● ton parcours

Risque Réel — point de départ

Si tu es ici parce que ta sécurité réelle est en jeu, le reste du site n’est pas pour toi. Cette page non plus n’est qu’un point de départ — le reste demande de la compétence humaine, pas un guide web.

Avertissement

Cette page n’est pas un parcours. Les autres profils du site supposent un environnement normal et un adversaire normal : vol, perte, erreur, surveillance commerciale. Ton modèle de menace n’est pas dans ce cadre.

Tu cherches à protéger une personne — toi, quelqu’un que tu accompagnes — contre un adversaire identifié, motivé, doté de moyens. La différence avec un setup “renforcé” n’est pas un degré de plus de prudence : c’est un autre métier. Aucun guide web, celui-ci compris, ne te suffit.

Ce que cette page fait : te poser les bonnes questions et nommer les outils corrects. Pas plus.

Ce que cette page ne fait pas : te donner un setup par défaut qui marche pour ton cas. Ton cas est spécifique. Personne ne peut le voir à ta place.

Avant tout outil : ce qu’il faut savoir sur toi-même

Avant de toucher au moindre logiciel, réponds par écrit (sur papier, à toi-même, à brûler ensuite) :

Qui est l’adversaire ? État, organisation criminelle, ex-conjoint violent, ancien employeur, acteur étatique étranger ? Chacun a des moyens, des techniques et des limites légales différentes. La défense change.
Qu’est-ce qui est ciblé ? Ton identité, tes fonds, tes contacts, ta localisation, ton historique ? L’OPSEC qui protège l’un n’est pas la même que celle qui protège l’autre.
Quel est le coût d’une erreur ? Perte financière, exposition personnelle, intégrité physique, vie d’un proche ? Le bon niveau de friction n’est pas le même selon la réponse.
Qui est dans la boucle ? Toi seul, un cercle restreint, des proches non avertis ? Plus de monde dans la boucle = plus de surface d’erreur humaine, qui domine très vite la compromission technique.

Si tu n’as pas une réponse écrite et précise à ces quatre questions, ne touche à aucun outil de cette page tant que ce n’est pas fait. Le mauvais outil contre le mauvais adversaire est pire que pas d’outil.

Le cadre opérationnel

Sur le plan technique, ton setup s’appuie sur quelques principes durs. Ils ne se substituent pas à du conseil humain dédié, ils le préparent.

Système d’exploitation isolé.

Tails (tails.net) : OS amnésique, démarré depuis une clé USB, ne laisse aucune trace sur la machine hôte. Toutes les connexions passent par Tor par défaut. Adapté pour des opérations ponctuelles à très haute exigence.
Whonix (whonix.org) : OS persistent en deux machines virtuelles, isolement réseau strict via Tor. Adapté quand l’usage est régulier et nécessite un état persistant.
Qubes OS (qubes-os.org) avec Whonix : compartimentation par domaines de sécurité. Le standard quand l’adversaire est sérieux et que tu vas vivre dans cette configuration sur la durée.

Appareil dédié. Pas la machine sur laquelle tu fais ta comptabilité ni celle où tu lis tes emails. Un appareil neuf (ou réinitialisé bas niveau, ce qui n’est pas garantie suffisante contre tous les adversaires), acquis dans un canal qui ne te lie pas à son numéro de série, jamais utilisé en dehors du contexte XMR. Pas connecté au réseau de ton domicile sans Tor + précautions complémentaires (matériel séparé, MAC spoof, etc.).

Wallet. Feather Wallet sur l’OS isolé. Pas de Cake Wallet (mobile, surface d’attaque iOS/Android trop élevée pour ton modèle de menace). Pas de wallet web. Pas de wallet hébergé.

Node. Idéalement le tien, accessible via .onion uniquement. Sinon, un node Tor public dont tu vérifies l’opérateur (réputation publique de longue date, transparence sur l’infrastructure). Jamais un node “rapide gratuit” inconnu.

Seed. Papier ou plaque métal gravée. Hors de chez toi, hors de tout lieu lié administrativement à ton identité. Compartimentation : la seed n’existe pas dans le même contexte que ton OS dédié, ne se croisent que pour des opérations ponctuelles documentées.

Acquisition.

Mining solo : voie la plus propre, demande du temps et du matériel, mais le XMR sort directement non corrélé.
Atomic swap depuis BTC propre : via unstoppableswap.net ou client dédié, où le BTC d’entrée a été acquis sans trace (mining BTC, P2P cash, héritage hors fiscalité crypto, etc.).
P2P cash : rencontre directe via réseau de confiance pré-établi, pas via plateforme publique qui logue.
Haveno sur instance Tor : possible, mais l’opération elle-même reste observable côté contrepartie. Pour ton modèle de menace, dépend de l’adversaire — à évaluer cas par cas.

Ce qui est exclu :

Tout exchange centralisé (KYC ou non) — logs, corrélation IP, possibilité de gel.
Tout agrégateur de swap qui logue les transactions ou les associe à un identifiant (Telegram, email, IP non-Tor).
Tout wallet mobile.
Tout service web qui demande un email, un compte, une session persistante.
Toute carte bancaire, sous quelque forme que ce soit, dans le circuit XMR.

Compartimentation totale. Aucun croisement entre ton identité civile (téléphone, email, comptes, réseau domestique, lieu de vie, horaires habituels) et ton activité XMR. Pas le même appareil, pas le même réseau, pas les mêmes horaires d’activité, pas les mêmes habitudes. La compromission vient presque toujours d’un croisement humain, pas d’une faille technique.

Setup minimal viable (si tu n’as pas accès à un humain compétent cette semaine)

Ce qui suit est le minimum vital. Si ton cas est sérieux, ça reste un point de départ qu’un expert affinera selon ton adversaire — mais c’est mieux que d’improviser, et infiniment mieux que ne rien faire.

Achète une clé USB neuve dans un magasin physique payé en cash. 16 GB minimum.
Installe Tails (tails.net) sur la clé depuis un appareil qui n’est pas le tien (cybercafé, bibliothèque, machine d’un proche non corrélé à toi). Vérifie la signature lors du téléchargement.
Achète un ordinateur portable d’occasion en cash, sans donner ton nom. Ne le connecte jamais à ton réseau domestique.
Démarre toujours sur Tails depuis la clé. L’OS principal de l’ordinateur reste vide ou neutre.
Acquisition XMR : atomic swap depuis BTC obtenu en P2P cash, ou mining solo si tu as le temps. Jamais d’exchange, jamais d’agrégateur Telegram, jamais de carte bancaire dans la chaîne.
Wallet : Feather sur Tails. Seed papier rangée dans un lieu sans lien administratif avec toi (pas chez toi, pas chez tes parents, pas dans ton coffre bancaire).
Ne croise jamais ce setup avec ton identité civile : pas le même réseau, pas les mêmes horaires, pas le même lieu, pas le même téléphone à proximité.

Ce baseline ne couvre pas : adversaire étatique sérieux (passe à Qubes + Whonix, et trouve un humain), surveillance physique active (sort du périmètre numérique pur), erreurs de discipline opérationnelle qui dominent toutes les compromissions techniques.

Ce dont tu as vraiment besoin

Ce n’est pas une page web. C’est de la compétence humaine dédiée.

Selon ton cas :

Journaliste, source, lanceur d’alerte : organisations spécialisées (Freedom of the Press Foundation, Reporters sans Frontières, équipes de soutien numérique des grands médias d’investigation). Ils ont l’expérience opérationnelle qui ne se transcrit pas dans un guide.
Activiste politique en juridiction hostile : réseaux de soutien spécifiques à ta cause, ONGs avec branche sécurité numérique (Access Now Digital Security Helpline est un point d’entrée généraliste).
Personne en danger personnel direct (violence conjugale, surveillance abusive, traque) : associations spécialisées en ton pays, accompagnement humain prioritaire avant outil technique.
Profil financier ciblé (richesse exposée, kidnapping menacé) : conseil sécurité physique professionnel intégrant le volet numérique.

xmr-compass ne remplace aucun de ces relais. Si tu n’es pas en lien avec un humain compétent qui connaît ton cas, c’est la priorité absolue, avant le moindre setup XMR.

Ressources

Sites externes vérifiés :

getmonero.org (projet officiel)
tails.net
whonix.org
qubes-os.org
featherwallet.org
unstoppableswap.net (atomic swap BTC/XMR)

Lectures de fond (à lire en entier, pas en diagonale) :

Documentation officielle Tails et Whonix sur leur modèle de menace.
Guides Access Now sur la sécurité numérique pour profils ciblés.
Articles spécifiques à ton type d’adversaire publiés par des organisations qui en ont l’expérience opérationnelle.

Aucune liste d’outils ne remplace le conseil humain adapté à ton cas. Cette page est volontairement courte. Plus de détails publics seraient indésirables, et plus de détails utiles ne peuvent venir que d’un échange privé avec quelqu’un qui voit ton contexte.

Pas de section “Et après”

Les autres profils renvoient vers d’autres profils du site quand l’usage évolue. Pas celui-ci. Si ton modèle de menace cesse d’être réel (l’adversaire disparaît, tu changes de contexte de vie, le risque s’éteint), tu peux refaire le diagnostic. Tant qu’il dure, tu restes ici, et tu fais avancer ton dispositif avec un humain compétent — pas avec une page web.

Dernière révision : 2026-05-02. Monero évolue vite. Cette page est revue chaque trimestre. Si tu remarques une information dépassée qui pourrait te coûter cher, signale-le par les canaux indiqués sur /about.

● passer à l'action

Démarre dans @XMRScoutBot →

Bot Telegram pour swap & DCA vers XMR. Ouvre Telegram avec ton parcours déjà reconnu — pas de KYC, pas de compte, pas de tracker.

Ton parcours est dans l'URL. Garde-la ou partage-la — aucune donnée n'a quitté ton navigateur.

↻ Refaire le diagnostic