Réduire sa surface d'attaque sur Discord

Avez-vous déjà entendu parler de “DOX/DOXXING/SWAT” ? Comprenez comment fonctionnent ces pratiques et protégez-vous !

➡️ L’acte de “DOX” consiste à partager des informations personnelles sur quelqu’un sans son consentement, dans l’intention de lui nuire.

Le principe technique derrière ce terme est l’OSINT. L’Open Source Intelligence (OSINT) est une pratique de reconnaissance légale visant à collecter des informations sur une entité physique ou morale à partir de sources ouvertes. Elle est utilisée par les professionnels de la cybersécurité, les agences gouvernementales, les autorités… Ce n’est pas une niche mais une pratique très puissante et largement utilisée.

• Sites web/applications et réseaux sociaux (vos comptes sur ces plateformes) et, par extension, le contenu que vous y partagez.
• Moteurs de recherche (Google, Bing, Duckduckgo…).
• Bases de données de fuites (services/sites compromis où des informations ont fuité en ligne), qui sortent du cadre de l’OSINT (possession de données illégales).
• Pages blanches/jaunes et autres annuaires.
• Sites et outils spécialisés (Mr.Holmes, Maigret, Holehe, Maltego, whatsmyname.app, intelx.io…) qui facilitent la collecte d’informations provenant de plusieurs sources en un seul endroit.

Comme vous l’avez compris, l’OSINT est un processus d’investigation qui est principalement PASSIF (à l’exclusion du phishing, du “token grab”, ou de toute action dite “active”). Cela signifie que la cible ne sera pas informée de ce processus, ce qui le rend encore plus dangereux.

Cet article vise à fournir des éléments pour empêcher la collecte d’informations et contrôler l’exposition de votre profil Discord.

✅ En bref, la plupart du travail peut être effectué en utilisant une fausse identité, une adresse e-mail, un numéro de téléphone, et en partageant le minimum d’informations possible pour réduire votre empreinte numérique, au moins sur Discord.

➡️ Il existe différents points d’entrée :

• Nom d’utilisateur.
• Tous vos noms d’utilisateur précédents.
• Biographie.
• Photo de profil.
• Comptes liés (réseaux sociaux, Spotify, jeux…).
• ID utilisateur (accessible via les outils de développement).
• L’e-mail utilisé lors de l’inscription à Discord.

Le bon sens est tout aussi important :

• Ne partagez aucune information personnelle (parlée, écrite, partage d’écran ou webcam) sur Discord. ⚠️ AVEC PERSONNE (ni avec des amis, des “connaissances”, ni même avec votre famille ou vos collègues) :::

• Ne scannez aucun code QR, surtout s’il est proposé à des fins de vérification sur un serveur.

ZONE 1 (Facile)

• N’utilisez pas le même nom d’utilisateur sur toutes vos plateformes ; préférez un nom d’utilisateur unique pour Discord.
• Limitez-vous au strict minimum dans votre biographie, pas de Linktr.ee ou de liens vers vos réseaux sociaux.
• Évitez les token grabs, les cookie stealers ou les IP loggers : ne cliquez sur AUCUN LIEN dans Discord (même YouTube ! copiez/collez ou réécrivez le titre à la place), ouvrez-le dans un autre navigateur (si possible, un spécifiquement configuré à cet effet—sandboxé ou, mieux encore, utilisez un service de sandbox en ligne).
• Ne liez pas vos comptes de jeux et de sites à Discord ! Toutes les applications liées à votre profil, telles que les bots ou les comptes, verront des informations à ce sujet (surtout les comptes liés, qui peuvent fuiter votre profil, e-mail, nom/prénom… (s’ils sont utilisés sur les services liés)).

- YouTube

Enjoy the videos and music you love, upload original content, and share it all with friends, family, and the world on YouTube.

youtu.be

https://youtu.be/-lEg13LKJxE?si=VfgjvBky_GsWTfqC&t=234

Si vous devez lier un ou plusieurs comptes, décochez l’affichage sur votre profil :

• N’utilisez aucun selfbot, client d’injection (type BetterDiscord), ou toute autre modification de client.
• Ne vous connectez jamais à un site qui propose de se connecter avec Discord (si la base de données du site est compromise, des informations telles que votre nom d’utilisateur, ID Discord, e-mail, hash de mot de passe… seront disponibles en ligne. Un exemple récent est discord.io).

Si vous souhaitez toujours utiliser cette fonctionnalité sur les sites qui la proposent, créez un autre compte spécifiquement à cette fin en suivant les exigences de la Zone 3.

ZONE 2 (Intermédiaire)

• Si vous partagez votre écran, activez le mode streamer :

• Assurez-vous que “Filtrer tous les messages privés” (spam) est activé :

• Assurez-vous que “Autoriser les messages privés des membres du serveur” et “Autoriser les demandes de messages de membres du serveur que vous ne connaissez peut-être pas” sont désactivés :

• Vérifiez l’accès que les applications/bots/comptes ont à vos informations : quelles informations ils peuvent collecter, quelles autorisations leur sont accordées et, si possible, révoquez toutes les autorisations.

ZONE 3 (Avancé)

• Recréez un compte avec une fausse identité fakenamegenerator (par exemple) pour atténuer le risque potentiel de fuite de données de l’ancien compte.

• Utilisez un e-mail unique pour Discord (alias recommandés, par exemple SimpleLogin) (Lire l’article sur ce sujet).

• Il y a déjà eu des fuites sur les principales plateformes tierces :

twitter.com

https://twitter.com/panley01/status/1691184136889708545

• Utilisez un mot de passe conforme aux exigences de l’ANSSI (complexité, stockage et cycle de vie, gestionnaire de mots de passe fortement recommandé, par exemple KeePassXC) et activez l’authentification multi-facteurs :

• Pour 2FA et la vérification, utilisez un numéro de téléphone unique à Discord (par exemple OnOff).