Securite Personnelle pour Cibles Visibles: Journalistes, Activistes et Dirigeants

Une journaliste d investigation a decouvert en 2024 que son adresse personnelle circulait chez trois data brokers differents pour moins de deux euros la requete. Un dirigeant de fintech a recu des photos de l ecole de ses enfants par Telegram apres avoir publie une enquete sur des fraudes. Ce ne sont pas des scenarios dystopiques, c est le quotidien de quiconque a une visibilite publique. La securite personnelle pour cibles visibles ne commence pas par un gilet pare-balles ni par un VPN payant, elle commence par un modele de menace honnete. Qui veut vous nuire, combien il investit, et quel est le chemin le plus court entre votre routine et l impact recherche.

Le premier exercice consiste a lister les adversaires reels par capacite et motivation. Un stalker individuel dispose d un budget de quelques centaines d euros et utilise de l OSINT public. Un groupe criminel organise opere avec des dizaines de milliers, corrompt des employes d operateurs et achete des SS7 lookups. Un acteur etatique ou para-etatique a une capacite illimitee, y compris des spywares commerciaux comme Pegasus, Predator et QuaDream. Le playbook change a chaque palier. Qui suit la logique de OPSEC pour Chercheurs en Securite: Modele de Menace Personnel priorise 400 euros de durcissement avant d acheter des gadgets a 4000 euros qui protegent contre les mauvaises menaces.

Sur la couche numerique, commencez par le trio mot de passe-MFA-recuperation. Utilisez Bitwarden ou 1Password, generez des secrets de 20+ caracteres et migrez les logins critiques vers les passkeys comme explique dans Mots de Passe et MFA: Migrer vers les Passkeys sans Casser Votre Recuperation. Tuez le SMS comme second facteur: les attaques de SIM swap coutent moins de 600 euros dans les marches noirs regionaux et mettent en moyenne 4 heures a etre detectees. Pour communiquer avec les sources, Signal avec messages ephemeres d une semaine et numero VoIP dedie. SimpleX ou Session quand l adversaire a acces aux metadonnees operateur. Comparez les garanties techniques dans OPSEC Communication: Signal, SimpleX et Session Compares Techniquement avant d adopter un stack unique.

Avant de publier un document, passez par l hygiene des metadonnees. Des reportages ont brule des sources parce que le PDF portait l auteur original dans le champ XMP, et des photos de manifestants ont ete geolocalisees via EXIF GPS. ExifTool en batch, qpdf pour lineariser les PDFs et LibreOffice exportant en PDF/A resolvent 90% des cas decrits dans Hygiene des Metadonnees : Nettoyer EXIF, PDF et Office avant Publication. Pour les appareils du quotidien, activez le Lockdown Mode sur iPhone (reduit la surface d attaque d environ 70% selon les tests du Citizen Lab) et suivez la checklist de Durcissement macOS: Lockdown Mode, MDM et Reduction de Surface pour les laptops d entreprise. Sur Windows personnel a haut risque, BitLocker avec TPM+PIN et les regles ASR comme dans Durcissement de Windows 11 pour Postes de Travail a Haut Risque.

Sur la couche physique, le concept cle ce sont les patterns previsibles. Quiconque vous observe deux semaines cartographie le trajet vers la salle de sport, l horaire de recuperation des enfants, le restaurant du vendredi. Variez les itineraires sur au moins trois alternatives et les horaires sur des fenetres de 30 minutes. Pour la detection de surveillance, des apps comme AirGuard sur Android reperent les AirTags et trackers BLE en arriere-plan. Cameras avec stockage SD local sans cloud a l entree, capteur de mouvement en perimetre et coffre Classe III pour passeports et HSM. Une formation basique de conduite defensive coute environ 300 euros et enseigne des manoeuvres d extraction qui valent plus qu une voiture blindee mal utilisee.

L anti-doxxing est la tache la plus ingrate et la plus urgente. Faites un pentest de votre propre empreinte avec Maltego CE et Spiderfoot comme dans OSINT Ethique: Enqueter sur sa Propre Empreinte Numerique avec Maltego et Spiderfoot, puis payez des services de suppression pour data brokers (Spokeo, BeenVerified, WhitePages ont des flux d opt-out, et le RGPD vous donne un levier juridique en Europe). Le guide Securite Personnelle Anti-Doxxing: Supprimer ses Donnees des Data Brokers Bresiliens liste les principaux brokers avec leurs delais legaux de reponse. Pour le cercle familial, formez conjoint et enfants a la compartimentation basique: pas de check-in temps reel, profils prives, noms d ecole hors d Instagram. Appliquez la logique de Compartimentation Numerique: Identites Separees sans Fuiter de Metadonnees pour separer identites publique et privee sur emails, numeros et cartes.

Backup et recuperation, c est la partie que personne ne fait avant de tout perdre. Strategie 3-2-1 avec Veracrypt sur disque externe, second backup chiffre dans le cloud (Tresorit ou Proton Drive) et un cold backup dans un coffre physique ou chez un proche de confiance. Details pratiques dans Crypto de Disque et Sauvegardes: VeraCrypt, LUKS et Strategie 3-2-1 Resiliente. Pour la crypto personnelle, hardware wallet avec passphrase BIP39 separee comme dans Crypto Personnelle: Hardware Wallets, Passphrase et Backup Resistant a la Coercition protege contre la coercition physique via plausible deniability. Documentez dans une enveloppe scellee un plan de continuite: qui appelle l avocat, qui informe l entreprise, comment acceder aux comptes en cas de detention ou d hospitalisation.

Takeaway pratique: bloquez 4 heures ce samedi, ouvrez un tableur et remplissez trois colonnes: adversaire, capacite estimee en euros, vecteur le plus probable. Pour les trois vecteurs top, definissez une action concrete pour la semaine prochaine: changer de fournisseur d email, acheter une YubiKey, payer un service de suppression de data broker. La securite personnelle n est pas un produit, c est un processus iteratif de 90 jours. Qui le traite comme un projet avec sprints, metriques et revue trimestrielle finit plus en securite que celui qui achete des solutions cheres et oublie les bases.