Configurer un PC Windows 100 % privé en 2 heures

Windows 11 par défaut, c'est un PC qui appelle Microsoft toutes les 30 secondes, qui synchronise tes recherches en clair, et qui partage ton activité avec une dizaine de services publicitaires. C'est légal, c'est documenté, et c'est désactivable.

Voilà le protocole exact que j'applique sur tous mes PC. 2 heures de travail, et tu transformes une machine "ouverte" en machine "fermée par défaut".

Phase 1 — Gestionnaire de mots de passe (15 min)

Avant tout. Si tes mots de passe sont encore dans le navigateur ou dans un fichier Excel, tu commences par ça.

1. Installe Bitwarden Desktop + l'extension navigateur
2. Crée un compte avec un email Proton (ou tout email perso fiable)
3. Mot de passe maître : 25+ caractères, mémorisable mais imprévisible (genre une phrase qui veut rien dire : "biscuit-mauve-3-saucisson-volcan")
4. Active la 2FA sur Bitwarden lui-même (avec Authy ou clé physique YubiKey)
5. Importe tes mots de passe depuis Chrome/Edge/Brave : Bitwarden a un outil d'import par CSV
6. Supprime ensuite les mots de passe sauvegardés dans tes navigateurs (Bitwarden les gère mieux)

Phase 2 — Chiffrement disque avec VeraCrypt (20 min)

Si quelqu'un te vole ton PC ou y accède physiquement, sans chiffrement il ouvre tout en 5 minutes (boot depuis une clé USB Linux). Avec VeraCrypt, c'est mort.

1. Installe VeraCrypt (gratuit, open source, audit reconnu)
2. Crée un conteneur chiffré de 10-50 Go pour tes documents sensibles (alternative au chiffrement full-disk qui peut être lourd)
3. Algorithme : AES-Twofish-Serpent (triple chiffrement, paranoid mais rapide)
4. Hash : SHA-512
5. Mot de passe : 20+ caractères (généré via Bitwarden, sauvegardé dans Bitwarden)
6. Monte le conteneur uniquement quand tu en as besoin → démonte avant de t'éloigner du PC

Phase 3 — VPN avec Lockdown (15 min)

Voilà le maillon réseau. Sur Windows, le VPN doit :

• Démarrer avec Windows
• Se connecter automatiquement
• Bloquer tout trafic si le VPN tombe (kill switch / Lockdown)

Avec Mullvad :

• Settings → VPN settings → Launch on start-up : ON
• Auto-connect : ON
• Lockdown mode : ON (le réglage qui fait toute la différence côté PC)
• Protocol : WireGuard
• DNS content blockers : Ads + Trackers + Malware ON

Test final : mullvad.net/check → trois feux verts (VPN actif, pas de fuite DNS, pas de fuite WebRTC).

Phase 4 — Durcir Windows lui-même (30 min)

Désactiver la télémétrie

Paramètres → Confidentialité et sécurité :

• Diagnostic et commentaires → Données de diagnostic facultatives : OFF
• Données de diagnostic affichées : OFF
• Expériences personnalisées : OFF
• Activité → Historique d'activité : OFF
• Recherche dans Windows → Recherche cloud : OFF
• ID de publicité → OFF

Désactiver Cortana et Bing

Le menu Démarrer envoie tes recherches à Bing. Pour couper :

1. Ouvre l'éditeur de registre (Win+R → regedit)
2. Va à HKCU\Software\Policies\Microsoft\Windows\Explorer
3. Crée une valeur DWORD DisableSearchBoxSuggestions = 1
4. Redémarre l'explorateur

Localisation

Paramètres → Confidentialité → Localisation → OFF (sauf si tu utilises Maps natif).

Microphone et caméra

Désactive l'accès au micro/caméra pour toutes les apps qui n'en ont pas besoin. Tu peux laisser pour Zoom, Discord, WhatsApp, etc.

Phase 5 — Le navigateur (15 min)

Le navigateur, c'est par où passe 90 % de ton trafic. Choix recommandé :

• Brave : Chromium-based, bloque pubs/trackers nativement, intégrations Tor (Private Window with Tor)
• Firefox + uBlock Origin + Privacy Badger : alternative légèrement plus respectueuse

À désinstaller : Chrome, Edge (si tu peux), tous les navigateurs Yandex/Yahoo/Opera.

Réglages Brave essentiels :

• Shields → Aggressive (sur tous les sites)
• Block scripts : selon ton confort (Standard est OK)
• Cookies : Block third-party cookies
• Fingerprinting : Strict
• Search engine : DuckDuckGo ou Brave Search
• Clear cookies and site data on exit : ON

Phase 6 — Désactiver TeamViewer et outils de prise en main à distance (5 min)

Si tu as TeamViewer, AnyDesk, Chrome Remote Desktop installés et que tu ne t'en sers pas : désinstalle-les. Ce sont les vecteurs n°1 des arnaques "support Microsoft".

Si tu en as besoin, au minimum :

• Désactive le démarrage automatique avec Windows
• Active la 2FA sur le compte
• Mot de passe aléatoire à chaque connexion (pas de mot de passe fixe)

Phase 7 — Sauvegarde chiffrée (10 min)

Une fois tout ça en place, tes données les plus précieuses doivent être sauvegardées chiffrées, pas en clair.

• Tes mots de passe : Bitwarden cloud (chiffré côté client → Bitwarden ne voit rien)
• Tes documents sensibles : conteneur VeraCrypt + sauvegarde du conteneur sur disque externe
• Tes mails Proton : restent chez Proton, chiffrés côté serveur
• Tes documents perso non sensibles : iCloud ou OneDrive c'est OK

Vérification finale

Une fois tout configuré, fais ces 3 tests :

1. mullvad.net/check — 3 feux verts
2. browserleaks.com/webrtc — aucune IP locale visible
3. haveibeenpwned.com — vérifie si tes emails apparaissent dans des fuites connues. Si oui, change ces mots de passe.

2 heures, et ton PC est passé de "ouvert par défaut" à "fermé par défaut". Tu n'as pas perdu en confort — tes apps préférées marchent encore — mais Microsoft, Google, et les régies publicitaires ne te tracent plus.