skip to content

Se créer une fausse identité en ligne pour se protéger : Comment fonctionne un Sock Puppet Account ?

Nicolas Verlhiac : photo de l'auteur de l'article
Nicolas Verlhiac
Créez des faux comptes pour protéger votre identité en ligne. Décriptage des dérives et comment ils sont utilisés pour la désinformation à grande échelle.

Un « Sock Puppet Account » est un faux compte en ligne généralement utilisé pour se faire passer pour quelqu’un d’autre lors de la collecte d’informations à des fins plus ou moins légale. Les « comptes chaussettes » peuvent également être utilisés pour diffuser des informations erronées, créer de faux « arguments » qui donnent une bonne image d’une personne, et manipuler les algorithmes des médias sociaux et des plateformes.

Ces dernières années, on observe régulièrement sur Twitter et Facebook des campagnes de désinformation distinctes à l’échelle d’un État-nation. Tandis que des plateformes comme Instagram et Wikipédia sont souvent passées sous silence ; cependant, ces plateformes ont également connu une augmentation significative du nombre d’activités inauthentiques coordonnées à grande échelle.

Découvrez ce qu’est précisément un sock puppet, comment est-il généralement utilisé, et comment créer ce type de faux comptes afin de protéger son identité sur le web. Nous verrons que ce type de pratique amène très facilement à des dérives.

Qu’est-ce que les sock puppets ?

Les chaussettes marionnettes ne sont rien d’autre que de faux comptes de médias sociaux créés en détail pour servir différents objectifs :

  • Effectuer des recherches OSINT sans révéler la véritable identité. Les enquêteurs peuvent utiliser les comptes fictifs pour recueillir des informations et effectuer des recherches dans certains cas.
  • Pirater ou escroquer une personne/entreprise. Les hackers peuvent utiliser les comptes sock pour faire de l’ingénierie sociale sur la cible afin de collecter des informations.
  • Investiguer et enquêter. Les détectives peuvent utiliser ce type de comptes pour recueillir des informations et connaître la nature d’une personne liée à leurs affaires.
  • Protéger son identité et échapper aux [data brokers] (https://blog.ostraca.fr/achat-et-revente-de-vos-donnees-personnelles-tout-savoir-sur-les-courtiers-en-donnees-data-broker/).

Les marionnettes sont essentiellement des pseudonymes, des profils de personnes fictives créés par quelqu’un d’autre avec des objectifs spécifiques. Et comme tout bon outil, il peut être utilisé à la fois pour le bien et le mal.

Ce type de compte peut être utilisé par n’importe qui, comme des enquêteurs, des détectives, des pirates informatiques, des policiers, des journalistes, ou toute autre personne souhaitant se faire passer pour quelqu’un d’autre.

Vous allez penser que c’est un travail facile, qu’il suffit de créer un faux compte et à vous l’anonymat !

Eh bien, ce n’est pas aussi facile qu’il n’y paraît. Pour créer une marionnette réussie, il faut qu’elle soit crédible et qu’elle corresponde à la façon dont la personne réelle se comporte en ligne. Les marionnettes ont un vrai nom, de vrais numéros de téléphone, une adresse, des photos, un numéro de carte de crédit, divers comptes de médias sociaux, des amis, etc.

L’importance de l’anonymat et de la sécurité

Un compte marionnette parfait ne sera jamais relié par quelque moyen que ce soit à son propriétaire initial.

Mais il semble de plus en plus difficile de créer des comptes sock puppet (c’est-à-dire « faux »). Les services veulent plus d’informations. Ils exigent de vrais numéros de téléphone (non VOIP) et supposent que l’utilisation d’outil lié à la vie privée est synonyme d’ambiguïté.

Pour anonymiser le compte afin qu’il n’enregistre pas votre adresse IP ou votre emplacement d’origine, vous devez vous connecter à n’importe quel Wi-Fi public pour créer un compte. Assurez-vous de toujours vous connecter à ce compte avec le même réseau. N’utilisez jamais votre propre adresse IP pour créer des comptes fictifs.

Utilisez le VPN ou Tor uniquement en dernier recours. Les raisons en sont que les VPN et Tor sont parfois suivis, bloqués ou marqués comme douteux par les sites web lors de la création d’un compte. Cela signifie que la probabilité que vous puissiez créer le compte sans avoir un vrai numéro de téléphone diminue considérablement (c’est d’ailleurs le cas avec Twitter). Les accès WiFi publiques ont l’air un peu plus « normaux » aux yeux de ces plateformes.

Que faut-il pour faire un faux compte parfait ?

1. Préparer la personnalité du compte

Vous pourriez être tenté d’improviser une personnalité à la volée, mais ce n’est pas une bonne approche, et cela peut vite devenir le chaos si vous avez plusieurs comptes. Préparez au moins ces éléments de base à l’avance :

Nom, Age, Genre, Adresse

Photo

  • This Person Does Not Exist propose à chaque rechargement de la page une nouvelle image d’une personne généré par intelligence artificielle (IA). Il faut penser à zoomer sur la photo pour repérer les défauts et choisir une photo la plus propre possible. (Cette IA a tendance à se louper au niveau des cheveux généralement)
  • Si vous avez besoin de modifier une photo, mais que vous n’avez pas Photoshop, utilisez Photopea directement dans le navigateur.

Bannière

  • Effectuez une recherche d’images pour trouver une bannière générique que votre personnage est susceptible d’utiliser. Par exemple, si « vous » êtes un fan de voyage, faites une recherche d’image sur Unsplash et téléchargez-en une.

2. Utiliser un gestionnaire de mots de passe

Ce point vaut également pour votre vraie identité aussi, mais ce n’est pas le sujet. Lorsque vous créez de nouveaux comptes, vous devez saisir un grand nombre d’informations sur « vous ». Votre nom, vos mots de passe, vos numéros de téléphone, votre date de naissance, vos questions de sécurité, etc. Les gestionnaires de mots de passe peuvent être un excellent moyen de garder une trace de tout cela.

3. Choisir une bonne plateforme

Le choix de la bonne plateforme pour créer le compte est également important. Si vous créez des marionnettes pour les utilisateurs indiens, vous devez faire des recherches sur les médias sociaux les plus utilisés en Inde. Et assurez-vous de créer un compte sur ces derniers.

Instagram, Facebook, WhatsApp, Signal sont parmi les médias sociaux les plus utilisés en Inde, alors assurez-vous d’avoir un compte sur ceux-ci.

4. Le rendre aussi réel que possible

Votre compte doit avoir l’air légitime et réel. Pour rendre votre compte plus légitime et réel, essayez de l’utiliser à long terme.

Par exemple : créez un compte et utilisez-le pendant 3 à 4 mois en postant quotidiennement quelque chose, en suivant quelqu’un et en vous faisant des amis en ligne. Ainsi, votre compte semble suffisamment réel pour qu’on lui fasse confiance.

5. Utiliser un téléphone jetable et une carte SIM dédiée

Les téléphones portables jetables n’ont pas de lien avec votre identité personnelle. Vous pouvez acheter les cartes SIM de ces portables dans un bureau de tabac près de chez vous. Ce téléphone /carte SIM ne doit être utilisé que pour le compte Sock et rien d’autre.

Le téléphone et la carte SIM ne sont importants que si vous vous intéressez à l’OSINT profond ( Les techniques du cyberrenseignement : Qu’est-ce que l’Open Source Intelligence (OSINT) ? ). Pour l’essentiel, un compte Sock est suffisant pour une enquête active ou passive.

Les dérives et danger des faux comptes

Les plates-formes de médias sociaux utilisent des algorithmes pour sélectionner ce que vous voyez, en partie en fonction des « j’aime » ou des « votes ». Malheureusement, les mensonges et les contenus extrêmes suscitent souvent plus de réactions et se répandent donc rapidement et largement.

Plus que d’attiser les désaccords, ces faux comptes peuvent encourager la croyance que la vérité n’existe plus. Diviser et conquérir. Se méfier de toute personne qui pourrait servir de leader ou de voix de confiance. Couper la tête. Démoraliser. Semer la confusion. Chacune de ces stratégies d’attaque est dévastatrice.

Par exemple, Jenna Abrams, un compte comptant 70 000 adeptes, a été citée par des médias grand public comme le New York Times pour ses opinions xénophobes et d’extrême droite, mais il s’agissait en fait d’une invention contrôlée par l’Internet Research Agency, une ferme de trolls financée par le gouvernement russe, et non d’une personne vivante.

Conclusion

Que ce soit dans votre vie personnelle, votre carrière ou votre entreprise, l’utilisation des comptes de type Sock Puppet par des acteurs malveillants peut avoir des effets dévastateurs sur vous.

Cependant, les faux comptes sont comme tous les outils : Être utilisées à des fins éthiques ou malveillantes. S’il est vrai que de nombreuses marionnettes sont utilisées pour diffuser de la désinformation ou des mensonges, elles peuvent également servir à trouver des informations permettant de protéger une personne ou une entreprise ou de retrouver une personne disparue. C’est notamment le cas de certaines organisations à but non lucratif qui utilisent l’OSINT pour aider à retrouver des personnes disparues.

Et n’oubliez jamais, ces comptes vont à l’encontre des règles des plateformes et si vous êtes pris, vous et tous vos comptes serez bannis. En outre, il s’agit d’une violation du contrat social avec les autres utilisateurs.