms d’anciens employeurs (p. ex. si l’adresse figure dans un curriculum vitae affiché en ligne).
Ou encore :
- de déterminer le propriétaire et l’exploitant du réseau. Une recherche dans la base de données WHOIS à partir de l’adresse IP peut fournir une foule de renseignements sur la personne (ce qui pourrait mener à la découverte de ses affiliations organisationnelles) ou l’organisation à qui l’adresse a été attribuée, y compris le nom, le numéro de téléphone et l’adresse postale;
- d’effectuer une recherche inversée (établir une correspondance entre l’adresse IP et le nom de domaine auquel elle est associée) pour obtenir un nom d’ordinateur;
- d’effectuer une recherche sur Internet à partir de l’adresse IP ou du nom de l’ordinateur. Une telle recherche pourrait révéler les activités poste-à-poste (p. ex. le partage de fichiers), les entrées dans les fichiers journaux du serveur Web, ou une partie des activités sur le Web d’une personne. Ces bribes de l’historique des activités en ligne d’une personne peuvent permettre d’établir son allégeance politique, son état de santé, son orientation sexuelle, son appartenance religieuse, ainsi qu’une foule d’autres caractéristiques, préoccupations et intérêts personnels;
- de trouver de l’information sur les adresses courriel utilisées à partir d’une adresse IP donnée, ce qui pourrait donner lieu à d’autres demandes de renseignements sur les abonnés.