NHK “Le premier épisode de 'Digital Tattoo': Technologie IT et Droit”

Les technologies de l’information et les procédures juridiques présentées dans le drame du samedi de NHK, “Digital Tattoo”, sont bien sûr quelque peu dramatisées et simplifiées pour les besoins de la télévision, mais elles sont réellement utilisées dans des situations de gestion de risques de réputation.

Le point culminant du premier épisode est probablement la scène où l’adresse et le nom de “Masque de l’éclipse”, qui a menacé de tuer le YouTuber principal, Taiga (interprété par M. Kôji Seto), sur un forum anonyme, sont révélés. Autour de cette scène, nous expliquerons les technologies de l’information et les procédures juridiques qui ont été présentées dans le premier épisode.

L’identité commune de “Masque d’éclipse” et de l’administrateur de “God’s Eye”

“J’ai analysé les images postées par le Masque d’éclipse et j’ai trouvé des images avec le même fond d’écran… Regarde.”

“Oh, le masque (accroché au mur de la chambre) est le même.”

“Le pseudonyme de ce gars est Jésus. Il gère un blog anonyme appelé ‘God’s Eye’.”

NHK Drama du samedi “Digital Tattoo” Épisode 1

Le YouTuber Taiga recherche des fragments d’informations sur Internet pour identifier l’auteur de menaces de mort à son encontre sur un forum anonyme, connu sous le nom de “Masque d’éclipse”. Cette méthode, qui n’est ni une pure technologie IT ni un moyen légal, mais qui consiste à “exploiter les failles psychologiques des gens et les erreurs de comportement pour obtenir des informations secrètes qu’ils détiennent”, est appelée “ingénierie sociale”. En réalité, c’est l’une des méthodes importantes pour résoudre les incidents sur Internet.

Dans le drame, le mur (sur lequel est accroché un masque) qui est l’arrière-plan des photos téléchargées par le “Masque d’éclipse” lui-même correspond au mur de la chambre de l’administrateur de “God’s Eye”, qui est également téléchargé anonymement sur le blog “God’s Eye”. De cela, il a été déterminé que le “Masque d’éclipse” = “Administrateur de God’s Eye”.

Ce comportement du Masque d’éclipse, c’est-à-dire “prendre en photo une partie caractéristique de sa chambre (le masque) en arrière-plan des photos qu’il télécharge sur le forum anonyme”, est un peu “imprudent”, mais dans les scènes réelles de résolution d’incidents, il n’est pas rare de déterminer le “coupable” sur la base de comportements similaires imprudents.

Enquête sur les informations whois de l’administrateur de «God’s Eye»

“Alors, j’ai recherché son domaine avec @whois, mais comme prévu, il était anonyme.”

Idem

Ensuite, Taiga tente d’identifier l’opérateur de God’s Eye, en partant du principe que “Lunar Eclipse Mask = Opérateur de God’s Eye”. La première chose qu’il a faite a été d’enquêter sur les informations whois du domaine de God’s Eye.

Domaine personnalisé et informations whois

“God’s Eye” était un site exploité en utilisant ce qu’on appelle un domaine personnalisé. Lors de l’acquisition d’un domaine personnalisé, l’acquéreur du domaine doit enregistrer son adresse et son nom dans une base de données appelée “whois” et les rendre publics dans le monde entier.

Pour plus d’informations sur l’identification des administrateurs de domaines personnalisés, veuillez consulter un autre article sur notre site web.

https://monolith-law.jp/reputation/whois[ja]

Les informations whois peuvent être vérifiées en utilisant un service web pour y accéder, comme par exemple “ANSI Whois”. Dans le drame, Taiga a utilisé un service web fictif appelé “@whois” pour mener une enquête similaire.

Qu’est-ce qu’un service d’enregistrement de domaine anonyme ?

Cependant, il existe également ce qu’on appelle des services d’enregistrement de domaine anonyme. C’est un service préparé par les vendeurs de domaines personnalisés, ou ce qu’on appelle les registraires de domaines, pour ceux qui veulent acquérir un domaine personnalisé mais ne veulent pas rendre public leur nom et leur adresse.

Dans le cas d’un domaine enregistré en utilisant ce service, les informations enregistrées en tant qu’informations whois ne sont pas les informations de la personne qui a acquis le domaine, mais les informations du registraire de domaine. Par conséquent, même si vous consultez les informations whois, vous ne pouvez pas obtenir les informations de la personne qui a enregistré le domaine.

Analyse des informations d’ID attribuées par le service d’analyse d’accès de « God’s Eye »

Lorsqu’il s’agit d’identifier l’opérateur d’un site anonyme sur Internet, même si aucune information n’est disponible sur ce site (que nous appellerons A), il est possible de :

1. Rechercher d’abord d’autres sites (que nous appellerons B) exploités par la même personne que A
2. Enquêter pour voir si l’adresse et le nom de l’opérateur peuvent être identifiés sur le site B

Si aucune information n’est trouvée sur « God’s Eye » (le site A mentionné ci-dessus), Taiga cherchera ensuite à voir s’il existe d’autres sites (B).

Service d’analyse d’accès et ID attribués

“En examinant l’outil d’analyse d’accès de son site Web, j’ai découvert son ID attribué. En recherchant son ID avec ExDB, j’ai abouti sur le site d’un VTuber appelé Tomochin.”

Citation précédente

La clé que Taiga a utilisée ici est l’ID attribué par le service d’analyse d’accès. Les services d’analyse d’accès préparent souvent des ID attribués pour chaque utilisateur afin de répondre aux besoins de ceux qui gèrent plusieurs sites et souhaitent vérifier de manière exhaustive les informations d’accès de chaque site sur le service d’analyse d’accès.

Par exemple, notre cabinet utilise « Google Analytics », qui peut être considéré comme le standard de facto des services d’analyse d’accès. Le code que nous avons intégré pour « Google Analytics » est :

gtag(‘config’, ‘UA-42806097-2’);

Cela signifie que c’est le deuxième site de l’utilisateur « UA-42806097 ». En d’autres termes, en lisant ce code, nous pouvons formuler l’hypothèse suivante :

L’opérateur du cabinet d’avocats Monolith gère au moins un autre site, « UA-42806097-1 ».

Enquête par « SpyOnWeb »

Le site « SpyOnWeb » enquête et enregistre les ID de « Google Analytics » pour chaque site Web sur Internet.

En utilisant ce service, par exemple, vous pouvez obtenir des informations telles que la liste des sites gérés par l’utilisateur « UA-42806097 ».

Le site « UA-42806097-1 » est le site personnel de l’avocat principal de notre cabinet.

Dans le drame, Taiga utilise cette méthode avec un service Web fictif appelé « ExDB », et découvre que le même ID attribué que « God’s Eye » (site A) est également collé sur le site du VTuber « Tomochin » (site B). Par conséquent, il est très probable que les opérateurs de ces deux sites soient les mêmes.

Identification de l’ID d’affiliation et des informations personnelles et bancaires

Ensuite, Taiga tente de découvrir qui gère le site B. Il remarque que le site de Tomochin contient des publicités d’affiliation.

Publicités d’affiliation et informations personnelles de l’opérateur du site

“Eh bien, ce site a des publicités d’affiliation.
(…)
Pour recevoir ces frais publicitaires, il faut enregistrer un compte bancaire, et l’utilisateur doit fournir son nom et son adresse.”

Idem

En termes simples, les publicités d’affiliation fonctionnent de telle sorte que lorsque l’utilisateur qui visite le site clique sur une bannière, une récompense d’affiliation est versée sur le compte bancaire de l’opérateur du site.

Par conséquent, pour utiliser les publicités d’affiliation, l’opérateur du site doit fournir ses informations personnelles, y compris son compte bancaire, au fournisseur du service d’affiliation.

Par conséquent, en analysant les publicités d’affiliation (plus précisément, en comprenant le réseau d’affiliation et en enquêtant sur quelle entreprise effectue finalement le transfert sur le compte bancaire de l’opérateur de B), il est possible de découvrir quelle entreprise détient les informations bancaires (et autres informations personnelles) de l’opérateur de B.

Une fois ces informations identifiées, il suffit de demander à cette entreprise de divulguer les informations sur l’opérateur de B (c’est-à-dire l’opérateur de A). Cependant, cette demande de divulgation n’est pas facile. Pour l’entreprise concernée, ces informations sont des informations personnelles de leurs clients et elles ne sont généralement pas divulguées à des particuliers (ou à leurs avocats). Taiga a donc décidé de demander de l’aide à l’avocat Iwai (M. Takahashi Katsuzumi), le double protagoniste, et a mis fin à l’enquête à ce stade.

Demande de divulgation par enquête de l’association des avocats (enquête de l’article 23)

“Mais ils ne me diront pas si je demande. C’est là qu’intervient l’oncle. Si l’oncle a une qualification d’avocat, il peut obtenir des informations par une enquête de l’article 23.”

Idem

Les avocats ont un “privilège” qui leur est propre, ils peuvent utiliser l’enquête de l’association des avocats, également appelée “enquête de l’article 23”. Ce n’est pas une demande de divulgation faite par l’avocat en tant qu’individu à l’entreprise concernée, mais une demande de divulgation faite au nom de l’association des avocats.

https://monolith-law.jp/reputation/references-of-the-barassociations[ja]

Taiga a demandé à l’avocat Iwai de prendre en charge cette affaire et de mener une enquête de l’association des avocats (enquête de l’article 23) pour le traitement de l’affaire. Cette enquête a réussi, et l’avocat Iwai a identifié le Vtuber Tomochin (opérateur de B) = l’opérateur de “God’s Eye” (opérateur de A) = Masque d’éclipse lunaire.

Résumé

Bien sûr, en réalité, il est rare d’utiliser une telle combinaison de mesures en grande quantité, et il est également rare que toutes les mesures prises soient couronnées de succès.

Cependant, même dans le contexte réel de la gestion des risques de réputation, l’identification des opérateurs de sites par une méthode “hybride” qui combine la technologie de l’information et les moyens juridiques est extrêmement importante et absolument indispensable.

Et c’est précisément pour cette raison que la gestion des risques de réputation est difficile à réaliser sans une connaissance approfondie des deux domaines, l’informatique et le droit.