SHIELD

Déplacements

Vacances et vie privée : le modèle de menace qu'on oublie en maillot de bain

En vacances, on baisse toutes les gardes au moment où on expose le plus : photos géolocalisées en temps réel, Wi-Fi d'hôtel, appareils des enfants, maison vide annoncée publiquement. Le modèle de menace du loisir, traité sans paranoïa.

Publié le 7 min de lecture Général

Dernière revue:

Plage déserte, transat et parasol au bord de l'eau

Une connaissance poste, depuis la plage, une photo de ses enfants avec la légende « enfin deux semaines au calme à [nom du village] ». La photo est belle. Elle dit aussi, à qui veut l’entendre : la maison principale est vide, voici à quoi ressemblent les enfants, voici où ils sont, et ce pour les quinze prochains jours. Rien de tout ça n’était l’intention. Tout ça a pourtant été dit.

Les vacances sont le moment où l’on baisse consciencieusement toutes les gardes qu’on a péniblement tenues le reste de l’année. C’est le but, d’ailleurs : on part pour décrocher. Le problème, c’est que le relâchement mental s’accompagne d’un relâchement numérique, et qu’il survient au moment précis où l’on expose le plus.

Ce n’est pas un appel à la paranoïa estivale. Personne ne devrait passer ses vacances à chiffrer ses cartes postales. C’est un constat sur quelques réflexes qui coûtent peu et qui changent beaucoup, et sur une catégorie d’exposition qu’on oublie complètement : celle des enfants.

Le piège habituel

L’idée reçue, c’est que la sécurité numérique est une affaire professionnelle. Au bureau, on fait attention. En vacances, on est en famille, entre amis, dans un cadre privé, donc on se détend. Le numérique de loisir serait une zone sans enjeu.

C’est exactement l’inverse. En vacances, trois choses changent en même temps. On publie davantage, et en temps réel, parce que c’est le moment qu’on veut partager. On utilise des réseaux qu’on ne contrôle pas, ceux de l’hôtel, du camping, du restaurant. Et on emmène toute la famille, dont des enfants dont les données sont encore moins protégées que les nôtres, et dont l’image se retrouve publiée par des adultes qui ne se posent pas la question.

Le cadre privé ne réduit pas l’exposition. Il réduit la vigilance. Et un cambrioleur, un harceleur ou un démarcheur ne fait pas de différence entre vos données professionnelles et vos données de plage.

Modèle de menace réel

Il faut nommer les acteurs, parce qu’ils ne sont pas ceux qu’on imagine. Pas de service secret ici, pas d’espionnage industriel. Des menaces ordinaires, justement parce qu’elles sont ordinaires.

Le cambriolage informé arrive en tête. La maison vide annoncée publiquement, avec les dates, est une information directement exploitable. Les réseaux sociaux sont devenus un outil de repérage pour les cambrioleurs, et la photo « on part deux semaines » est un signal aussi clair qu’une pancarte sur la porte.

Smartphone affichant une carte de géolocalisation
Une photo publiée en temps réel dit deux choses : où vous êtes, et où vous n'êtes pas.

La géolocalisation involontaire vient ensuite. Les métadonnéesDonnées sur les données : qui a écrit quoi, quand, où, à qui. des photos, les fameuses données EXIFMétadonnées attachées aux images : date, GPS, modèle d'appareil, paramètres de prise de vue., contiennent souvent les coordonnées GPS exactes du lieu de prise de vue. Certaines plateformes les suppriment à la publication, d’autres non. Et la simple publication en temps réel, indépendamment des métadonnées, révèle votre position à votre liste d’amis, qui n’est pas toujours aussi fermée qu’on le croit.

Le réseau non maîtrisé ferme le tableau. Le Wi-Fi publicRéseau Wi-Fi ouvert ou partagé (hôtel, café, conférence) — modèle de menace particulier. de l’hôtel ou du camping présente le même profil de risque que celui d’un aéroport : opéré par un tiers, mal configuré, parfois imité par un faux point d’accès. Avec le HTTPS généralisé, le risque s’est réduit, mais il n’a pas disparu, et on s’y connecte en vacances avec une insouciance qu’on n’aurait pas au travail.

L’angle mort des enfants

C’est la partie qu’on traite le moins, et c’est peut-être la plus importante. Un enfant n’a pas consenti à sa présence en ligne. Chaque photo publiée par un parent construit, sans son accord, une empreinte numérique qui le suivra et qu’il n’a pas choisie.

Au-delà du principe, il y a le concret. Une photo d’enfant géolocalisée, avec le prénom en légende et l’école mentionnée ailleurs sur le profil, c’est un dossier de repérage. La plupart des parents qui publient ces éléments ne les ont jamais regardés comme un ensemble. Mis bout à bout, ils dessinent une cartographie précise de la vie d’un mineur.

La bonne approche

La règle structurante est plus simple ici que pour le reste du site : différer plutôt que diffuser. La quasi-totalité du risque lié au partage de vacances disparaît si l’on publie au retour plutôt qu’en temps réel. La photo sera tout aussi belle dans deux semaines, et elle ne dira plus « ma maison est vide en ce moment ».

Pour le reste, trois réflexes suffisent à couvrir l’essentiel.

Couper la géolocalisation des photos sur le téléphone, une fois pour toutes. C’est un réglage, pas une habitude à tenir. Sur iPhone comme sur Android, on peut désactiver l’enregistrement de la position dans les photos.

Activer un VPNTunnel chiffré entre votre appareil et un serveur, masquant votre IP et votre trafic à votre FAI. sur les réseaux d’hébergement, par le même réflexe qu’en déplacement professionnel. Une eSIM dataCarte SIM intégrée et reprogrammable, supportant plusieurs profils opérateurs. locale, hors d’Europe, évite même de dépendre du Wi-Fi de l’hôtel.

Vérifier, une fois, qui voit réellement ses publications. La plupart des gens publient devant une audience bien plus large qu’ils ne le pensent. Un réglage de confidentialité passé en revue avant les vacances vaut tous les réflexes tenus pendant.

Ce que ça implique concrètement

Angle de lecture

Pour vous, en tant que personne

Vous partez en vacances, vous voulez partager, c’est légitime et c’est le but. Il ne s’agit pas de vous en priver, juste de décaler le curseur.

Le seul vrai changement de comportement à adopter : publiez au retour, pas en direct. Vous gardez tout le plaisir du partage, vous supprimez l’essentiel du risque. La maison vide n’est plus annoncée, votre position en temps réel n’est plus diffusée.

Les trois réglages à faire une fois, avant de partir : coupez la géolocalisation des photos dans les réglages de votre téléphone, vérifiez qui voit vos publications sur vos réseaux, et installez un VPN que vous activerez sur les Wi-Fi d’hôtel.

Pour les enfants, la règle est encore plus simple : moins, c’est mieux. Et si vous publiez, jamais le prénom, le lieu et l’établissement scolaire au même endroit. Pris séparément ce n’est rien, mis ensemble c’est un dossier.

Pour vous, RSSI / DSI

La période de vacances est un angle mort de la plupart des programmes de sensibilisation, qui se concentrent sur le déplacement professionnel et oublient que vos collaborateurs partent aussi en congés avec leurs appareils, parfois professionnels.

Deux points méritent votre attention. D’abord, les appareils professionnels qui partent en vacances : un téléphone pro emporté en congés à l’étranger reste un point d’accès à votre système d’information, sur des réseaux non maîtrisés, avec une vigilance réduite. Une politique claire sur l’usage des appareils pro en congés, ni interdiction irréaliste ni laisser-faire, évite bien des incidents de rentrée.

Ensuite, le dirigeant et les fonctions sensibles en vacances. Leur exposition personnelle ne prend pas de congés. Un dirigeant qui publie sa localisation de vacances en temps réel offre une fenêtre à qui prépare une fraude au président ou une approche d’ingénierie sociale : « je sais qu’il est aux Seychelles cette semaine, l’assistante est seule, c’est le moment ». La sensibilisation avant l’été, ciblée sur les profils exposés, a un excellent rapport coût-efficacité.

Erreurs qu’on voit tout le temps

Publier en temps réel « on est arrivés ! » avec la photo de la maison de location et le nom du village. Tout y est : vous n’êtes pas chez vous, voici où vous êtes, et pour combien de temps.

Laisser la géolocalisation active sur les photos, et publier des images dont les métadonnées donnent les coordonnées GPS au mètre près.

Publier les enfants sans y penser, accumulant prénom, visage, lieu et habitudes sur un profil dont on n’a jamais vérifié l’audience réelle.

Se connecter au Wi-Fi du camping pour consulter ses comptes bancaires, par le réflexe de détente qui fait oublier qu’on n’aurait jamais fait ça au travail.

Avant de partir, et pendant

  • N1 Décider du principe : publier les photos de vacances au retour, pas en temps réel
  • N1 Couper la géolocalisation des photos dans les réglages du téléphone (réglage unique)
  • N1 Vérifier qui voit réellement ses publications sur ses réseaux sociaux
  • N1 Décider en famille de ce qu'on publie ou non concernant les enfants
  • N2 Installer et tester un VPN à activer sur les réseaux d'hébergement
  • N2 Pour un séjour hors Europe : prévoir une eSIM data locale plutôt que dépendre du Wi-Fi d'hôtel
  • N2 Ne jamais accumuler prénom, lieu et établissement scolaire d'un enfant sur un même profil
  • N3 Pour les appareils professionnels : appliquer la même vigilance qu'en déplacement de travail

Pour aller plus loin

Cet article fait partie de l’axe Déplacements. Pour le réseau non maîtrisé, voir Wi-Fi public : la paranoïa raisonnable. Pour mesurer votre propre exposition, OSINT défensif. Pour la connectivité en voyage, eSIM en voyage.

Sources et lectures complémentaires

Articles liés