Ce qu'une adresse e-mail ou IP peut révéler sur vous

Dans un rapport préparé par le Commissariat à la protection de la vie privée du Canada, celui-ci explique avoir mené une analyse afin de déterminer quelles informations peuvent être récoltées au sujet d’une personne à partir d’un numéro de téléphone, une adresse e-mail ou une adresse IP.

L’analyse répond à un projet de loi canadienne concernant “l’accès légal” à des informations pour les services de sécurité nationale ou ceux de mise en vigueur de la loi. L’accès légal fait ici référence à l’absence de nécessité d’obtenir une autorisation judiciaire (un “mandat”) afin d’accéder à certaines informations comme le nom de la personne utilisant une adresse IP, par exemple.

Le dernier projet de cette loi concernerait directement les informations suivantes :

• le nom ;
• l’adresse ;
• le numéro de téléphone ;
• l’adresse e-mail ;
• l’adresse IP ;
• l’identifiant du fournisseur de services locaux.

L’argument avancé est que ces renseignements sont “de nature similaire à ceux contenus dans un annuaire téléphonique” et ne devraient donc pas nécessiter une autorisation spécifique pour être obtenus. Le Commissariat dément cette affirmation, après avoir testé quels sont les renseignements que tout un chacun peut obtenir en utilisant simplement un moteur de recherche ou des outils disponibles sur Internet.

Lorsqu’on est en possession d’un numéro de téléphone (fixe ou mobile), il est possible de découvrir entre autres :

• les noms et adresses associés à ce numéro ;
• l’activité publique sur Internet et les documents accessibles où figure ce numéro de téléphone ;
• le ou les noms de domaine associés à ce numéro (pour autant que ce soit public).

Dans le cas d’une adresse e-mail, on peut notamment connaitre :

• le nom réel du détenteur (s’il est contenu dans l’adresse elle-même ou s’il y est associé) ;
• l’inscription à des services sur Internet si l’adresse a été utilisée comme identifiant personnel (username) ;
• si un nom de domaine a été enregistré en utilisant cette adresse (et par ce biais, obtenir d’autres informations encore) ;
• l’activité publique sur Internet et les documents accessibles où figure l’adresse e-mail (y compris des e-mails qui auraient été indexés par les moteurs de recherche et qui contiendraient l’adresse e-mail recherchée) ;
• la liste des contacts sur les réseaux sociaux ;
• les noms d’anciens employeurs (dans le cas où l’adresse e-mail est affichée dans un CV publié sur Internet).

Enfin, grâce à l’adresse IP, on peut notamment recueillir :

• le propriétaire ou l’exploitant d’un réseau (au moyen d’une base de données WHOIS, afin de déterminer à quelle compagnie appartient l’adresse IP, sa localisation géographique approximative ainsi qu’éventuellement celle de la personne, etc.) ;
• la correspondance entre l’adresse IP et un nom de domaine ;
• le chemin logique vers un ordinateur au moyen d’un “traceroute” permettant de savoir par où transitent les paquets de données ;
• l’emplacement géographique (plus ou moins précis en fonction des outils utilisés), par exemple le pays, la province ou l’État, la ville, la latitude/longitude, l’indicatif régional du numéro de téléphone et une carte géographique ;
• les logs d’un serveur web, les révisions des pages Wikipédia, etc. ;
• des informations sur l’adresse e-mail en fonction de l’adresse IP utilisée.

Tous ces renseignements, relativement aisément glanés, permettent de savoir quels services Internet sont utilisés, les intérêts personnels et penchants de l’intéressé, son état de santé, ses affiliations à des organisations, les endroits fréquentés, les fréquentations, etc. Toutes ces informations sont des informations personnelles, parfois sensibles, qui révèlent bien plus d’éléments sur une personne qu’une simple entrée dans un annuaire téléphonique.

Dès lors, au vu de la quantité de données disponibles, l’analogie entre les données d’annuaire et un numéro de téléphone, une adresse e-mail ou une adresse IP n’est pas soutenable.