Compartmentation d'identité : opérer avec plusieurs vous

Un consultant me consulte après une vague de spear-phishing. On audite ensemble ses adresses. Son mail professionnel public — celui de ses cartes de visite, de LinkedIn, des actes de conférence — apparaît dans quatre dumps. Son mail réservé aux dossiers M&A et aux contentieux : zéro, dans aucune base. Il croyait avoir eu de la chance. Il avait juste cloisonné, sans savoir qu’il faisait de l’OPSEC.

Le piège habituel

Le conseil dominant tient en une phrase : “séparez le pro et le perso”. Une adresse mail pour le travail, une pour la maison, et le tour est joué. C’est le niveau de sophistication qu’on retrouve dans 90 % des guides de “bonne hygiène numérique”, des chartes informatiques d’entreprise et des articles grand public. Ce conseil n’est pas faux. Il est insuffisant au point d’être trompeur, parce qu’il fait croire que deux compartiments suffisent quand votre exposition réelle en réclame quatre.

Le problème de fond : “pro / perso” est une distinction sociale, pas une distinction de menace. Elle reflète comment vous organisez votre vie, pas comment un attaquant, un broker ou un moteur de corrélation organise sa collecte. Or les fuites ne se produisent pas le long des frontières que vous avez choisies. Elles se produisent là où deux identités se touchent : un mot de passe réutilisé, une adresse de récupération partagée, un même numéro de téléphone, un cookie de navigateur, une empreinte technique commune. La séparation pro/perso ne dit rien de ces ponts.

Pire : le binaire pro/perso pousse à mélanger des usages qui n’ont rien à voir en termes de risque. Votre déclaration d’impôts et votre inscription à une newsletter de cuisine se retrouvent sur la même adresse “perso”. Votre signature LinkedIn publique et votre échange confidentiel sur une acquisition partagent la même adresse “pro”. Vous traitez de la même manière une donnée que vous publiez volontairement et une donnée dont la fuite vous coûterait un dossier. La compartmentation, la vraie, consiste à découper selon le risque et l’exposition, pas selon le contexte social.

Les quatre identités de base

L’inventaire honnête de votre vie numérique fait apparaître quatre compartiments distincts, définis par leur exposition et la gravité d’une compromission. Ce ne sont pas quatre boîtes mail à créer demain — c’est une grille de lecture pour classer ce que vous avez déjà et décider de ce qui doit être séparé.

Identité civile. Votre nom légal, attaché à votre état civil. Banque, fisc, médecin, syndic, assurance, opérateur télécom. Cette identité est stable par nature — vous ne changez pas de nom légal sur un coup de tête — et elle n’est pas censée être publique, mais elle est faiblement sous votre contrôle : les institutions qui la détiennent fuient régulièrement. La stratégie ici n’est pas de la cacher (impossible), c’est de ne jamais la mélanger avec les trois autres. Votre banque n’a pas besoin de connaître l’adresse que vous utilisez pour vos abonnements de streaming.

Identité professionnelle publique. LinkedIn, conférences, médias, cartes de visite, signature mail visible, tribunes. Cette identité est exposée par construction : son intérêt est précisément d’être trouvable. C’est elle qui finit dans les dumps, parce qu’elle circule partout — c’est son métier. La stratégie n’est pas de réduire son exposition (ce serait contre-productif), mais d’accepter qu’elle est compromise par défaut et de ne jamais lui faire porter de secret.

Identité professionnelle sensible. Dossiers M&A en cours, contentieux, négociations confidentielles, relations avec des contreparties dont la simple existence est une information. Cette identité doit être cloisonnée strictement, idéalement sur une infrastructure distincte de l’annuaire corporate standard. C’est le compartiment où une fuite ne coûte pas un spam de plus, mais un dossier, une position de négociation, parfois une obligation de notification.

Identité opérationnelle. Services tiers, abonnements, essais gratuits, inscriptions ponctuelles, tout ce qui demande un mail “pour voir”. C’est la plus sacrifiable : sa compromission n’a aucune conséquence si elle est correctement isolée, parce qu’elle ne donne accès à rien de critique. C’est aussi celle qui génère le plus de surface — un internaute actif accumule des centaines de comptes sur ce compartiment en une décennie.

La donnée qui change tout : selon les statistiques publiées par Have I Been Pwned, une adresse mail utilisée activement entre 2010 et 2020 a une probabilité écrasante d’apparaître dans au moins un breach. Mais cette probabilité s’applique par adresse. Une adresse qui n’a jamais servi qu’à trois interlocuteurs choisis, jamais saisie dans un formulaire web, jamais publiée, n’a quasiment aucune chance d’être dans un dump — non par chance, par construction. C’est tout l’enjeu : la compartmentation transforme une probabilité de fuite en un choix d’architecture.

Un détail que beaucoup ratent : ces quatre compartiments ne se valent pas en volume. Le civil tient en une dizaine de comptes — banque, impôts, sécurité sociale, mutuelle, télécom, énergie. Le pro public en compte quelques dizaines, plutôt visibles et assumés. Le sensible se compte souvent sur les doigts d’une main, parfois un seul interlocuteur par dossier. L’opérationnel, lui, explose : c’est là que vivent les centaines de comptes accumulés au fil des inscriptions, des essais gratuits oubliés et des achats ponctuels. Cette asymétrie est une bonne nouvelle. Elle signifie que l’effort de cloisonnement se concentre là où il est le plus facile à outiller — l’opérationnel, qu’on traite avec des alias génératifs — et que les compartiments à fort enjeu, sensible et civil, sont assez petits pour être gérés à la main, à l’œil, sans automatisation.

Une remarque sur ce que la compartmentation n’est pas : ce n’est ni de la fraude, ni de la dissimulation, ni de l’anonymat. Votre identité civile reste votre identité fiscale et légale, pleine et entière. Vous ne créez pas de fausse identité — vous séparez des usages d’une même personne réelle. Confondre les deux est le malentendu qui fait fuir les dirigeants (“je ne vais pas me cacher comme un délinquant”) ou qui, à l’inverse, pousse les naïfs à se croire intraçables. La compartmentation est une mesure d’hygiène, au même titre que ne pas écrire son mot de passe sur un post-it. Elle organise une réalité — vous avez plusieurs rôles — pour qu’un rôle compromis ne fasse pas tomber les autres.

Outils par compartiment

Une fois la grille posée, l’outillage est presque mécanique. Chaque compartiment appelle une infrastructure différente, choisie pour son niveau d’exposition.

Pour l’opérationnel, le bon outil est l’SimpleLoginService d'alias d'email permettant de masquer son adresse réelle, acquis par Proton en 2022.Voir le lexique ou son équivalent natif Apple, Hide My Email. Le principe : un alias unique par service. Quand vous vous inscrivez sur un site, vous générez service-machin.xyz@votredomaine.simplelogin.io, qui relaie vers votre vraie boîte sans la révéler. Si ce service fuite, vous savez immédiatement d’où vient le spam (l’alias est dédié), vous coupez l’alias en un clic, et aucune autre inscription n’est affectée. Vous transformez une fuite globale en incident local. C’est, en pratique, le seul changement qui produit 80 % du bénéfice de la compartmentation pour 20 % de l’effort.

Pour le sensible, l’infrastructure doit être déliée de tout le reste : une boîte chez ProtonSuite suisse d'outils confidentialité (Mail, VPN, Drive, Pass, Calendar) à modèle open-source.Voir le lexique Mail ou Tutanota, en chiffrement E2EEChiffrement de bout en bout : seuls l'émetteur et le destinataire peuvent lire le contenu.Voir le lexique, créée sans aucun lien avec l’identité publique — pas de récupération via le mail civil, pas de numéro de téléphone partagé avec les autres comptes, idéalement créée depuis une session navigateur propre. L’objectif n’est pas l’anonymat absolu (votre interlocuteur sait qui vous êtes), c’est l’absence de pont technique exploitable entre cette boîte et le reste de votre surface. Cette adresse ne doit jamais, sous aucun prétexte, être saisie dans un formulaire public, un service tiers ou une signature visible.

Pour la professionnelle publique, le point d’attention est le numéro de téléphone. Donner son numéro mobile personnel sur une carte de visite, c’est lier directement l’identité publique à l’identité civile — le numéro est un identifiant pivot que les brokers adorent, parce qu’il est stable et croise tout. Un numéro distinct, idéalement en VOIP (Twilio, JMP.chat, ou un second numéro chez votre opérateur), absorbe l’exposition publique sans contaminer votre ligne réelle. Évitez de lier ce numéro à votre IMEIIdentifiant unique de 15 chiffres d'un terminal mobile, lié au matériel.Voir le lexique principal si vous pouvez l’éviter.

Reste le cloisonnement technique, transversal à tous les compartiments : les conteneurs Firefox (Multi-Account Containers), ou des navigateurs dédiés par identité. Ouvrir LinkedIn et votre Proton sensible dans le même profil de navigateur, c’est offrir à n’importe quel script de fingerprintingIdentification d'un appareil par les caractéristiques uniques de son navigateur et de son système.Voir le lexique la corrélation que vous essayez justement d’éviter. Même IP, même empreinte de navigateur, mêmes cookies tiers : les deux identités deviennent liables sans qu’aucun mot de passe n’ait fuité.

Le paiement mérite la même attention que le mail et le téléphone, parce que c’est un identifiant pivot au même titre. Une carte bancaire nominative saisie sur un service opérationnel relie cet usage à votre identité civile via le réseau bancaire — et les agrégateurs de transactions, dans certaines juridictions, revendent ces signaux. Les cartes virtuelles à usage unique (Revolut, ou des cartes éphémères selon votre banque) absorbent cette exposition pour le compartiment opérationnel. Vous n’avez pas besoin de cela pour votre civil — qui est de toute façon votre banque réelle — mais pour les abonnements et essais sacrifiables, une carte virtuelle dédiée évite qu’une fuite de données de paiement chez un marchand tiers ne touche votre vraie carte ni ne relie ce marchand au reste de vos comptes.

Un mot sur l’arbitrage matériel. La forme la plus aboutie de cloisonnement, c’est un appareil dédié pour le compartiment sensible — un téléphone séparé, une machine séparée, ou au minimum un profil utilisateur système distinct. C’est lourd, et la plupart des particuliers n’en ont pas besoin. Mais pour un dirigeant traitant des dossiers M&A, ou un avocat sur un contentieux sensible, la synchronisation invisible des contacts entre comptes sur un appareil unique est exactement le genre de pont qui révèle une relation confidentielle — l’application sociale qui “suggère” un contact parce que vous l’avez croisé dans un carnet d’adresses partagé. L’appareil dédié coupe cette classe de fuite à la racine. C’est l’investissement le plus coûteux de toute la démarche, et le seul qui se réserve aux profils réellement exposés.

La règle de la non-contamination

Construire quatre compartiments ne sert à rien si vous les reliez. La compartmentation n’est pas un état qu’on atteint, c’est une discipline qu’on maintient — et elle tient en trois interdits.

Ne jamais réutiliser un mot de passe entre compartiments. C’est l’évidence qu’on répète depuis vingt ans, mais elle prend un sens particulier ici : un mot de passe partagé entre votre alias opérationnel et votre boîte sensible relie les deux dès qu’un seul des deux fuite. Un gestionnaire de mots de passeApplication qui stocke et génère des mots de passe uniques pour chaque service.Voir le lexique avec des secrets uniques par compte n’est pas une option, c’est le prérequis. Attention toutefois : un gestionnaire synchronisé sur tous vos appareils, dans un seul coffre, recrée un point de jonction — si ce coffre est compromis, tous les compartiments tombent ensemble.

Ne jamais mentionner l’adresse sensible dans un contexte public. Une seule fois suffit. L’adresse sensible glissée dans un mail en copie d’un dossier qui finira au tribunal, indexée dans un document partagé, ou saisie par habitude dans un formulaire — et le compartiment est crevé pour toujours. Les outils d’OSINTRenseignement à partir de sources ouvertes (publiques) : réseaux sociaux, registres, archives.Voir le lexique et les moteurs de corrélation ne pardonnent pas : ce qui a été public une fois reste corrélé.

Ne jamais lier les identités par récupération croisée. C’est l’erreur la plus fréquente et la plus invisible. Vous créez une belle boîte sensible, puis vous configurez son adresse de récupération sur votre mail civil “pour ne pas perdre l’accès”. Vous venez de relier les deux : qui contrôle le mail civil contrôle la boîte sensible. Idem pour les numéros de téléphone de récupération partagés. La chaîne de récupération est le squelette caché qui relie tous vos comptes — auditez-la avant tout le reste.

À ces trois interdits techniques s’ajoute une contamination plus subtile, qu’on sous-estime presque toujours : la contamination comportementale. Deux identités peuvent rester parfaitement étanches sur le plan technique — adresses différentes, mots de passe uniques, navigateurs cloisonnés — et rester reliables par la manière dont vous les utilisez. Un style d’écriture reconnaissable (les analyses stylométriques sont aujourd’hui à la portée d’outils grand public), un même fuseau horaire d’activité, les mêmes sujets de niche, le même rythme de connexion. Pour la plupart des lecteurs, ce niveau de menace est théorique et ne justifie aucun effort. Mais il faut le connaître pour deux raisons : d’abord parce qu’il définit la limite de ce que la compartmentation peut faire — elle empêche la corrélation automatique, pas l’analyse ciblée d’un adversaire déterminé ; ensuite parce qu’il rappelle que le maillon faible, in fine, n’est pas l’outil mais l’habitude. La métadonnée la plus difficile à effacer, c’est vous.

Le test pratique pour vérifier que vos compartiments tiennent ne demande aucun outil sophistiqué. Le test navigateur : depuis une fenêtre privée, sans connexion, cherchez chacune de vos adresses et de vos pseudonymes, et notez ce qui apparaît relié. Le test récupération : pour chaque compte critique, déclenchez le parcours “mot de passe oublié” et regardez vers quelle adresse ou quel numéro il vous renvoie — c’est la cartographie réelle de vos ponts, souvent très différente de celle que vous croyiez avoir. Le test croisé : entrez votre adresse sensible dans Have I Been Pwned ; si elle remonte, le compartiment était déjà crevé et vous l’ignoriez. Ces trois tests prennent une demi-heure et révèlent en général au moins une liaison oubliée.

Ce que ça implique concrètement

La rotation comme maintenance

Un compartiment n’est pas éternel. Une identité accumule de l’exposition avec le temps — chaque inscription, chaque échange, chaque fuite d’un service tiers ajoute une ligne à votre profil agrégé. La rotation, c’est-à-dire le remplacement périodique d’une identité par une nouvelle, est la maintenance qui empêche cette accumulation de devenir un risque.

L’identité opérationnelle se rote annuellement, ou immédiatement après une fuite détectée. C’est trivial avec des alias : couper un alias et en générer un nouveau prend dix secondes, et comme chaque service a son propre alias, la rotation peut être ciblée — vous ne changez que ce qui a fuité. C’est tout l’intérêt structurel des alias par service face à une adresse unique.

L’identité professionnelle publique se rote tous les trois à quatre ans, avec une période de transition. On ne change pas une signature publique du jour au lendemain — il faut une fenêtre de plusieurs mois pendant laquelle les deux adresses fonctionnent, le temps que les correspondants, les annuaires et les profils se mettent à jour. C’est une opération lourde, qu’on planifie, pas une réaction d’urgence.

L’identité sensible, elle, ne se rote pas : elle est stable par nécessité (changer d’adresse au milieu d’un contentieux est ingérable), mais elle s’audite tous les six mois. L’audit vérifie une seule chose : que les ponts ne se sont pas reconstitués. Une adresse de récupération ajoutée par mégarde, un alias qui pointe au mauvais endroit, un numéro réutilisé — la métadonnéeDonnées sur les données : qui a écrit quoi, quand, où, à qui.Voir le lexique de liaison se réintroduit toujours par les petites portes, et seul un audit régulier la débusque.

Erreurs qu’on voit tout le temps

• “J’ai créé une nouvelle adresse” — sans migrer les services critiques. L’ancienne adresse reste le point d’entrée réel ; la nouvelle ne fait qu’ajouter de la surface. Tant que la banque, le gestionnaire de mots de passe et le mail principal pointent vers l’ancienne, rien n’a changé.
• Le gestionnaire de mots de passe synchronisé partout dans un seul coffre. Excellent contre la réutilisation, mais il recrée un point de jonction unique : compromettez le coffre, vous compromettez tous les compartiments d’un coup. Pour le sensible, un coffre séparé se justifie.
• La récupération croisée entre identités. Le mail civil en adresse de secours du mail pro public, le numéro de téléphone unique partout : ces liens invisibles défont silencieusement toute la compartmentation. C’est l’erreur la plus coûteuse parce qu’elle est la plus discrète.
• Mélanger les identités dans le même navigateur. Même profil, même IP, même empreinte : le fingerprintingIdentification d'un appareil par les caractéristiques uniques de son navigateur et de son système.Voir le lexique relie ce que les mots de passe séparent. Ouvrir l’identité sensible et l’identité publique côte à côte annule le cloisonnement.
• Confondre compartmentation et anonymat. La compartmentationSéparer ses identités par usage (civil, pro public, pro sensible, opérationnel) pour limiter la propagation des fuites.Voir le lexique ne vous rend pas anonyme — vos interlocuteurs savent qui vous êtes. Elle empêche la corrélation entre vos usages. Croire qu’on est intraçable parce qu’on a une boîte Proton est une illusion dangereuse qui pousse à des comportements à risque.

Checklist actionnable

• N1 Lister ses adresses actuelles et les classer par compartiment : civil / pro public / sensible / opérationnel
• N1 Créer un alias opérationnel (SimpleLogin ou Hide My Email) et router toute nouvelle inscription de service tiers dessus
• N2 Auditer les chaînes de récupération : aucun compte critique ne doit se récupérer via le mail opérationnel ou une adresse présente dans un dump
• N2 Provisionner une boîte sensible E2EE (Proton/Tutanota) sans aucun lien de récupération avec l'identité civile ou publique
• N2 Tester son profil depuis un navigateur vierge (sans cookies ni connexion) et noter les liens visibles entre identités
• N3 Cloisonner les navigateurs ou activer Firefox Multi-Account Containers, une identité par conteneur
• N3 Planifier la rotation de l'identité opérationnelle à 12 mois et un audit de l'identité sensible à 6 mois

Pour aller plus loin

Pour le détail technique du relais d’alias et la gestion par domaine, la documentation SimpleLogin est la référence opérationnelle, complétée par le support Apple sur Hide My Email pour l’écosystème iCloud. Si vous voulez comprendre pourquoi une adresse mail est un identifiant pivot si difficile à cloisonner, la RFC 5321 (SMTP) éclaire la mécanique d’acheminement qui rend toute adresse intrinsèquement traçable. Et avant de construire vos compartiments, lisez l’inventaire de ce qui a déjà fuité : on ne cloisonne pas une donnée déjà publique, on cloisonne celles qui ne le sont pas encore.