#
🙅♂️ Limiter sa surface d'attaque sur Discord
Avez-vous déjà entendu parler de "DOX/DOXXING/SWAT", si oui vous êtes au bon endroit pour comprendre le fonctionnement de ces pratiques et vous en protéger !
➡️ Le fait de "DOX" est de partager des informations personnelles sur une personne sans son consentement, dans le but de nuire à celle-ci.
Le principe technique qui se cache derrière ce terme est l'OSINT. L'Open Source Intelligence est une pratique de reconnaissance légale visant à récolter des informations sur une entité physique ou morale à partir de sources ouvertes. Elle est utilisée par les professionnels de la cybersécurité, les agences gouvernementales, les autorités... Ce n'est pas une niche mais une pratique très puissante et très largement utilisée.
Les sources utilisées en OSINT sont nombreuses, par exemple :
- Les sites/applications et réseaux sociaux (vos comptes sur ces derniers) et donc par extension, le contenu que vous partagez sur ceux-ci.
- Les bases de données leaks (services/sites compromis dont des informations ont fuité en ligne).
- Les pages blanches/jaunes et autres annuaires de recensement.
- Les sites et outils spécialisés (Mr.Holmes, Maigret, Holehe, Maltego...), qui facilitent la récole d'informations en un point à partir de sources multiples.
Comme vous l'avez compris l'OSINT est un processus d'investigation à la base PASSIF (ont exclu ici le phishing ou "token grab"). C’est-à-dire que la cible ne sera pas informée de ce processus, ce qui le rend encore plus dangereux.
Cet article vise à donner des éléments pour prévenir la récolte d'informations et maîtriser l'exposition de votre profil Discord.
✅ Pour faire court, le gros du travail peut être fais en utilisant une fausse identité et en partageant le minimum d'informations possibles, pour réduire votre empreinte numérique au moins sur Discord.
➡️ Il existe différent points d'entrée :
- Le pseudo.
- Tous vos anciens pseudos.
- La biographie.
- La photo de profil.
- Le mail utilisé lors de l'inscription sur Discord.
- Les comptes liés (réseaux sociaux, Spotify, jeux...).
- L'ID utilisateur (accessible depuis les developer tools).
Date de création du compte
La date de création du compte ainsi que la date à laquelle vous avez rejoint un serveur, donnent des informations sur la récence de votre compte, donc par extension des informations vous concernant.
Le bon sens est tout aussi important :
Ne partagez pas d'information (oral, écrit, partage d'écran et webcam) à caractère personnel sur Discord.
⚠️ À PERSONNE (ni amis, ni "connaissances", ni même à votre famille ou collègues) !!!Ne scannez aucun qrcode surtout si ce dernier vous ai proposé à des fins de vérifications sur un serveur.
Partager des informations sensibles sur Discord
Si vous voulez malgré tout partager une information sensible sur Discord, mais de façon éphémère et sans traces, utilisez un service de partage de texte en ligne, chiffré de bout en bout, avec un mot de passe et une expiration comme : PrivateBin. De cette manière l'accès à la donnée n'est autorisé qu’une seule fois ou nécessite un mot de passe et expire après une date définie. Pour les fichiers, vous pouvez utiliser un service comme Protondrive (nécessite un compte et est limité à 1Go gratuit) ou Swisstransfer (ne nécessite pas de compte et est limité à 50Go gratuits).
#
ℹ️ ZONE 1 (facile)
Cette zone est destinée aux néophytes qui souhaiteraient adopter quelques bonnes pratiques (le minimum vital) rapidement.
- Ne pas utiliser le même pseudo sur toutes vos plateformes, privilégiez un pseudo unique à Discord.
- Limitez-vous au strict nécessaire dans votre biographie, pas de Linktr.ee ou de liens vers vos réseaux sociaux.
- Évitez les tokens grab, cookie stealer ou iplogger : ne cliquez sur AUCIN LIEN dans Discord (même youtube ! copiez/collez le titre à la place), ouvrez-le dans un autre navigateur (si possible prévu à cet effet (sandbox ou mieux un service de sandbox en ligne)).
- Ne liez pas vos comptes de jeux et sites à Discord ! Toutes applications liées à votre profil, comme des bots ou des comptes verront les informations de celui-ci (notamment les comptes liés, ce qui peut faire fuiter votre profil, mail, nom/prénom...).
➡️ Si vous devez lier un ou plusieurs comptes, décochez l'affichage sur votre profil :
🤔 Update du 17 août 2023 - Discord à affiché vos comptes (même si ceux-ci sont cachés).
Discord à affiché tous les comptes liés à un profil, indépendamment de la configuration (caché ou non dans les paramètres), source: cet article et ce Thread X :
Between 01:50 - 03:00 GMT today, Discord exposed ALL user connections, regardless of visibility settings.
— Panley (@panley01) August 17, 2023
The data exposed included usernames on private connections like PayPal (default private) & Facebook.
This is concerning, but not hugely so. Read this thread for more info. pic.twitter.com/TvRFU0jwFt
😒 Ne liez tous simplement pas vos comptes à Discord !
- N'utilisez aucun selfbot, injection client (betterdiscord like) ou tout autre modifications du client.
- Ne vous connectez jamais à un site qui propose de vous connecter avec Discord (dans le cas où la base de données du site fuite, des informations tels que : votre pseudo, ID Discord, email, hash de mot de passe... seront disponibles en ligne. Un exemple récent avec discord.io).
Si vous souhaitez toutefois utiliser cette fonctionnalité sur les sites qui la propose, créez-vous un autre compte prévu à cet effet en suivant les exigences de la
#
⚠️ ZONE 2 (intermédiaire)
Cette zone s'aditionne à la précédente et inclut différents changements de paramétrages dans Discord.
- Si vous partagez votre écran, activez le mode streameur :
- S'assurer que "Filtrer tous les messages privés" (spam) soit activé :
- S'assurer que "Autoriser les messages privés venant des membres du serveur" et "Autoriser les demandes de messages en provenance des membres du serveur que tu pourrais ne pas connaître" soient désactivés :
- Vérifiez l'accès des applications/bots/comptes à vos informations, à savoir : quelles informations peuvent ils récolter, quelles sont les permissions qui leur sont accordés et si possible, retirez toutes les autorisations.
#
🔐 ZONE 3 (avancé)
Cette zone s'additionne aux précédentes et présente des concepts avancés pour créer un compte Discord sans données personnelles.
- Recréez un compte avec une fausse identité (fakenamegenerator (par exemple) pallie le potentiel risque de fuite de données de l'ancien compte).
- Utilisez un email unique pour Discord (alias recommandés ex. SimpleLogin) Consulter l'article à ce sujet
Another breach including Discord OAuth2 Data.
— Panley (@panley01) August 14, 2023
So many Discord apps will ask for your e-mail under the guise of anti-abuse. Do not trust random Discord apps to keep your data secure or not misuse it.
And please, use a unique e-mail & password for every service you use. https://t.co/59m8CUaHQQ
- Utilisez un mot de passe respectant Les éxigences de l'ANSSI (complexité, stockage et cycles de vie, gestionnaire de mot de passe fortement recommandé (ex. KeePass)) et activez l'authentification multifacteurs.
- Pour la 2FA utilisez un numéro de téléphone unique à Discord (ex. OnOff).
Note de fin
Dans le cas où vous appliquez toutes ces mesures, le seul point d'entrée pour vous atteindre est alors en dehors de Discord. C'est d'ailleurs l'un des moyens privilégié pour récolter des informations sur vous, vous faire installer un programme malveillant ou vous subtiliser un cookie de session (comme votre token Discord).