Securite Personnelle Anti-Doxxing: Supprimer ses Donnees des Data Brokers Bresiliens

Vous tapez votre nom sur Google et trouvez un CPF partiel, une vieille adresse, le telephone de votre mere et la photo de mariage de votre soeur indexee sur un site de genealogie. Ce n'est pas de la paranoia, c'est l'etat par defaut de tout Bresilien de plus de 25 ans presents en ligne. L'equipe Basilisk traite le doxxing comme une chaine d'approvisionnement: chaque broker, chaque fuite Serasa de 2021, chaque profil Facebook de 2009 est un noeud du graphe. Tout couper donne une fausse sensation de controle; couper les 12 bons noeuds elimine 90% du risque reel. Ce guide est le runbook que nous appliquons aux clients vises par des stalkers, ex-employes rancuniers et groupes extremistes.

Avant toute suppression, faites l'OSINT contre vous-meme. Lancez une VM jetable, un navigateur propre sans connexion, et executez des requetes structurees: nom complet entre guillemets, nom + ville, nom + CPF partiel, telephone avec et sans indicatif, email principal et alias. Cataloguez tout dans un tableur avec colonnes url, broker, donnee exposee, priorite, statut. Des outils comme Maltego CE, Spiderfoot et holehe automatisent une partie; la marche a suivre est dans OSINT Ethique: Enqueter sur sa Propre Empreinte Numerique avec Maltego et Spiderfoot. Sans inventaire vous traiterez le symptome et laisserez la racine. Attendez-vous a 40 a 200 occurrences uniques, c'est normal.

Au Bresil les brokers qui squattent la premiere page sont Tudo Sobre Todos, Telelistas, ConsultasBrasil, Quem Sou Eu, Encontre uma Pessoa, Cadastros BR et les agregateurs comme 4devs et Consulta CPF. Chacun a son flux d'opt-out: Tudo Sobre Todos accepte un formulaire avec photo de piece d'identite; Telelistas exige l'email enregistre pour le numero; ConsultasBrasil ignore les demandes ne citant pas explicitement l'article 18 de la LGPD. Modele d'email standard: objet 'Demande d'effacement - LGPD Art. 18, V', corps citant l'URL precise, delai de 15 jours et mention d'une plainte aupres de l'ANPD. Tout par ecrit, jamais par telephone. Dans 60% des cas la suppression arrive en 7 a 20 jours.

Les reseaux sociaux sont le vecteur le plus sous-estime. Votre Facebook de 2010 affiche encore votre telephone public dans 'A propos'; LinkedIn fuite votre ville exacte via le champ localisation; Instagram expose les geotags des vieilles stories; Strava publie votre footing quotidien partant de chez vous. Auditez par plateforme avec checklist: confidentialite du profil, visibilite des amis, anciens posts en masse, apps tierces connectees, sessions actives. Pour les vieilles photos, passez exiftool et mat2 avant toute republication; la procedure est dans Hygiene des Metadonnees : Nettoyer EXIF, PDF et Office avant Publication. Separer les identites publique et privee en comptes distincts est l'etape suivante, detaillee dans Compartimentation Numerique: Identites Separees sans Fuiter de Metadonnees.

Les donnees gouvernementales et judiciaires sont un cas a part. Journaux officiels, procedures du TJSP, JusBrasil et Escavador reindexent les decisions avec votre CPF et adresse. JusBrasil accepte une demande de desindexation par formulaire citant la LGPD; Escavador exige procuration ou document formel. Pour les procedures sous secret indument exposees, la voie est une requete directe au tribunal. Les offices de protet et la Junta Comercial fuitent l'adresse residentielle quand vous etes associe MEI; changez l'adresse pour un coworking ou une boite postale avant de creer l'entreprise. Si vous etes une cible visible journaliste, activiste, executive le modele de menace change totalement et le guide Securite Personnelle pour Cibles Visibles: Journalistes, Activistes et Dirigeants couvre les controles supplementaires.

Telephone et email meritent un traitement chirurgical. Provisionnez un numero VoIP (Google Voice via un proche aux USA, ou eSIM internationale) pour les registres publics et le MEI; gardez le vrai numero uniquement pour la banque, le MFA critique et la famille proche. Pour l'email, utilisez les alias SimpleLogin ou addy.io: un alias par service, jetable sous attaque. Migrez le MFA SMS vers passkeys ou TOTP sur token materiel selon Mots de Passe et MFA: Migrer vers les Passkeys sans Casser Votre Recuperation. Pour la communication sensible avec sources ou avocats, Signal avec numero jetable est le minimum; SimpleX sans aucun identifiant est l'ideal, voir OPSEC Communication: Signal, SimpleX et Session Compares Techniquement. Definissez d'abord votre modele de menace personnel en suivant OPSEC pour Chercheurs en Securite: Modele de Menace Personnel, car le protocole sans modele n'est que theatre.

Enfin, automatisez la maintenance. Les brokers republient les donnees tous les 3 a 6 mois en achetant de nouvelles bases. Creez un cron mensuel qui execute des requetes Google comme site:tudosobretodos.com.br VOTRE_NOM et similaires, vous alertant par email quand quelque chose reapparait. Tenez un dossier versionne dans un depot Git prive avec captures, emails envoyes, delais et numeros de protocole ANPD. En cas de doxxing actif, gelez le credit chez Serasa et Boa Vista, deposez une plainte electronique, notifiez les plateformes avec demande de retrait d'urgence et engagez un avocat. Conclusion pratique: bloquez mercredi prochain 14h-18h, faites l'OSINT contre vous-meme, declenchez les 12 premiers opt-outs prioritaires et planifiez une revue dans 60 jours. La vie privee n'est pas un etat, c'est un processus continu.