Ensemble de pratiques, outils et réflexes que j’utilise et recommande pour renforcer la vie privée, la sécurité et le contrôle de ses données en ligne.
Un VPN (Virtual Private Network) crée un tunnel chiffré entre votre appareil et un serveur distant. Votre trafic passe par ce tunnel, masquant votre adresse IP réelle. Le FAI voit uniquement une connexion chiffrée vers le serveur VPN, sans pouvoir distinguer les sites visités.
⚠️ Mais le serveur VPN voit tout : après déchiffrement, il a accès à l'intégralité de votre trafic (DNS, sites, données). Un VPN déplace la confiance, il ne l'efface pas. Choisissez un fournisseur no‑logs, audité, hors des alliances de renseignement.
Schéma animé : le tunnel VPN masque l'IP, mais le SNI est visible par le serveur VPN et le site cible.
Basé en Suisse, no‑logs, open source. Utilise le protocole WireGuard (rapide et léger) ou OpenVPN. Le kill switch bloque tout trafic si le VPN se déconnecte. Serveurs dans 60+ pays.
Mise en place : installer l’application, se connecter, activer le kill switch permanent et le blocage de DNS (pour éviter les fuites).
Le DNS (Domain Name System) traduit les noms de domaine en adresses IP. Il intervient avant la connexion TLS. Par défaut, ces requêtes sont envoyées en clair vers les serveurs du FAI, révélant chaque domaine visité.
DNS chiffré : DoH (DNS over HTTPS) ou DoT (DNS over TLS) chiffrent la requête, empêchant le FAI de voir explicitement le domaine. Cependant, le FAI peut toujours observer l'adresse IP de destination après résolution, et souvent identifier le service par réputation IP.
Ce que ça ne protège pas : l'IP du site, le SNI (si pas ECH), le fingerprint TLS (JA3/JA4) et l'analyse de trafic. Un résolveur filtrant comme NextDNS ajoute une couche de blocage en amont.
Schéma animé : la requête DNS est chiffrée, mais l'IP et le SNI (si présent) restent observables.
Service DNS chiffré avec un panneau de configuration extrêmement détaillé. Permet de bloquer des catégories entières de sites, des trackers, des pubs, et même des services natifs (Microsoft, Apple, etc.).
Lien affilié – je peux recevoir une commission si vous souscrivez à un abonnement via ce lien.
Le VPN masque l’IP, NextDNS nettoie le trafic DNS. Ensemble ils offrent une protection à deux niveaux. On peut configurer le VPN pour utiliser les DNS de NextDNS.
Voici les réglages de performance que j’active sur mon profil NextDNS, accompagnés de quelques explications. Ils accélèrent la navigation sans compromettre la vie privée.
Envoie une partie de votre adresse IP (le préfixe) aux CDN pour qu’ils vous servent depuis le serveur le plus proche. L’adresse IP complète n’est jamais divulguée.
Applique un TTL (Time to live) minimum aux réponses DNS. Ainsi, les enregistrements restent en cache plus longtemps, réduisant le nombre de requêtes et accélérant la navigation.
Empêche les résolveurs de suivre les chaînes de CNAME inutiles. Cela nettoie les logs et évite des requêtes vers des domaines intermédiaires (souvent des trackers déguisés).
Contourne automatiquement les vérifications d’âge sur certains sites (contenu adulte, etc.) qui reposent sur des pop-ups. À n’activer que si vous êtes légalement majeur.
Active la résolution des domaines ENS, Unstoppable Domains, Handshake et le support IPFS. NextDNS agit comme une passerelle non filtrée vers ces réseaux décentralisés.
NextDNS propose un contrôle parental par âge, le blocage de catégories (violence, jeux d’argent, etc.) et des listes de blocage communautaires (ex. Energized, oisd). Je combine toujours plusieurs listes anti-pub et anti-tracking.
Bitwarden (ou Proton Pass, KeepassXC) stocke tous les identifiants dans un coffre chiffré. Génération aléatoire automatique, synchronisation multi-appareils et audit de sécurité intégré. Proton Pass offre une intégration native avec l’écosystème Proton (mail, VPN).
Double authentification systématique sur tous les comptes qui le proposent. Privilégier les clés de sécurité physiques (YubiKey) ou les applications TOTP (Aegis, Raivo) plutôt que les SMS.
Les passkeys remplacent les mots de passe par une paire cryptographique liée à votre appareil (authentification biométrique ou code PIN). Plus résistantes au phishing, elles sont synchronisables via votre gestionnaire (Bitwarden, Proton Pass).
Bloqueur de publicités et de traqueurs, léger et open source. Utilise des listes de filtres dynamiques. Permet de bloquer les scripts, les polices distantes et les requêtes suspectes.
Développé par l’EFF, il apprend automatiquement quels domaines vous pistent et les bloque. Complémentaire à uBlock, il ne nécessite aucune configuration manuelle.
Supprime les paramètres de pistage (utm_source, fbclid, etc.) des URLs avant que votre navigateur ne les charge. Réduit le suivi inter-sites et nettoie les liens copiés.
Isole les sessions (banque, réseaux sociaux, shopping) dans des onglets colorés. Empêche les cookies et trackers de vous suivre d’un contexte à l’autre. Extension officielle Firefox.
Phishing : e-mails, SMS ou appels usurpant une identité connue pour voler des identifiants. Toujours vérifier l’URL réelle, ne jamais cliquer sur un lien suspect. Utiliser un gestionnaire de mots de passe qui ne remplira pas les champs sur un faux site.
Ingénierie sociale : manipulation psychologique pour obtenir des informations. Rester vigilant face aux demandes urgentes, aux offres trop belles pour être vraies.
Mises à jour : maintenir son système d’exploitation, ses navigateurs et ses applications à jour. Activez les mises à jour automatiques quand c’est possible.
Segmentation : séparez vos usages (pro, perso, admin) sur des machines ou des comptes différents. Limitez les permissions des applications mobiles.
Sauvegardes : règle du 3-2-1 (3 copies, 2 supports différents, 1 hors site). Chiffrez vos sauvegardes.