OPSEC et anonymat en ligne : protéger son identité numérique

Faire de l'OSINT sans protéger son identité, c'est enquêter sur quelqu'un en lui laissant votre carte de visite. Ce guide explique comment conduire des investigations en ligne de manière sécurisée, légale et sans laisser de traces.

Qu'est-ce que l'OPSEC ?

Définition : L'OPSEC (Operations Security) est l'ensemble des pratiques visant à protéger ses informations sensibles et son identité lors d'une opération. Le principe central : ne jamais divulguer d'informations qui pourraient alerter votre cible ou vous exposer.

En contexte OSINT civil, l'OPSEC sert à :

Éviter que votre cible soit alertée de votre enquête
Protéger votre identité personnelle lors de recherches sensibles
Séparer votre vie professionnelle de vos activités de recherche

Les 3 niveaux d'OPSEC OSINT

Niveau 1 — Hygiène de base

Navigateur dédié : Ne mélangez jamais votre navigation personnelle et votre navigation OSINT. Créez un profil séparé dans Firefox ou Brave.

Mode navigation privée : Empêche le stockage de cookies et l'historique. Ne cache pas votre IP mais réduit l'empreinte.

Ne jamais être connecté à vos comptes : Consulter un profil Instagram connecté peut envoyer une notification. Consultez les profils publics sans connexion.

Moteur de recherche sans tracking :

DuckDuckGo : pas de profil publicitaire
Startpage : résultats Google sans tracking

Niveau 2 — Protection intermédiaire

VPN :

Critère	Ce qu'il faut chercher
Politique no-log	Le fournisseur ne conserve pas vos traces
Juridiction	Pays hors Five Eyes (Suisse, Islande)
Kill switch	Coupe internet si VPN déconnecté
Fiabilité	Audits indépendants publiés

Recommandations : Mullvad (le plus axé vie privée), ProtonVPN (suisse, open source).

Email jetable :

SimpleLogin : email alias qui redirige vers votre vraie boîte
AnonAddy : même principe, open source
10minutemail.com : email temporaire

Niveau 3 — Anonymat avancé

Tor Browser :

Définition : Tor est un réseau de relais qui chiffre et anonymise votre trafic internet en le faisant passer par 3 noeuds géographiquement distincts, rendant le traçage très difficile.

Téléchargez uniquement depuis torproject.org. Tor est lent — utilisez-le pour les recherches les plus sensibles.

Machine virtuelle (VM) : VirtualBox (gratuit) permet de créer un environnement isolé de votre système principal.

Compartimentage des identités

Principes :

Une identité de recherche ≠ votre vraie identité
Ne mélangez jamais les comptes d'une identité de recherche avec vos comptes personnels
Chaque identité a son propre email, ses propres comptes, son propre VPN

Création d'une identité de recherche :

Email dédié sur ProtonMail ou Tutanota
Compte Twitter/X sans informations personnelles
Accès uniquement depuis navigateur dédié + VPN

Erreurs OPSEC fréquentes

Ne pas vérifier son IP avant de commencer Avant chaque session, vérifiez sur ipleak.net que votre vraie IP n'est pas exposée.

Liker accidentellement une publication Sur mobile, un scroll trop rapide peut déclencher un like. Consultez depuis ordinateur, en navigation privée, sans connexion.

Oublier les métadonnées Si vous téléchargez des images, supprimez leurs métadonnées EXIF avant de les partager : ExifTool ou MAT2.

Cas pratique : investigation sur un escroc

Activez votre VPN, vérifiez sur ipleak.net
Ouvrez Firefox en navigation privée
Cherchez le profil sans être connecté
Recherche inversée de la photo (Yandex, Google)
Notez les informations visibles
Documentez : captures d'écran horodatées, notes détaillées

FAQ — OPSEC et anonymat

Un VPN rend-il vraiment anonyme ?

Non, pas complètement. Un VPN masque votre IP réelle mais ne garantit pas l'anonymat total. Votre fournisseur VPN connaît votre IP réelle. Pour un anonymat renforcé, combinez VPN + Tor.

Est-il légal d'utiliser Tor en France ?

Oui, totalement légal. L'utilisation de Tor est légale en France.

Mes recherches Google sont-elles conservées ?

Oui, si vous êtes connecté à un compte Google. Utilisez Startpage ou DuckDuckGo pour éviter ce tracking.