Liste finale de vérification avant une activité anonyme
Avant de commencer une activité anonyme, ou juste avant de publier, arrêtez-vous une fois pour vérifier.
Les échecs d'anonymat ne surviennent pas seulement à cause d'une seule grosse erreur. Ils surviennent quand de petits indices s'accumulent et se relient plus tard.
Cette liste sert à vérifier ensemble les communications, le navigateur, les comptes, les fichiers, le contenu publié, le temps et les informations passées.
1. Objectif et modèle de menace
Vérifiez d'abord ce que vous voulez protéger.
| Point à vérifier | Ce qu'il faut regarder |
|---|---|
| Contre qui protéger | Utilisateurs ordinaires, exploitants de site, lieu de travail, autorités étatiques, etc. |
| Quoi protéger | Vous-même, famille, sources, appartenance, lieux habituels, etc. |
| Quelle action effectuer | Consultation, publication, contact, partage de fichiers, etc. |
| Quel niveau de risque | Risque faible ou risque élevé |
Si vous utilisez des outils avec un objectif flou, des oublis de vérification apparaissent.
Dans une activité anonyme, on veut souvent commencer par choisir l'outil. Faut-il utiliser un , , préparer un autre appareil ? Mais si l'objectif reste flou, l'outil choisi peut ne pas correspondre à ce que l'on veut protéger.
Voulez-vous éviter que votre lieu de travail le sache ? Voulez-vous éviter que le site de destination voie votre IP domestique ? Voulez-vous protéger une source ? Voulez-vous éviter un lien avec d'anciens comptes ? Décidez d'abord contre qui et quoi protéger.
2. Environnement de communication
Vérifiez le chemin de communication.
- L'objectif d'utiliser un VPN ou Tor est-il clair ?
- L'IP visible par le site de destination est-elle conforme à ce qui était prévu ?
- Y a-t-il une fuite DNS ?
- Le kill switch du VPN est-il actif ?
- Des communications hors Tor Browser sortent-elles par la connexion ordinaire ?
- Comprenez-vous le risque lié à l'usage d'un Wi-Fi public ou d'un réseau professionnel ?
L'environnement de communication est important, mais il ne détermine pas à lui seul l'anonymat.
L'environnement de communication est une partie de l'anonymat. Même avec un VPN ou Tor, l'état de connexion, les cookies, le contenu publié, les fichiers et les corrélations temporelles restent. À l'inverse, si vous vous contentez de vérifier la communication, vous échouerez ailleurs.
Dans la vérification de l'environnement de communication, organisez "qui voit quoi". Les informations visibles diffèrent selon le FAI, le fournisseur VPN, la sortie Tor, le service de destination, l'opérateur Wi-Fi ou le réseau professionnel.
3. Navigateur et état de connexion
Le navigateur doit toujours être vérifié.
- Utilisez-vous un navigateur dédié à l'anonymat ?
- N'êtes-vous pas connecté à un compte sous identité réelle ?
- Des cookies ou du LocalStorage restent-ils ?
- La synchronisation du navigateur est-elle activée ?
- Avez-vous installé des extensions superflues ?
- Si vous utilisez Tor Browser, avez-vous évité de casser les réglages par défaut ?
L'état de connexion affaiblit fortement l'anonymat.
Le navigateur est au centre de la pratique anonyme. Il regroupe cookies, LocalStorage, historique, mots de passe enregistrés, extensions, notifications et synchronisation. Si vous vous connectez à un compte sous identité réelle dans un navigateur dédié à l'anonymat, un lien avec vous apparaît même si vous avez changé de chemin de communication.
Si un écran de connexion apparaît, arrêtez-vous une fois. Vérifiez si vous pouvez vous connecter à ce compte, si la récupération ne renvoie pas au côté identité réelle, et si l'historique de connexion peut rester.
4. Compte
Vérifiez les informations d'inscription du compte anonyme.
- N'utilisez-vous pas une adresse e-mail sous identité réelle ?
- N'utilisez-vous pas un numéro de téléphone sous identité réelle ?
- L'adresse e-mail de récupération ne se relie-t-elle pas au côté identité réelle ?
- Le nom d'utilisateur ne ressemble-t-il pas à d'anciens comptes ?
- L'icône ou le profil ne recoupent-ils pas le côté identité réelle ?
- Les relations d'abonnement ne recoupent-elles pas trop le côté identité réelle ?
Un compte n'est pas un nom, mais un ensemble d'identifiants.
Les informations de création de compte deviennent moins visibles ensuite. L'e-mail, le numéro de téléphone, la destination de récupération, l'appareil de connexion et la date d'inscription non affichés sur le profil restent à l'intérieur du service. Pour un compte anonyme, séparez non seulement le nom affiché, mais aussi les informations d'inscription et l'environnement d'exploitation.
5. Fichiers et images
Vérifiez les fichiers à publier ou partager.
- Le nom de fichier contient-il des données personnelles ?
- Les métadonnées ont-elles été vérifiées ?
- Avez-vous revérifié après suppression ?
- L'arrière-plan ou les reflets d'une image contiennent-ils des informations ?
- Une capture d'écran contient-elle des notifications ou des noms de compte ?
- Un PDF ou un document Office contient-il créateur, commentaires ou historique d'édition ?
- N'a-t-il pas été modifié dans un cloud ou une application sous identité réelle ?
Les fichiers se vérifient à la fois par leur apparence et par leurs informations internes.
Les fichiers sont la partie la plus facile à oublier dans une vérification avant publication. L'arrière-plan d'une image, le créateur d'un PDF, les commentaires d'un document Office, les notifications dans une capture d'écran, l'audio d'une vidéo ou les noms internes d'une archive peuvent rester. Même si les métadonnées sont supprimées, les informations visibles dans le contenu ou l'arrière-plan restent.
Si vous utilisez un site de conversion en ligne, une IA externe, l'édition cloud ou un service web de vérification des métadonnées, le contenu du fichier ou ses métadonnées peuvent être envoyés à l'extérieur. Pour les fichiers à haut risque, vérifiez autant que possible localement et arrêtez-vous avant de transmettre le fichier à un service externe.
6. Contenu publié
Vérifiez le texte et les propos.
- Nom réel, lieu, travail, école ou appartenance apparaissent-ils ?
- Y a-t-il une expérience que seules des personnes concernées connaissent ?
- Le vocabulaire spécialisé ou interne est-il trop fort ?
- Le style ressemble-t-il à celui d'un compte sous identité réelle ?
- Écrivez-vous la même histoire que dans d'anciennes publications ?
- Si l'on combine plusieurs petites informations, les candidats se resserrent-ils ou un indice fort apparaît-il ?
Pensez non pas à une personne qui ne vous connaît pas, mais à une personne qui vous connaît et lirait le texte.
Le contenu publié laisse apparaître les habitudes de la personne. Région, secteur, école, travail, famille, vocabulaire spécialisé, façon de se mettre en colère, style d'écriture, expériences personnelles. Même sans écrire le nom réel, une personne qui vous connaît peut resserrer les candidats en lisant.
Avant publication, demandez-vous : "À quoi ressemblerait ce texte placé à côté de mes anciennes publications ?" L'anonymat s'affaiblit non par une publication isolée, mais par son recoupement avec les informations passées.
7. Temps et comportement
Vérifiez les corrélations temporelles.
- N'agissez-vous pas aux mêmes heures que le compte sous identité réelle ?
- Ne publiez-vous pas juste après un événement ?
- L'heure de publication révèle-t-elle un rythme de vie ?
- Les dates de création ou de modification des fichiers restent-elles ?
- Existe-t-il une règle pour ne pas donner trop d'informations en réponses ou en DM ?
Les réponses après publication font aussi partie de la pratique anonyme.
Le temps relie les journaux entre eux. Quand l'heure de publication, l'heure de création du fichier, l'heure de connexion, l'heure de fin d'un événement et l'heure d'activité côté identité réelle se recoupent, le déroulement du comportement devient visible. Les heures de réponse ou de suppression après publication peuvent aussi être observées.
Si vous répondez dans la précipitation juste après publication, il devient facile de donner des informations supplémentaires. Décidez aussi de la gestion après publication avant de publier.
8. La décision finale de s'arrêter
S'il reste un point d'hésitation, arrêtez la publication.
Dans l'anonymat, avancer avec "ça devrait aller" est dangereux. En particulier dans les situations à haut risque, il est important de ne pas publier avec des inconnues restantes.
Une information publiée une fois peut rester dans des captures d'écran, archives, republications et résultats de recherche.
La décision de s'arrêter est une technique importante de la pratique anonyme. Plutôt que d'avancer sans savoir, choisissez entre vérifier, retarder, réduire l'information, consulter ou ne pas publier. Dans une activité à haut risque, il est parfois nécessaire de ne pas juger seul.
Comment utiliser la checklist
Une checklist ne sert à rien si elle est seulement lue. Utilisez-la juste avant l'action : avant une publication, avant un partage de fichier, avant la création d'un compte ou avant un contact de reportage.
| Moment d'utilisation | Ce qu'il faut regarder en priorité |
|---|---|
| Avant création de compte | E-mail, numéro de téléphone, nom d'utilisateur, destination de récupération |
| Avant publication | Contenu, image, temps, compte |
| Avant partage de fichier | Métadonnées, permissions de partage, emplacement de stockage |
| Avant contact | Moyen de contact, journaux, sécurité de l'autre personne |
| Après problème | Ne pas donner d'informations supplémentaires et vérifier ce qui est sorti |
Il n'est pas nécessaire de tout vérifier avec la même profondeur à chaque fois. Cependant, plus l'action est risquée, plus il est important de ne pas omettre les vérifications.
Synthèse
Avant une activité anonyme, vérifiez ensemble les communications, le navigateur, les comptes, les fichiers, le contenu publié, le temps et les informations passées.
VPN ou Tor seuls ne suffisent pas. Les cookies, l'état de connexion, les métadonnées de fichiers, l'arrière-plan des images, le style d'écriture, l'heure de publication, les réponses et les DM doivent aussi être vérifiés.
Le but de la vérification finale n'est pas de garantir la perfection. Il est de réduire les indices avant publication et de décider de s'arrêter s'il reste un point d'hésitation.