OPSEC pour les gens ordinaires : les traces numériques que tu laisses sans le savoir

L’été dernier, une famille de Laval a été cambriolée pendant leurs vacances en famille en Floride. La porte d’entrée n’avait pas été forcée — quelqu’un avait simplement attendu qu’ils partent.

Comment le savaient-ils ? Les parents avaient posté plusieurs photos sur Instagram : l’aéroport Trudeau avec la légende “C’est parti!”, une photo à Disney World, un selfie sur la plage. Le profil était public. Ils étaient absents pour deux semaines, et tout le monde pouvait le voir.

Ce n’est pas de la paranoïa de ma part. C’est de l’OPSEC — ou plutôt, l’absence d’OPSEC.

Qu’est-ce que l’OPSEC ?

L’OPSEC (Operational Security, sécurité opérationnelle) est un concept développé par l’armée américaine pendant la guerre du Vietnam pour identifier et protéger les informations critiques qui pourraient être exploitées par un adversaire.

Le principe fondamental : de petites informations séparées et anodines, combinées, peuvent créer un portrait extrêmement utile pour un adversaire.

Chaque information isolée semble inoffensive :

• “Je rentre souvent vers 18h30” — pas grave
• “Mon chien s’appelle Rocky” — pas grave
• “J’habite dans le quartier Saint-Roch à Québec” — pas grave
• “Je pars en vacances du 15 au 29 juillet” — pas grave

Ensemble ? N’importe qui peut savoir quand ton domicile est vide, identifier ton adresse approximative, et même deviner le nom de l’animal utilisé comme réponse secrète.

Les façons dont tu révèles des informations sans y penser

1. Les posts de vacances en temps réel

Le classique. Poster des photos pendant que tu es absent signale ton absence à toute personne qui te suit — y compris des gens que tu connais vaguement et qui ont accès à ton profil “amis d’amis”.

La règle simple : poste les photos de vacances après ton retour. Tu profites quand même du contenu social, sans le risque.

2. Ta routine sur Strava ou Garmin

Les apps de sport cartographient précisément tes habitudes. Ton segment de vélo quotidien révèle :

• Où tu habites (point de départ récurrent)
• Où tu travailles ou t’entraînes (point d’arrivée récurrent)
• Tes horaires exacts
• Ta route habituelle

En 2018, la heatmap mondiale de Strava a accidentellement révélé l’emplacement de bases militaires classifiées et les routines de soldats en zone de guerre. Si ça marche pour trouver une base secrète, ça marche aussi pour identifier la routine d’un individu.

Solution : configure Strava en mode privé, ou utilise la fonction de “zone privée” pour masquer le début et la fin de tes parcours (cache ton point de départ dans un rayon de 500m à 5km).

3. Les métadonnées des photos

Les photos prises avec un smartphone contiennent des métadonnées EXIF qui peuvent inclure :

• Les coordonnées GPS exactes de la prise de vue
• La date et l’heure précises
• Le modèle de ton appareil

Si tu postes une photo depuis chez toi sans supprimer les métadonnées, n’importe qui peut extraire ton adresse exacte.

Pour en savoir plus sur ce sujet, consulte notre guide sur les métadonnées EXIF et les risques de géolocalisation.

Instagram, Facebook et Twitter suppriment généralement les métadonnées EXIF lors de l’upload. Mais ce n’est pas toujours le cas — et si tu partages des photos par email ou via d’autres canaux, les métadonnées restent.

4. La liste d’amis publique sur Facebook

Ta liste d’amis Facebook publique est une mine d’or pour l’ingénierie sociale. Un attaquant peut :

• Identifier tes proches (parents, conjoint, enfants)
• Trouver des personnes de confiance à usurper (“Je suis un ami de Pierre, j’essaie de te joindre…”)
• Identifier tes intérêts et tes vulnérabilités potentielles

Solution : dans Paramètres → Confidentialité, configure ta liste d’amis en “Moi seulement” ou “Amis”. Ça ne change rien à ton expérience Facebook.

5. Les check-ins et tags de localisation

Chaque check-in dans un restaurant, un bar ou un événement crée un point de données sur ta routine. Régulièrement au même café le mardi matin ? Dans une salle de sport spécifique les soirs ? C’est de la prévisibilité — une vulnérabilité en termes d’OPSEC.

6. Les groupes et forums publics

Les groupes Facebook de quartier, les forums Reddit locaux, les commentaires sur des pages locales — tout ça peut être agrégé. “Je cherche un plombier dans le quartier X” + profil public = localisation révélée.

Le concept de la corrélation

L’OPSEC moderne, c’est comprendre que le problème n’est pas une information en particulier — c’est la corrélation entre plusieurs informations.

Exemple concret :

1. LinkedIn : tu travailles comme infirmière à l’Hôtel-Dieu de Québec
2. Strava : tu cours depuis le quartier Montcalm chaque matin à 6h30
3. Facebook : tu préviens tes amis que tu pars “en vacances bien méritées” du 20 au 27 août
4. Instagram : une photo dans ta cuisine (la prise électrique derrière toi est distinctive)

Séparément : aucune de ces informations n’est sensible. Ensemble, quelqu’un sait où tu travailles, où tu habites approximativement, quand tu seras absente, et peut potentiellement identifier ton domicile.

Comment appliquer l’OPSEC dans ta vie quotidienne

Pense avant de poster : “Que révèle cette information ?”

Avant de publier quelque chose, pose-toi la question : si quelqu’un voulait me faire du mal ou s’introduire chez moi, est-ce que cette information lui serait utile ?

La règle des 24-48h pour les voyages

Ne poste rien sur ton voyage pendant que tu es absent. Poste après ton retour. Ça semble petit, mais c’est l’une des mesures les plus efficaces.

Compartimentalise par audience

Différentes plateformes, différentes audiences, différentes informations :

• LinkedIn : information professionnelle uniquement
• Instagram public : pas d’adresse, pas de routine, pas de dates d’absence
• Facebook “amis” : OK pour plus de détails, mais vérifie qui est vraiment dans ta liste “amis”

Audite ce qu’un inconnu peut déduire de toi

Fais l’exercice : connecte-toi à un compte neutre (ou en navigation privée) et cherche ton nom sur Google, puis visite tes profils publics. Qu’est-ce qu’un inconnu peut apprendre sur toi en 10 minutes ?

Pour aller plus loin sur cette démarche, consulte notre guide sur l’OSINT personnel.

Évite les routines prévisibles en ligne

La prévisibilité est une vulnérabilité. Si tu postes toujours une photo de ton café du lundi matin depuis le même café, à la même heure, n’importe qui peut prédire où tu seras.

Ce que tu ne peux pas contrôler (et l’accepter)

L’objectif de l’OPSEC n’est pas la perfection. C’est de rendre la collecte d’information sur toi suffisamment coûteuse pour décourager les acteurs opportunistes.

Tu ne peux pas contrôler ce que tes amis postent avec toi dedans, ni ce que les registres publics révèlent. Mais tu peux contrôler tes propres publications, ta liste d’amis visible, et tes paramètres de confidentialité.

Recommandations pratiques

1. Rends ta liste d’amis Facebook privée — maintenant, ça prend 30 secondes
2. Configure une zone privée sur Strava autour de ton domicile et de ton lieu de travail
3. Poste tes photos de vacances après ton retour — pas pendant
4. Vérifie les paramètres de localisation de tes apps de sport — Strava, Garmin, Nike Run Club ont tous des options de confidentialité
5. Supprime les métadonnées avant de partager des photos par email ou sur des plateformes non grand public
6. Fais un audit de tes profils publics une fois par an — ce que tu vois en navigation privée est ce que les inconnus voient

L’OPSEC, ce n’est pas de disparaître d’internet. C’est de décider consciemment ce que tu révèles — et à qui.