"C'est juste une photo, non ?"

Une photo de profil sur LinkedIn, une story Insta entre potes, une photo de famille sur Facebook... Tu publies, tu n'y penses plus. Pourtant chaque photo publique de toi est un morceau de données exploitable. Voici concrètement ce qu'un attaquant peut en faire en 2026.

Risque 1 - La recherche image inversée pour t'identifier

Premier réflexe d'un attaquant qui a ton nom ou un pseudo : passer ta photo dans Google Images, TinEye, ou PimEyes. Ces outils retrouvent toutes les autres pages où la photo apparaît.

Résultat : il peut croiser ton compte LinkedIn pro avec un ancien profil dating, un commentaire sous une vidéo YouTube en 2017, une photo de mariage sur le site d'un photographe, une coupure de presse régionale d'il y a 10 ans...

Ce que ça lui donne : un dossier identitaire complet (nom, ville, employeurs successifs, école d'origine, photos de famille, opinions politiques exprimées) qu'il peut utiliser pour le spear-phishing ciblé ("Bonjour Monsieur X, je suis du cabinet Y où votre frère travaille...").

Ta protection : applique le module "OSINT particuliers" de la librairie. En particulier : reduis la visibilité de ton profil LinkedIn aux "Nom + Photo" pour les non-connectés, désactive le tag automatique sur Facebook/Insta.

Risque 2 - L'extraction de métadonnées (EXIF)

Quand tu prends une photo avec ton smartphone, il enregistre dans le fichier (champ EXIF) :

• La géolocalisation GPS exacte (latitude/longitude à 5m près)
• L'horodatage (date + heure précises)
• Le modèle de smartphone (donc ta gamme socio-économique)
• Parfois ton identifiant Apple ID ou Google Account

Si tu envoies la photo en pièce jointe (mail, WhatsApp web, Signal en mode original), les EXIF voyagent avec. Si tu la publies sur Facebook, X, Instagram - ces plateformes strippent les EXIF côté serveur (donc protection). Mais sur un forum, un blog perso, un site mémoriel, ou une PJ de mail, les EXIF restent.

Ce que ça donne à un attaquant : ton adresse précise (si tu prends souvent des photos depuis ton salon), tes horaires (quand es-tu chez toi, quand pas), tes habitudes (le café où tu prends ta photo matinale).

Ta protection : sur iPhone, désactive la "Localisation" pour l'app Caméra (Réglages > Confidentialité > Localisation > Appareil photo > Jamais). Sur Android : Caméra > Réglages > Localiser > Off. Avant d'envoyer une photo importante par mail, passe-la dans un outil de strip EXIF (sur Mac : clic droit > Convertir, ça supprime souvent les métadonnées ; sur PC : utilise l'outil ExifTool).

Risque 3 - Le deepfake et la sextorsion

Avec quelques photos de ton visage (souvent disponibles publiquement sur LinkedIn, Insta, photos de famille tagguées), un attaquant peut générer une fausse vidéo intime de toi via des outils d'IA grand public.

Le scénario classique :

1. L'attaquant crée la fausse vidéo
2. Il t'envoie un message : "J'ai cette vidéo de toi, si tu ne paies pas X € en bitcoin sous 48h, je l'envoie à ta famille / tes collègues / ton employeur"
3. La victime panique, paie, et l'attaquant ne disparaît pas - il revient demander plus

Variant grave : cible des adolescents, où la honte sociale est démultipliée. Plusieurs cas de suicide ont été documentés en France et au Québec depuis 2023.

Ta protection :

• Ne paie JAMAIS (l'attaquant revient toujours, et c'est lui qui détient le levier)
• Sauvegarde la conversation (capture écran)
• Porte plainte immédiatement : la sextorsion est un délit (Article 226-2 Code Pénal) ; les enquêteurs cyber peuvent agir
• Préviens les proches : c'est embarrassant mais c'est ce qui casse le levier de l'attaquant. Une famille prévenue ne sera pas surprise par une éventuelle diffusion.
• Si tu es jeune ou que ça concerne un proche jeune : associations e-Enfance (3018 numéro gratuit) et Net Ecoute

Risque 4 - L'usurpation d'identité pour faux comptes

Avec une photo et un nom, l'attaquant peut créer un faux compte Facebook / LinkedIn / Insta qui te ressemble. Il utilise ensuite ce faux compte pour :

• Arnaquer tes contacts ("J'ai changé de compte, peux-tu me prêter 200 € en urgence ?")
• Diffuser des opinions politiques qui te seront imputées
• Faire des avances inappropriées en se faisant passer pour toi

Ta protection :

• Sur Facebook : Settings > Profile > Profile picture > Profile picture guard (activé, empêche le téléchargement et le screenshot)
• Sur LinkedIn : tu peux signaler les usurpations via le bouton "Signaler ce profil"
• Sur Instagram : "Verified account" si possible (rare en gratuit), sinon signalement
• Régulièrement : tape ton nom dans Google Images et Facebook, regarde si un compte que tu ne connais pas utilise ta photo

Risque 5 - Le cloning facial pour KYC

Plusieurs services bancaires en ligne (N26, Revolut, Wise...) demandent une vidéo selfie pour vérifier ton identité (KYC). Si un attaquant a une de tes photos en bonne qualité et l'IA appropriée, il peut générer une vidéo selfie falsifiée mais convaincante pour passer le KYC d'une banque qu'il ouvre en ton nom.

Le marché noir des services KYC frauduleux est en explosion (de 50 € à 500 € la "vidéo de validation" sur certains forums).

Ta protection : surveille ton FICP (Banque de France, gratuit) une fois par an. Si une banque ouvre un compte en ton nom à ton insu, ce sera tracé.

Comment protéger tes photos en pratique

Règle 1 - Audit ton exposition. Tape ton nom dans Google Images, regarde ce qui sort. Les photos gênantes, demande-leur la suppression au site qui les héberge (RGPD art. 17). Pour les profils sociaux, paramètre la visibilité.

Règle 2 - Profil pro restreint. Sur LinkedIn, configure "Modifier le profil public" : visible = Nom + Photo + Titre + Entreprise. Pas d'historique, pas de coordonnées.

Règle 3 - Pas de photo de tes enfants en public. C'est ton choix de parent, mais sache : une photo d'enfant publique nourrit le pédopiégeage et te prive du contrôle de son image (cf. article "Photos d'enfants sur les réseaux : et leur consentement à eux ?").

Règle 4 - Géoloc OFF sur la caméra. Cf. plus haut.

Règle 5 - Mot de passe famille verbal. Si quelqu'un t'appelle ou t'écrit "en urgence" en se prétendant un proche, demande le mot de passe famille (à établir entre vous). C'est aussi valable face à un éventuel deepfake vocal.

Le piège du "j'ai rien à cacher"

L'argument "j'ai rien à cacher" rate la cible. Une photo n'a pas besoin d'être compromettante pour être exploitée. Une photo de profil souriante, anodine, suffit largement à monter un dossier d'usurpation, un deepfake intime, ou un compte falsifié.

Ton image est un actif personnel. Tu n'as pas à la diffuser largement plus qu'à laisser ta carte d'identité traîner sur un comptoir.

Si tu es victime

• Sextorsion / deepfake : ne paie pas, porte plainte, contacte e-Enfance / Net Ecoute (3018) ou [3018 plateforme] si mineur
• Usurpation de profil : signale aux plateformes, porte plainte
• Vol de photo + diffusion sans accord : Article 226-1 et suivants Code Pénal, plainte possible

La règle d'or

Une photo n'est jamais "juste une photo". C'est une porte d'entrée. Tu n'as pas à devenir paranoïaque, mais tu peux limiter les portes ouvertes inutilement. Configure ta confidentialité, désactive la géoloc, demande-toi pour chaque photo : "qui en a besoin, vraiment ?"