Credit : Logo officiel
Protéger sa vie privée en ligne : le guide ultime 2026
Le déclic : un client piraté un dimanche soir
Dimanche 22h, un client m'appelle en panique : son compte mail principal vient d'être compromis, l'attaquant a déjà reset les mots de passe de ses comptes Amazon, Netflix et PayPal liés à cet email. Le mot de passe, c'était le même prénom + année de naissance qu'il utilisait depuis 2014, fuité dans le breach LinkedIn de 2016. Cette nuit-là, on a passé trois heures à reprendre la main et à activer la 2FA partout. Tout aurait pu être évité avec un gestionnaire de mots de passe et un peu d'hygiène numérique. Voici ce que je déploie pour mes clients et sur mes propres serveurs.
Couche 1 : le gestionnaire de mots de passe
La règle de base : un mot de passe unique de 20+ caractères par service. Impossible à retenir, donc tu utilises un coffre-fort. Mes deux choix :
- Bitwarden (open-source, gratuit, self-hostable via Vaultwarden)
- 1Password (proprio mais excellent UX, 3 €/mois)
Self-hoster Vaultwarden sur un VPS
Si tu as un VPS Debian, héberger ton propre serveur Bitwarden coûte zéro et te donne le contrôle total :
# Installer Docker et Compose
apt update && apt install docker.io docker-compose-plugin -y
# Créer le compose
mkdir -p /opt/vaultwarden && cd /opt/vaultwarden
cat > docker-compose.yml <<'EOF'
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: always
environment:
DOMAIN: "https://vault.monsite.fr"
SIGNUPS_ALLOWED: "false"
ADMIN_TOKEN: "$(openssl rand -base64 48)"
volumes:
- ./data:/data
ports:
- "127.0.0.1:8080:80"
EOF
docker compose up -d
Puis tu mets un Nginx en reverse proxy avec Let's Encrypt devant. Le service consomme moins de 50 Mo de RAM.
Vérifier les fuites de tes mots de passe
La CLI HIBP-cli interroge l'API de Have I Been Pwned pour tester si un hash est dans une fuite connue :
# Hasher ton mot de passe en SHA-1 et tester les 5 premiers chars
echo -n "MotDePasse123" | sha1sum | awk '{print toupper($1)}'
# Résultat: B8B4E5...
curl -s https://api.pwnedpasswords.com/range/B8B4E | grep -i "$reste_du_hash"
Si la ligne renvoie un nombre, ton mot de passe est compromis. Change-le immédiatement.
Couche 2 : la 2FA partout
L'authentification à deux facteurs bloque 99 % des piratages par credential stuffing. Mes règles :
- Jamais le SMS comme second facteur (SIM swap trivial). Utilise une app TOTP ou une clé physique.
- Aegis Authenticator (Android, open-source) ou Raivo OTP (iOS) pour stocker les codes TOTP.
- YubiKey 5 pour les comptes critiques (mail principal, gestionnaire de mots de passe, banque).
Sur Linux, tu peux générer un TOTP en CLI pour scripts d'admin :
apt install oathtool
oathtool --totp -b "JBSWY3DPEHPK3PXP"
# Sortie: 287082
Le secret se récupère en scannant le QR code lors de l'activation 2FA.
Couche 3 : le VPN, sans illusions
Un VPN ne te rend pas anonyme, il déplace juste la confiance de ton FAI vers le provider VPN. Mes critères de choix :
- Juridiction hors 14 Eyes (Suisse, Panama, Roumanie)
- Audits indépendants publics
- Pas de logs (vérifié par court order, pas juste promis)
- Paiement anonyme accepté (Monero, cash)
Ma shortlist :
- Mullvad (5 €/mois flat, comptes par numéro, accepte cash) — mon préféré
- ProtonVPN (Suisse, plan gratuit honnête, propriétaire de ProtonMail)
- IVPN (audité, transparence radicale)
Configurer WireGuard manuellement
Mullvad et IVPN fournissent des configs WireGuard que tu peux poser directement sans leur app :
apt install wireguard
# Récupérer le fichier .conf depuis le panel Mullvad
cp mullvad-fr-par-001.conf /etc/wireguard/wg0.conf
# Démarrer
wg-quick up wg0
# Vérifier
wg show
# interface: wg0
# public key: ...
# listening port: 51820
# peer: ...
# latest handshake: 12 seconds ago
Pour démarrer au boot : systemctl enable wg-quick@wg0.
Vérifier ta vraie IP
Après connexion VPN, vérifie qu'aucune fuite ne révèle ton IP réelle :
# IP publique
curl -s https://api.ipify.org
# Test DNS leak
curl -s https://www.dnsleaktest.com/
# WebRTC leak (depuis le navigateur sur ipleak.net)
Si api.ipify.org renvoie l'IP du VPN mais que ton DNS résout via celui de ton FAI, tu as une fuite DNS.
Couche 4 : navigateur et moteur de recherche
Chrome envoie des télémétries à Google par défaut. Bascule sur Firefox (avec quelques tweaks dans about:config) ou Brave :
# Tweaks Firefox about:config
privacy.resistFingerprinting = true
network.trr.mode = 3 # DNS over HTTPS strict
browser.send_pings = false
beacon.enabled = false
dom.battery.enabled = false
media.peerconnection.enabled = false # bloque WebRTC leak
Extensions indispensables :
- uBlock Origin (bloqueur de pubs et trackers)
- ClearURLs (supprime les paramètres de tracking)
- CookieAutoDelete (vide les cookies à la fermeture)
- Privacy Badger (heuristique anti-trackers)
Remplace Google par DuckDuckGo, Startpage ou auto-héberge SearXNG sur ton VPS :
docker run -d --name searxng \
-p 8888:8080 \
-v ./searxng:/etc/searxng \
searxng/searxng
Couche 5 : email et messagerie
Gmail scanne tes mails pour la pub ciblée. Bascule vers :
- ProtonMail (chiffrement E2E, gratuit jusqu'à 1 Go, basé en Suisse)
- Tuta (alternative allemande, plan gratuit généreux)
- mailbox.org (3 €/mois, allemand, inclut un cloud)
Pour ton domaine custom, configure SPF/DKIM/DMARC pour éviter le spoofing :
# Enregistrements DNS minimum
v=spf1 include:_spf.protonmail.ch ~all
# DKIM fourni par le provider, à coller en TXT
# DMARC strict
v=DMARC1; p=quarantine; rua=mailto:dmarc@monsite.fr; pct=100
Je détaille tout dans mon guide SPF/DKIM/DMARC.
Pour la messagerie instantanée, Signal est le gold standard. Element/Matrix est l'alternative décentralisée si tu veux self-host (synapse).
Couche 5b : DNS chiffré sur ton réseau
Ton FAI voit toutes tes requêtes DNS en clair, même si tu utilises HTTPS partout. Solutions :
- DoH/DoT sur ton OS (Android 9+ supporte DoT en natif via
Réglages → DNS privé). - Pi-hole + Unbound sur un Raspberry Pi pour bloquer pubs et trackers à l'échelle du réseau.
Installer Pi-hole en deux commandes :
# Sur Debian/Raspberry Pi OS
curl -sSL https://install.pi-hole.net | bash
# Pendant l'install : accepter les listes par défaut
# Coller l'IP du Pi dans les paramètres DNS du routeur
Pour vérifier que Pi-hole filtre bien :
# Tester un domaine de tracking connu
dig @192.168.1.10 doubleclick.net
# La réponse doit être 0.0.0.0 (bloquée)
Ajoute Unbound derrière Pi-hole pour résoudre toi-même sans passer par un résolveur tiers. Plus aucune requête ne fuite chez Google ou Cloudflare.
Couche 6 : durcir ton serveur
Si tu as un VPS qui contient des données personnelles (Vaultwarden, ton mail self-hosted, Nextcloud), durcis-le :
# Désactiver l'auth password SSH
sed -i 's/#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
systemctl restart ssh
# Installer fail2ban
apt install fail2ban -y
systemctl enable --now fail2ban
# Auto-updates de sécurité
apt install unattended-upgrades -y
dpkg-reconfigure --priority=low unattended-upgrades
Vérifie quels ports écoutent vers l'extérieur :
ss -tlnp | grep -v 127.0.0.1
# tcp LISTEN 0 511 *:443 ...
# tcp LISTEN 0 128 *:22 ...
Seuls 22 (SSH), 80 et 443 (web) devraient être exposés.
Couche 7 : limiter les traces sur ton smartphone
Le smartphone est le plus gros vecteur de fuite. Quelques actions concrètes :
- GrapheneOS sur Pixel si tu veux le top du dégooglisé (dispo sur Pixel 6 et plus).
- CalyxOS alternative à GrapheneOS, plus accessible aux non-techniques.
- Sur Android stock : désactive la pub personnalisée (
Paramètres → Google → Annonces → Réinitialiser identifiant). - Sur iOS :
Réglages → Confidentialité → Suivi → Désactiver le suivi.
Installe le firewall NetGuard (Android) ou LockDown (iOS) pour voir et bloquer toutes les connexions sortantes des apps. Tu seras choqué de voir Tinder appeler 47 domaines de tracking au démarrage.
Pour aspirer toutes tes données Google avant de partir :
# Outil officiel : takeout.google.com
# Sélectionne tout, format ZIP, livraison par email
# Tu obtiens un dump complet de Gmail, Photos, Drive, Calendar, etc.
Migre ensuite vers Proton Drive ou Nextcloud self-hosted.
Couche 7b : chiffrer tes disques
Un ordinateur volé sans chiffrement = données accessibles en 5 minutes via une live USB. Active LUKS sur Linux ou FileVault sur macOS dès l'install.
Sur un disque déjà installé (Debian, conversion à chaud non supportée — il faut sauvegarder, formater, restaurer) :
# Vérifier que le disque cible n'est pas monté
lsblk
# Chiffrer la partition
cryptsetup luksFormat /dev/sdb1
# Ouvrir et formater
cryptsetup open /dev/sdb1 mondisque
mkfs.ext4 /dev/mapper/mondisque
mount /dev/mapper/mondisque /mnt/mondisque
Pour le démontage automatique au logout, ajoute dans /etc/crypttab puis /etc/fstab avec l'option nofail.
Pour les fichiers ponctuels (un PDF sensible à envoyer), chiffre avec GPG :
# Chiffrer pour un destinataire dont tu as la clé publique
gpg --encrypt --recipient destinataire@exemple.fr document.pdf
# Le résultat document.pdf.gpg est illisible sans la clé privée
Couche 8 : auditer ce que les sites savent de toi
Sous le RGPD, tout site européen doit te donner accès à tes données et les supprimer sur demande. Mes templates :
Objet : Demande d'accès à mes données personnelles (article 15 RGPD)
Madame, Monsieur,
Je vous demande, conformément à l'article 15 du RGPD, de me communiquer
l'ensemble des données personnelles me concernant que vous traitez.
Merci de me répondre sous 30 jours par email à dylan@monsite.fr.
Pour la suppression, l'article 17 (droit à l'oubli) est ton ami. Le délai légal est aussi de 30 jours.
Erreurs courantes et leur fix
SEC_ERROR_OCSP_INVALID_SIGNING_CERT dans Firefox
Cause : le résolveur DNS bloque le check OCSP. Active DoH dans about:config ou pointe vers Cloudflare 1.1.1.1.
Le VPN coupe Internet quand il déconnecte
C'est en fait un kill switch correctement configuré. Sur WireGuard, c'est le bloc PostUp/PostDown avec iptables qui drop tout hors interface wg0.
Authentication failed sur Vaultwarden après import
Cause : la master password a changé entre l'export et l'import. Restaure depuis ./data/db.sqlite3.backup :
docker compose stop
cp data/db.sqlite3.backup data/db.sqlite3
docker compose up -d
Mes mails ProtonMail finissent en spam chez les destinataires
Vérifie SPF/DKIM/DMARC avec mxtoolbox.com puis dig TXT _dmarc.monsite.fr. Une politique p=reject trop stricte sans bon DKIM peut tout casser, démarre en p=none puis monte progressivement.
Bitwarden refuse de synchroniser sur mobile
Cause : ton serveur Vaultwarden est derrière un certificat self-signed. Soit tu mets Let's Encrypt, soit tu importes le CA root sur le téléphone (Settings → Security → Install certificate).
Pour aller plus loin
- Sécuriser SSH avec sshd_config — désactiver password auth et restreindre par IP
- Configurer Fail2ban contre le brute-force — bannir automatiquement les attaquants
- Configurer SPF, DKIM et DMARC — anti-spoofing pour ton mail
- Hardening Linux : sécuriser un serveur — checklist complète
- Configurer un pare-feu iptables — règles de base
Routine mensuelle d'hygiène numérique
Je consacre 30 minutes le premier dimanche du mois à cette checklist :
- Lancer un audit Bitwarden :
Outils → Rapports → Mots de passe compromispuisMots de passe réutilisés. - Vérifier
haveibeenpwned.com/accountavec mes adresses email principales. - Mettre à jour le firmware de la box, du routeur, du NAS.
- Tourner les clés API GitHub, AWS, IONOS qui n'ont pas bougé depuis 90 jours.
- Revoir les apps avec accès à mon compte Google (
myaccount.google.com/permissions) et révoquer celles non utilisées. - Faire tourner mes sauvegardes chiffrées (rclone vers Backblaze B2) et vérifier la restauration d'un fichier test.
La rotation des secrets, c'est une tâche que beaucoup oublient. J'utilise pass (le Unix password manager) pour mes scripts d'admin :
# Stocker un secret
pass insert ionos/api-key
# Récupérer en CLI
IONOS_KEY=$(pass ionos/api-key)
curl -H "X-API-Key: $IONOS_KEY" https://api.hosting.ionos.com/...
Le secret est chiffré GPG et synchronisé via Git si tu veux le partager entre machines.
Mon mantra : la sécurité est en couches
Aucune solution unique ne te protège. C'est l'empilement gestionnaire de mots de passe + 2FA + VPN sur Wi-Fi public + navigateur durci + email chiffré qui fait la différence. Commence par le coffre-fort de mots de passe, c'est l'action qui te protège le plus pour le moins d'effort. Le reste viendra naturellement quand tu seras prêt.
