Guide OPSEC — Particulier

Réduire les risques numériques et physiques liés aux fuites de données

Introduction

En décembre 2025, la base de données de la Fédération Française de Tir a fuité : plus d’un million de détenteurs d’armes avec noms, adresses complètes, téléphones et emails. Parmi eux : des agents DGSI/DGSE, des policiers, des personnalités politiques.

Ce n’est pas un cas isolé. Les fuites de données ne sont plus un problème IT abstrait. Elles alimentent désormais des cambriolages ciblés, des extorsions et des agressions physiques — notamment dans l’écosystème crypto où les “wrench attacks” (agressions pour voler des cryptomonnaies) se multiplient.

Ce guide ne parle ni de fraude, ni de contournement de la loi. Il parle de réduction d’exposition : comment limiter les dégâts quand (pas si) tes données se retrouvent dans la nature.

---

Principe fondamental

Ton adresse personnelle est ta donnée la plus critique.

Elle doit être :

• Rarement fournie

• Jamais publique

• Décorrélée de tes usages sensibles

Une adresse + une fuite = une cible physique.

Tout le reste (email, téléphone, pseudo) est secondaire. Ces données permettent du phishing et du harcèlement. Ton adresse permet une intrusion physique.

---

1. Compartimenter ses identités

La compartimentaion est le principe de base : ne jamais mélanger les contextes. Si un compartiment est compromis, les autres restent intacts.

Les 5 couches recommandées

Règles de non-contamination

Ne jamais utiliser le même email ou téléphone pour :

• Banque ↔ Crypto

• Crypto ↔ Réseaux sociaux

• Réseaux sociaux ↔ Vie professionnelle

• Vie professionnelle ↔ Activités sensibles (tir, chasse, etc.)

Un attaquant qui compromet ton compte Twitter ne doit pas pouvoir pivoter vers ton exchange crypto.

---

2. Protéger son adresse physique

Solutions légales et pratiques

Option 1 : Boîte postale La Poste

• Coût : ~200€/an (service “Garde du courrier”)

• Limite : Beaucoup de services (exchanges, banques) refusent les adresses contenant “BP” — ils vérifient via des bases de données d’adresses

Option 2 : Domiciliation commerciale via micro-entreprise

• Créer une micro-entreprise (gratuit, 10 minutes sur guichet-entreprises.fr)

• Souscrire une domiciliation (~15-30€/mois) chez SeDomicilier, LegalPlace, Kandbaz, etc.

• Avantage : C’est une vraie adresse postale, pas une BP

• Tu peux utiliser cette adresse pour tout ce qui est sensible

Option 3 : Adresse d’un proche de confiance

• Légal si tu peux effectivement recevoir du courrier là-bas

• Nécessite une attestation d’hébergement pour certains services

• Inconvénient : Tu déplaces le risque sur cette personne

Option 4 : Point relais / Consignes pour les livraisons

• Pour les achats en ligne uniquement

• Ne fonctionne pas pour les services nécessitant une adresse de facturation

Ce qu’il faut éviter absolument

• Afficher ton adresse dans un profil public (LinkedIn, Facebook, Viadeo...)

• Réutiliser ton adresse personnelle sur des dizaines de plateformes

• Mettre ton adresse dans des tickets de support, forums ou échanges publics

• Poster des photos géolocalisées de ton domicile

Si un service exige légalement ton adresse réelle (KYC)

C’est acceptable — mais uniquement pour ce service, et avec des précautions (voir section KYC ci-dessous).

---

3. Gestion du KYC (Know Your Customer)

Le KYC est obligatoire pour les exchanges crypto, certains services financiers et les activités réglementées. Tu ne peux pas l’éviter, mais tu peux limiter l’exposition.

Limiter le nombre de KYC

• Un seul exchange principal bien choisi plutôt que 10 comptes partout

• Utiliser des DEX (exchanges décentralisés) pour le trading secondaire — pas de KYC

• Choisir des plateformes avec un bon historique sécurité (Kraken n’a jamais eu de fuite KYC majeure)

Technique du watermark sur les documents

Quand tu envoies une pièce d’identité :

1. Ajoute un watermark semi-transparent en diagonale

2. Texte : “UNIQUEMENT POUR [NOM DU SERVICE] — [DATE]”

3. Exemple : “UNIQUEMENT POUR KRAKEN — 29/12/2025”

Certaines plateformes refusent les documents marqués, mais la plupart acceptent. Si ta pièce fuite, tu sauras immédiatement d’où elle vient.

Exercer tes droits RGPD

• À la fermeture d’un compte, demande explicitement la suppression de tes données KYC

• Les plateformes ont des obligations légales de conservation (généralement 5 ans pour les données anti-blanchiment), mais elles doivent supprimer le reste

• Envoie un email formel citant l’article 17 du RGPD

Ce qui ne fonctionne pas

• Fausse identité : Illégal et détectable (liveness check, vérification croisée)

• VPN pour changer de juridiction : Le KYC suit ta nationalité, pas ton IP

• Prête-nom : Risque pénal pour les deux parties

---

4. OPSEC spécifique Crypto

La majorité des agressions physiques liées aux cryptomonnaies commencent par de l’OSINT basique : l’attaquant sait que tu as de la crypto ET où tu habites.

Règles de base

• Email dédié uniquement pour la crypto (ProtonMail ou Tutanota)

• Numéro de téléphone dédié (eSIM secondaire, OnOff, ou SIM prépayée)

• 2FA obligatoire : TOTP (Authy, Aegis) ou clé physique (Yubikey) — jamais SMS

• Adresse jamais visible publiquement

Zéro publication

Ne jamais publier :

• Des montants ou des gains

• Des captures d’écran de portefeuilles ou d’exchanges

• Des “success stories” même anonymisées

• Des photos de hardware wallets

Sécurité physique

• Ne pas recevoir de hardware wallets (Ledger, Trezor) à ton adresse personnelle — utilise un point relais ou une adresse alternative

• Coffre-fort pour les seed phrases (idéalement résistant au feu)

• Seed phrases jamais stockées numériquement (pas de photo, pas de fichier texte)

• Considérer un “wallet leurre” avec une petite somme en cas d’agression

Séparation des wallets

• Hot wallet : Petite somme pour le trading quotidien

• Cold wallet principal : Gros des fonds, accès rare

• Cold wallet “panic” : Petite somme accessible rapidement en cas d’extorsion

---

5. Activités sensibles (armes, licences, etc.)

La fuite FFTIR montre le risque : une base de données de détenteurs d’armes est une shopping list pour les cambrioleurs.

Règles spécifiques

• Adresse jamais affichée sur un compte public lié à cette activité

• Zéro corrélation avec les réseaux sociaux (pas de posts sur le tir, la chasse, etc.)

• Aucun indice visuel : pas de stickers sur la voiture, pas de photos d’équipement

• Stockage conforme mais discret (coffre-fort aux normes, mais pas de signalétique)

Principe clé

Le danger n’est pas l’objet. Le danger, c’est la cartographie des détenteurs.

---

6. Sécurisation Email et Téléphone

Email

Mot de passe :

• Unique (jamais réutilisé ailleurs)

• Long (20+ caractères, passphrase idéalement)

• Stocké dans un gestionnaire de mots de passe (Bitwarden, 1Password)

2FA obligatoire :

• TOTP (Authy, Aegis, Google Authenticator) ou clé physique

• Jamais de SMS comme facteur principal

Adresse de récupération :

• Doit être AU MOINS aussi sécurisée que l’email principal

• Piège classique : email de récup sur un vieux Yahoo mal sécurisé = point d’entrée pour tout compromettre

• Idéalement : email de récupération dédié, avec 2FA, jamais utilisé ailleurs

Alertes :

• Activer les notifications de connexion depuis un nouvel appareil

• Vérifier régulièrement les sessions actives

Téléphone

Verrouillage anti SIM-swap par opérateur :

Opérateur Comment faire Orange Appeler le 3900, demander un “code confidentiel obligatoire” pour toute opération sur la ligne SFR Espace client > Sécurité > Activer le code de sécurité Free Espace client > Gérer mon compte > Bloquer le changement de SIM Bouygues Appeler le 1064, demander la sécurisation du compte

Numéros dédiés :

• eSIM secondaire pour les services sensibles

• Applications comme OnOff ou Hushed pour des numéros jetables

• Ne jamais donner son numéro principal aux services crypto

---

7. OSINT défensif (à faire une fois par an)

Fais ton propre audit d’exposition :

Recherches à effectuer

1. Google : “Prénom Nom Ville”

2. Google : ton email principal

3. Google : ton numéro de téléphone

4. Recherche d’images inversée : ta photo de profil LinkedIn/Facebook (Google Images, TinEye)

5. Réseaux sociaux : visite tes profils en navigation privée (ce que voit un inconnu)

6. Have I Been Pwned : vérifie si tes emails apparaissent dans des fuites connues

Signaux d’alerte

Si un inconnu peut :

• Deviner où tu habites

• Comprendre ce que tu possèdes (crypto, armes, patrimoine)

• T’identifier facilement à partir d’un pseudo

• Croiser tes différentes identités

→ Tu es trop exposé. Reprends chaque point de ce guide.

Outils complémentaires

• Have I Been Pwned : haveibeenpwned.com

• Dehashed : recherche dans les fuites (payant)

• Intelligence X : intelx.io

• Epieos : recherche par email

---

8. Que faire si tu es DÉJÀ dans une fuite

Actions immédiates

1. Identifier l’étendue : Quelles données ont fuité ? (email seul, ou email + adresse + téléphone ?)

2. Changer les mots de passe : Tous les comptes utilisant l’email compromis, en priorité les comptes financiers

3. Activer/renforcer le 2FA : Sur tous les comptes critiques

4. Alerter ta banque : Si données bancaires ou d’identité exposées, demander une vigilance renforcée sur le compte

5. Surveiller :

   • Activer les alertes Google sur ton nom

   • Vérifier régulièrement tes comptes pour des connexions suspectes

   • Surveiller ton crédit (accès gratuit via la Banque de France)

Actions moyen terme

6. Déposer plainte : Même si souvent inutile concrètement, ça crée une trace en cas de problème ultérieur (usurpation d’identité, etc.)

7. Migrer vers de nouveaux identifiants : Si l’email est grillé, créer un nouvel email et migrer progressivement les comptes importants

8. Renforcer la sécurité physique si l’adresse a fuité :

   • Alarme connectée

   • Vidéosurveillance (même factice, effet dissuasif)

   • Éclairage extérieur avec détecteur de mouvement

   • Informer les voisins de confiance

---

9. Checklist récapitulative

Identité

• [ ] 5 couches d’identité séparées

• [ ] Emails dédiés par contexte

• [ ] Numéros de téléphone séparés (au moins 2)

Adresse

• [ ] Adresse personnelle sur le minimum de services

• [ ] Solution alternative en place (domiciliation, BP, proche)

• [ ] Aucune adresse sur les profils publics

Crypto

• [ ] Un seul exchange principal avec KYC

• [ ] Documents KYC avec watermark

• [ ] Hardware wallet livré hors domicile

• [ ] Seed phrases en coffre-fort physique

• [ ] Zéro publication de montants

Email/Téléphone

• [ ] 2FA activé partout (TOTP, pas SMS)

• [ ] Gestionnaire de mots de passe

• [ ] Email de récupération sécurisé

• [ ] Blocage SIM-swap activé chez l’opérateur

Audit annuel

• [ ] OSINT défensif effectué

• [ ] Have I Been Pwned vérifié

• [ ] Profils publics revus en navigation privée

---

10. Le vrai problème : un système en faillite

Tout ce qui précède, c’est ce que toi tu peux faire. Mais soyons lucides sur le contexte.

On est dans un système où :

• On nous oblige à déclarer nos vraies données (adresse, identité, justificatifs)

• Ces données sont centralisées dans des bases critiques

• Ces bases sont mal protégées

• Quand elles fuitent, il n’y a aucune conséquence (La FFTIR : 1 million d’adresses dans la nature. Sanction à ce jour : zéro.)

• Et derrière, l’État n’assure plus ses fonctions régaliennes de protection

Le citoyen respecte les règles, paie, déclare, s’expose par obligation…

…mais doit ensuite assumer seul les conséquences d’un État :

• Incapable de protéger les données qu’il impose de centraliser

• Incapable de dissuader réellement

• Incapable de protéger efficacement les individus exposés

Et dans le même temps, la réponse pénale est faible. La protection devient un problème privé.

Ce n’est pas un problème de cyber. C’est un problème systémique.

Les fuites de données, les cambriolages ciblés, les kidnappings crypto — ce ne sont pas des “faits divers”. Ce sont des symptômes.

Parler d’OPSEC individuelle sans parler de la faillite globale du modèle de protection, c’est se mentir.

La vraie question n’est plus : “Comment mieux se cacher ?”

Mais : “Pourquoi un système oblige à l’exposition sans garantir la protection ?”

Et tant que cette question restera sans réponse sérieuse, les discours rassurants sur la “cybersécurité du particulier” resteront ce qu’ils sont devenus :

Un pansement sur une jambe de bois.

---

Conclusion

Ce guide te donne ce qui reste dans ton contrôle. C’est mieux que rien. Applique-le.

Mais ne te fais pas d’illusions : tu colmates les brèches d’un système qui te demande de t’exposer sans te protéger.

La règle finale :

Sois invisible, pas introuvable.

Tu ne peux pas empêcher quelqu’un de trouver ton adresse. Tu peux empêcher quelqu’un de savoir que ça vaut le coup de venir.

---

Ressources

• Have I Been Pwned — Alertes fuites

• Pré-plainte en ligne — Signalement

• Cybermalveillance.gouv.fr — Conseils officiels

• RGPD Article 17 — Droit à l’effacement