Compartimentation Numerique: Identites Separees sans Fuiter de Metadonnees

Vous ouvrez Tor Browser pour la persona de recherche, mais l'horloge systeme est en GMT-3 et le clavier repond en pt-BR ABNT2. Trois requetes plus tard, le fingerprint raconte l'histoire: Bresilien, Linux, fuseau de Sao Paulo, ecran 2560x1440. Compartimentation cassee avant le premier login. L'equipe Basilisk vit ca au quotidien: separer des identites n'est pas un faux nom dans un formulaire, c'est que chaque bit sortant de la machine raconte la meme histoire coherente pour cette persona. Ce billet parcourt les couches, du materiel au DNS, sans illusions.

Commencez par le modele de menace avant d'installer quoi que ce soit. Une persona bug-bounty publique sur LinkedIn n'a pas besoin de l'isolement d'un chercheur traquant un APT etatique. Definissez trois niveaux: persona publique (attribuable a vous), persona professionnelle (pseudonyme, liable a des employeurs) et persona de recherche (non-attribuable). Pour chaque niveau, listez adversaires, capacites et ce que vous pouvez perdre. Sans ca, vous installerez Qubes et vous connecterez quand meme a votre Gmail perso depuis la mauvaise session. Voir OPSEC pour Chercheurs en Securite: Modele de Menace Personnel pour un modele de menace personnel tenant sur une page.

Le materiel est la premiere frontiere. ThinkPad X1 avec Coreboot, MacBook avec Lockdown Mode ou un Framework dedie: la regle est qu'un appareil ne traverse pas les personas. Si vous utilisez le meme ordinateur pour la banque et la recherche offensive, compromettre une extremite tue les deux. Quand le budget ne permet pas trois machines, utilisez Qubes OS avec des qubes jetables par persona, ou Whonix en VM dediee. Le comparatif Tails, Whonix et Qubes dans Tails, Whonix ou Qubes OS: Lequel Choisir pour Chaque Scenario d'OPSEC aide a choisir par scenario; spoiler: Qubes pour usage quotidien compartimente, Tails pour sessions ponctuelles amnesiques.

Les navigateurs meritent un chapitre. Firefox avec profils separes ne suffit pas: cookies, cache et fingerprinting fuient entre fenetres. Utilisez Mullvad Browser ou Tor Browser pour la persona de recherche, Brave avec profils pour la professionnelle, et Safari pour la personnelle, chacun dans sa VM ou au minimum dans des containers Firefox Multi-Account. Desactivez WebRTC, normalisez la resolution via letterboxing, gardez un User-Agent identique a la masse Tor. N'installez jamais d'extension custom sur la persona non-attribuable: chaque add-on ajoute de l'entropie. Sur Tor specifiquement, lisez Anonymat Reel avec Tor: Ce qui Fonctionne et ce qui est Mythe en 2026 avant de supposer que trois sauts reglent tout.

Le reseau et le DNS sont la ou la plupart glissent. La persona de recherche sortant depuis la meme IP residentielle que la persona personnelle annule la separation en 30 secondes de correlation. Utilisez Mullvad ou IVPN avec WireGuard dans des VMs distinctes, ou routez la persona de recherche via Tor par defaut. DNS-over-HTTPS vers le resolveur du fournisseur VPN, jamais celui du FAI. Dans Qubes, configurez sys-vpn et sys-whonix comme NetVMs separees par qube. Verifiez les fuites avec dnsleaktest.com et tcpdump sur l'interface physique avant de faire confiance. Le marketing VPN ment; le paquet sortant de la carte reseau, non.

Les metadonnees sont le talon invisible. Vous pouvez avoir une persona parfaite et publier un PDF avec votre vrai nom dans Author, ou une photo avec GPS EXIF de votre balcon. Avant toute publication, lancez exiftool -all= sur le fichier, ouvrez les PDF avec qpdf --linearize et revisez les proprietes dans LibreOffice. Les documents Office portent des GUID persistants entre versions qui relient des fichiers de la meme machine. Voir Hygiene des Metadonnees : Nettoyer EXIF, PDF et Office avant Publication pour le flux de nettoyage par type de fichier, et ajoutez mat2 comme couche automatique avant d'uploader quoi que ce soit.

La communication doit suivre la meme compartimentation. Signal avec votre numero personnel sur la persona de recherche est un suicide operationnel; utilisez SimpleX Chat ou Session avec identites par persona, installes dans des profils Android separes ou sur GrapheneOS avec work profiles. Ne croisez jamais les contacts entre personas, meme par erreur de notification. L'email suit la meme logique: ProtonMail dedie par persona, accede uniquement depuis la VM correspondante, sans client desktop tout synchroniser. Pour choisir le bon messager par modele de menace, OPSEC Communication: Signal, SimpleX et Session Compares Techniquement a le comparatif technique qui evite la decision par hype.

Enfin, operez la separation en routine, pas en projet. Audit mensuel: listez chaque persona, chaque compte, chaque appareil, chaque IP utilisee. Cherchez des croisements dans votre propre OSINT en suivant OSINT Ethique: Enqueter sur sa Propre Empreinte Numerique avec Maltego et Spiderfoot avec Spiderfoot pointe sur vous-meme. Si le resultat relie deux personas qui devaient etre isolees, la faille existe et est exploitable. Takeaway pratique: aujourd'hui, choisissez une persona et cartographiez-la sur une feuille a trois colonnes, appareil, reseau, identites, et marquez chaque cellule ou elle partage quelque chose avec une autre persona. Chaque cellule marquee est une dette technique a fermer dans les deux semaines.