Des rapports récents sur la vulnérabilité en matière de sécurité comme conséquence de la réutilisation de mots de passe sur différents site Web ont été publiés. Mais qu’en est-il de la réutilisation des noms d’utilisateur? Peut-on prouver qu’il est possible de relier, à l’aide d’un nom d’utilisateur commun, des identités établies sur plusieurs sites Web? Quelles sont les répercussions de ce phénomène sur la protection de la vie privée?
Une étude récente menée par l’INRIA, en France, fait état de des tests effectués sur plus de dix millions de noms d’utilisateur créés dans des services populaires tels que Google et eBay. Dans quelques-uns de ces tests, on a utilisé les profils Google composés de plusieurs comptes sur différents services Web pour établir des « données de terrain » au sujet des chaînes de noms d’utilisateur
La première conclusion résultant de ces tests a révélé que les noms d’utilisateur choisis par les personnes sur les différents sites Web avaient tendance à être très similaires, voire identiques, avec une probabilité de duplication d’environ un sur un million. C’était le cas pour une grande variété de services Web, y compris les réseaux en parallèle, les forums finlandais en ligne et MySpace.
Deuxièmement, les chercheurs ont découvert que les noms d’utilisateur différents utilisés par une même personne pour chaque service étaient en quelque sorte une variation sur un même thème (p. ex. sarah, sarah2).
Troisièmement, l’étude démontre que plus de 50 % des noms d’utilisateur créés pour différents services pouvaient être reliées les uns aux autres vu le caractère identique, ou vraiment similaire, et unique par rapport aux autres noms d’utilisateur.
Ces résultats sont importants pour la protection de la vie privée. Même si vous pouvez limiter les renseignements personnels que vous révélez lorsque vous utilisez un service particulier, si votre profil peut être relié à d’autres services, il est alors possible de réaliser un profil personnel détaillé à partir de plusieurs pièces d’information partielle. Qu’un profil soit-disant anonyme puisse être lié à une identité réelle est potentiellement embarrassant. Les polluposteurs et les fraudeurs sont eux aussi en mesure de réunir de l’information depuis de multiples services pour cibler leurs messages ou pour faire du hameçonnage ou des attaques d’ingénierie sociale.
Lors d’une démonstration des risques courus, un examen rapide des personnes utilisant des services anonymes de partage de fichiers (les traqueurs privés BitTorrent) a révélé que 13 noms d’utilisateur examinés sur 20 pouvaient être reliés à d’autres services Web (p. ex. YouTube, eBay) et que quatre noms d’utilisateur pouvaient être reliés à des identités réelles.
Cette leçon évoque la mise en garde ayant déjà été formulée au sujet des mots de passes — assurez-vous de choisir un nom d’utilisateur (et un mot de passe) unique si vous ne voulez pas que le service dans lequel vous utilisez ce nom d’utilisateur soit rattaché à d’autres services.