On vous a menti. Protéger sa vie privée en ligne ne se résume pas à installer Brave et à croire que c’est réglé. J’ai passé des années à conseiller des clients sur leur “hygiène numérique” avant de réaliser que la vraie menace ne vient pas de là où on regarde. Et franchement, une partie de cette industrie de la “privacy” vous arrange très bien ignorant.
À retenir
Avant d’aller plus loin, quelques vérités à digérer. L’outil ne fait pas la protection — c’est le comportement qui compte, et un mauvais comportement avec Signal reste dangereux. En 2025, cybermalveillance.gouv.fr a franchi le cap des 500 000 victimes assistées, en hausse de 20% par rapport à 2024 — dont l’hameçonnage en progression de 70%, alimenté massivement par des fuites de données massives. Ces chiffres ne parlent pas de hackers d’État. Ils parlent de Monsieur et Madame Tout-le-monde, mal outillés, mal informés. La combinaison intelligente de trois ou quatre outils bien choisis vaut largement mieux qu’une collection de douze extensions qui créent une empreinte numérique unique, donc traçable. Et la question que personne ne pose jamais : faites-vous vraiment confiance à votre navigateur, ou avez-vous simplement remplacé une dépendance par une autre avec une meilleure conscience tranquille ?
Ce que j’ai appris en faisant n’importe quoi
Il y a quelques années, j’ai conseillé à un client de combiner uBlock Origin, Privacy Badger, Ghostery et deux autres extensions similaires sur le même navigateur. Résultat : des conflits de règles, des sites cassés, et une empreinte de navigateur tellement unique qu’elle était paradoxalement plus identifiable qu’un Chrome vanilla. J’avais confondu “plus d’outils” avec “plus de protection”. La leçon était cinglante et un peu humiliante : la redondance mal maîtrisée crée de la surface d’attaque, pas de la défense.
Le Verizon DBIR 2025 le confirme avec une froideur statistique : environ 60% des brèches impliquent un comportement humain — erreur, manipulation, abus. Pas une faille technique. Pas un zero-day. Un comportement. uBlock Origin seul, bien configuré, écrase 90% des cas d’usage. Installez-le ici et résistez physiquement à l’envie d’empiler d’autres bloqueurs par-dessus. Je sais que c’est difficile. J’ai eu du mal moi-même.
Mon opinion impopulaire sur Brave — et pourquoi elle va vous énerver
Brave est présenté partout comme la solution évidente. Les articles de comparaison le mettent systématiquement en première position, les YouTubeurs de cybersécurité en font leur sponsor officieux. Et honnêtement ? Il est bon. Mais je ne le recommande plus comme premier choix, et voici la position que je défends même quand elle dérange : Brave est construit sur Chromium, ce qui signifie que vous restez dans l’écosystème Google à un niveau architectural que la plupart des utilisateurs ne voient pas. Vous changez la carrosserie, pas le moteur.
Firefox, maintenu par la Mozilla Foundation, est une organisation dont le modèle économique n’est pas fondamentalement aligné sur la collecte de données. Ce n’est pas parfait — la dépendance aux revenus Google de Mozilla est un sujet réel et inconfortable — mais au moins le conflit d’intérêts est visible, documenté, discutable. Avec Brave, il est architectural et donc invisible. Des chercheurs d’Inria, qui forment depuis des années sur ces questions dans leur MOOC de référence, insistent sur ce point : le choix du navigateur est la décision fondatrice de toute stratégie de vie privée. Tout le reste découle de là.
Je perds des gens à cette étape. Tant mieux.
Une parenthèse que vous pouvez sauter, mais que vous ne devriez pas
Je veux vous parler d’une chose qui n’a rien à voir avec les outils. En 2024, un client m’a demandé pourquoi, malgré Brave, ProtonMail et Proton VPN, il continuait à recevoir des publicités ciblées sur ses centres d’intérêt les plus obscurs. La réponse était simple et dévastatrice : il utilisait sa carte bancaire réelle pour des achats en ligne. Aucun outil ne protège contre la corrélation de données transactionnelles.
En 2024, la CNIL a reçu 5 629 notifications de violations de données personnelles, soit une hausse de 20% par rapport à 2023, avec un doublement des violations touchant plus d’un million de personnes. Ces fuites ne viennent pas de vos propres appareils. Elles viennent des entreprises à qui vous avez confié vos données. La vie privée numérique sans réflexion sur les tiers de confiance, c’est une maison avec des serrures de sécurité et une baie vitrée ouverte sur la rue.
Voilà. Revenons aux outils.
VPN gratuit : le paradoxe que personne ne veut admettre
La quasi-totalité des VPN gratuits sont soit inutiles, soit activement nuisibles. Proton VPN est l’exception qui confirme la règle — basé en Suisse, audité indépendamment, politique no-log réelle et vérifiable. La version gratuite limite à trois pays et une connexion simultanée. C’est contraignant. C’est honnête.
Ce que je dis désormais à chaque client sans exception : un VPN protège votre connexion sur un réseau public, pas votre identité numérique globale. L’ANSSI l’a rappelé dans son panorama de la cybermenace 2025 : l’exploitation de vulnérabilités sur les équipements VPN mal configurés ou bas de gamme a fortement pesé dans les intrusions répertoriées cette année. Utiliser un VPN gratuit douteux et croire à une protection renforcée, c’est mettre un casque de vélo pour traverser une autoroute. La métaphore est grossière. Elle est juste.
Mots de passe : arrêtez de chercher le consensus
Bitwarden est open source, audité, synchronisé entre appareils. Mon choix par défaut pour 95% des profils. Mais j’ai eu un client — journaliste d’investigation, sources sensibles, situation réelle — pour qui stocker ses mots de passe dans un cloud, même chiffré de bout en bout, était inacceptable sur le plan du modèle de menace. Pour lui, KeePass avec une base locale sur clé USB chiffrée était la seule réponse honnête.
L’interface de KeePass est austère. La synchronisation est manuelle. Je m’en fiche complètement. Rappelons que les piratages de comptes en ligne représentent la menace numéro un pour les professionnels en 2025, en hausse de 45% selon cybermalveillance.gouv.fr. La sécurité n’est pas toujours ergonomique, et prétendre le contraire pour rassurer les utilisateurs, c’est leur mentir confortablement. La vraie question, celle que vous devriez poser avant de choisir : à quoi ressemble votre modèle de menace, exactement ?
Signal, Session, et le mythe de l’anonymat total
Signal reste la référence incontestée. Audité, open source, recommandé par des chercheurs en sécurité depuis des années. Son seul défaut structurel : il requiert un numéro de téléphone, créant un lien entre votre identité civile et votre compte. Pour la majorité des usages, ce compromis est raisonnable.
Session supprime ce lien. Réseau décentralisé, aucun numéro requis, chiffrement de bout en bout. La base d’utilisateurs est restreinte, la synchronisation parfois capricieuse. Mais pour quelqu’un dont le modèle de menace exige un anonymat structurel — et pas juste fonctionnel — c’est une conversation sérieuse que la plupart des articles sur la privacy n’ont pas le courage d’ouvrir.
ProtonMail et la grande illusion qu’on vous laisse entretenir
ProtonMail est excellent. Le chiffrement fonctionne, la juridiction suisse est un avantage réel. Mais voici ce qu’on omet systématiquement de dire : si vous envoyez un email chiffré depuis ProtonMail vers une adresse Gmail, ce message arrive en clair chez Google. Le chiffrement de bout en bout ne vaut que si les deux parties l’utilisent. Les 348 000 atteintes numériques enregistrées en France en 2024 — dont une part significative initiée par email — l’illustrent brutalement : le maillon faible n’est jamais l’outil que vous avez choisi, mais celui de votre interlocuteur.
Le vrai bénéfice de ProtonMail reste réel : vous rompez avec les fournisseurs qui analysent votre contenu pour du ciblage publicitaire. C’est déjà une décision qui compte. Mais ne construisez pas votre stratégie de confidentialité sur une illusion de protection totale que le produit lui-même ne prétend pas offrir.
La question que vous n’avez pas encore posée
On a parlé d’outils pendant tout cet article. Brave, Bitwarden, Signal, ProtonMail. Des noms, des fonctionnalités, des compromis. Mais est-ce que vous avez réellement réfléchi à ce que vous cherchez à protéger ? Votre navigation commerciale quotidienne ? Des communications professionnelles sensibles ? Votre identité complète face à un adversaire étatique ?
En France, 29,7% des atteintes numériques touchent directement les personnes — pas les entreprises, pas les institutions, les individus. Ça représente plus de 100 000 personnes par an qui auraient eu besoin, non pas d’un outil supplémentaire, mais d’une réponse claire à cette seule question : de quoi est-ce que je me protège, exactement ? Installer Brave et Bitwarden sans y avoir répondu, c’est construire une maison sans avoir dessiné le plan. Ça tient debout jusqu’à ce que ça ne tienne plus.
La prochaine fois que vous ouvrez votre navigateur, ne vous demandez pas “suis-je protégé ?” Demandez-vous “de quoi, exactement, et par qui ?” Entre ces deux questions se cache tout ce que l’industrie de la cybersécurité préférerait que vous ne découvriez jamais par vous-même.
