Comprendre le dox et s’en protéger sur Discord

Le dox, aussi appelé doxxing, désigne le fait de rechercher, collecter, exposer ou partager des informations personnelles sur une personne sans son accord. Ce n’est pas seulement le fait de publier une adresse complète. Cela peut aussi commencer par des informations qui semblent banales, comme un prénom, une ville, un établissement scolaire, un ancien pseudo, un compte Instagram, une adresse mail, une photo, une voix, un serveur fréquenté ou un lien vers un profil utilisé ailleurs.

Le danger du dox vient souvent de l’accumulation. Une seule information ne permet pas toujours d’identifier quelqu’un, mais plusieurs éléments mis bout à bout peuvent suffire. Un pseudo utilisé sur plusieurs plateformes, une adresse mail personnelle, une photo déjà publiée ailleurs, un compte connecté à Discord et une ville mentionnée en vocal peuvent permettre à une personne malveillante de retrouver une identité réelle. C’est pour cette raison qu’il ne faut jamais traiter la protection de ses données comme un détail.

Sur ce serveur, le dox, les menaces de dox, la recherche d’informations personnelles, la diffusion de données privées et l’encouragement à ces pratiques sont strictement interdits. Même lorsqu’une information est trouvable publiquement, elle ne doit pas être utilisée pour nuire, intimider, humilier ou exposer quelqu’un.

Le dox peut entraîner du harcèlement, du chantage, des menaces, de l’usurpation d’identité, des signalements abusifs, des appels malveillants, des tentatives de piratage ou une mise en danger dans la vie réelle. Il peut aussi provoquer une perte de confiance durable, car une personne doxxée peut avoir l’impression de ne plus contrôler son identité numérique.

Le problème est encore plus important sur Discord, car beaucoup d’utilisateurs mélangent leur vie privée, leur vie de jeu, leurs réseaux sociaux, leurs serveurs communautaires et leurs discussions personnelles. Certaines personnes utilisent le même pseudo partout, la même adresse mail pour tous leurs comptes, le même avatar que sur leurs réseaux sociaux, ou connectent directement leurs autres plateformes à Discord. Ce sont précisément ces habitudes qui rendent le dox plus facile.

Se protéger du dox ne veut pas dire devenir paranoïaque. Cela veut dire réduire les liens inutiles entre son identité réelle et son identité en ligne.

L’un des risques les plus fréquents sur Discord vient des faux bots ou des faux systèmes de vérification. Beaucoup de serveurs demandent aux membres de “se vérifier” avant d’accéder aux salons. Une vérification peut être légitime lorsqu’elle est faite par un bot fiable, connu, correctement configuré, vérifié par Discord et utilisé via ses liens officiels. Par exemple, certains serveurs peuvent utiliser des solutions de vérification sérieuses comme Bumply, lorsque l’outil est clairement identifié, validé par la modération et utilisé dans un cadre respectueux des données utilisateur.

Le problème ne vient pas des bots de vérification sérieux et correctement utilisés. Le problème vient des faux bots, des copies, des bots inconnus, des systèmes faits maison, des liens envoyés en message privé et des sites externes qui prétendent être nécessaires pour accéder à un serveur.

Un membre doit se méfier dès qu’une vérification l’emmène sur un site extérieur sans explication claire. Il doit encore plus se méfier si ce site demande de se connecter avec Discord, d’autoriser une application, de confirmer son adresse mail, de renseigner des informations personnelles, de scanner un QR code, d’entrer un mot de passe, de télécharger un fichier ou de copier-coller du code dans la console du navigateur.

Un bot ou un site externe peut collecter beaucoup plus d’informations qu’un membre ne l’imagine. Selon les autorisations demandées, une application Discord peut accéder à l’identifiant du compte, au pseudo, à l’avatar, à l’adresse mail si l’autorisation correspondante est acceptée, à la liste des serveurs où se trouve l’utilisateur, ou encore aux comptes connectés à Discord. Si la vérification passe par un site web externe, ce site peut également enregistrer l’adresse IP utilisée lors de la visite, ce qui peut donner une indication approximative de localisation. Ce n’est pas nécessairement Discord qui donne directement l’adresse IP au bot ; c’est souvent le site externe qui la récupère parce que l’utilisateur s’y rend.

Certains systèmes abusifs utilisent ces informations pour profiler les membres, les cibler, les ajouter à d’autres serveurs, revendre des données, faire de la publicité forcée ou créer des bases de données sur les utilisateurs. Dans les cas les plus graves, ces systèmes peuvent servir à préparer du harcèlement ou du dox.

La règle à appliquer est simple : si un serveur demande une vérification externe, il faut vérifier que le bot est bien le bon, que le lien est officiel, que les permissions demandées sont cohérentes, que la politique de confidentialité existe, et que la modération du serveur peut expliquer pourquoi cette vérification est nécessaire. Si le serveur ne fournit aucune explication claire, il vaut mieux quitter.

Il ne faut pas cliquer trop vite sur “Autoriser” lorsqu’un site propose de se connecter avec Discord. Beaucoup de personnes pensent qu’une connexion Discord est anodine, alors qu’elle peut donner accès à des informations utiles pour identifier ou suivre un utilisateur.

Avant d’autoriser une application, il faut lire les permissions demandées. Une application qui demande uniquement l’identifiant et le pseudo n’a pas le même niveau de risque qu’une application qui demande l’adresse mail, les serveurs rejoints, les connexions externes ou la possibilité de rejoindre des serveurs à votre place.

Les membres qui n’ont pas séparé leur vie réelle de leur pseudo en ligne doivent être particulièrement prudents. Si leur pseudo Discord est lié à leur compte Instagram, TikTok, Twitch, Steam, Roblox, GitHub, YouTube ou à un autre réseau social contenant des informations personnelles, une simple connexion Discord peut aider une personne malveillante à faire le lien entre plusieurs identités.

Il est conseillé de vérifier régulièrement les applications autorisées sur son compte Discord et de supprimer toutes celles qui ne sont plus utilisées, qui semblent inconnues ou qui ont été autorisées pour rejoindre un serveur douteux.

Les connexions Discord peuvent être pratiques, mais elles peuvent aussi faciliter l’identification. Connecter son compte Steam, Twitch, TikTok, YouTube, Spotify, Reddit, GitHub, Roblox ou un autre service peut révéler des habitudes, des pseudos, des communautés, des anciennes publications ou des éléments de vie privée.

Pour une personne qui utilise le même pseudo partout, ces connexions créent un pont direct entre plusieurs espaces. Une personne malveillante peut partir d’un compte Discord, regarder les connexions visibles, retrouver d’autres profils, comparer les pseudos, les photos, les dates, les amis, les commentaires, puis remonter progressivement vers l’identité réelle.

La meilleure protection consiste à dissocier les identités. Un compte Discord communautaire ne devrait pas forcément être relié aux comptes personnels. Si un compte externe contient un vrai prénom, une photo réelle, une ville, une école, un travail, une famille ou des anciens messages personnels, il vaut mieux ne pas l’afficher sur Discord.

Il est fortement recommandé d’utiliser une adresse mail dédiée uniquement à Discord. Cette adresse ne doit pas contenir de nom, de prénom, de date de naissance, de ville, d’établissement scolaire ou de pseudo utilisé ailleurs.

Utiliser son adresse mail personnelle pour Discord augmente les risques. Si cette adresse apparaît dans une fuite de données, si elle est liée à d’autres comptes ou si elle contient le vrai nom de l’utilisateur, elle peut servir de point de départ pour retrouver davantage d’informations. Une adresse mail dédiée réduit ce risque, car elle limite les liens entre Discord et le reste de la vie numérique.

L’idéal est d’avoir une adresse mail neutre, créée uniquement pour Discord, protégée par un mot de passe unique et par l’authentification à deux facteurs. Il ne faut pas réutiliser le mot de passe de Discord sur l’adresse mail, ni utiliser le même mot de passe sur d’autres services.

Il faut toujours se demander pourquoi une information est demandée. Si un serveur demande une adresse mail, une connexion Discord, une liste de serveurs, un compte externe ou une information personnelle, il doit y avoir une raison claire et proportionnée. Si la raison n’est pas claire, il ne faut pas donner l’information.

Il ne faut jamais donner son mot de passe Discord, son token, un code de double authentification, un code reçu par mail ou SMS, ni scanner un QR code envoyé par une personne inconnue. Il ne faut jamais télécharger un fichier et il ne faut jamais copier-coller du code dans la console du navigateur.

Il faut utiliser un mot de passe unique pour Discord, activer l’authentification à deux facteurs, protéger l’adresse mail associée au compte et supprimer les applications autorisées qui ne sont plus nécessaires.

Il faut éviter d’utiliser son mail personnel, éviter les connexions inutiles entre Discord et les autres plateformes, éviter de renseigner des informations de facturation si ce n’est pas nécessaire, et éviter toute capture d’écran contenant des données privées.

Il faut aussi apprendre à quitter rapidement un serveur douteux. Beaucoup de problèmes commencent parce qu’un membre reste “juste pour voir”. Si un serveur partage des données privées, utilise des bots suspects ou encourage le harcèlement, il faut partir, signaler et ne pas interagir davantage.

Si vous pensez qu’une personne collecte ou partage vos informations, ne répondez pas sous le coup de la panique. La priorité est de conserver des preuves. Il faut prendre des captures d’écran avec le pseudo, l’identifiant si possible, la date, le serveur, le salon et le message concerné. Il faut ensuite prévenir la modération, signaler le contenu à Discord, bloquer la personne et quitter les espaces dangereux.

Il est conseillé de vérifier immédiatement les applications autorisées sur Discord, de retirer celles qui sont inconnues, de changer son mot de passe, de vérifier l’adresse mail associée au compte, d’activer ou de réinitialiser l’authentification à deux facteurs, et de surveiller les connexions suspectes.

Si des informations très sensibles ont été publiées, comme une adresse, un numéro, une école, un lieu de travail, une photo privée ou des informations de famille, il faut en parler à une personne de confiance. Si la personne visée est mineure, il faut prévenir un adulte responsable. En cas de menace réelle, de chantage ou de mise en danger, il faut contacter les autorités compétentes.

Notre serveur applique une tolérance zéro concernant le dox. Il est interdit de partager les informations personnelles d’un membre, de menacer de les partager, de demander à quelqu’un de retrouver une personne, de publier des captures contenant des données privées, de diffuser des liens vers des bases de données, ou d’encourager le harcèlement.

Nous demandons aussi aux membres d’être prudents avec les vérifications externes. Une vérification sérieuse doit être claire, limitée, justifiée et utilisée via un bot fiable. Les faux bots, les liens douteux, les demandes d’autorisations excessives et les sites externes non expliqués doivent être considérés comme dangereux.

La meilleure règle reste la suivante : ne donnez jamais plus d’informations que nécessaire. Votre identité réelle, votre adresse mail personnelle, vos comptes privés, vos moyens de paiement, vos serveurs et vos habitudes en ligne ne doivent pas être offerts à n’importe quel site, bot ou serveur.

La sécurité d’une communauté dépend autant de sa modération que des réflexes de ses membres. Protégez vos informations, respectez celles des autres, signalez les comportements suspects et quittez les serveurs qui banalisent le dox.