Claude M'a Doxxé en 14 Secondes. Voici le Guide de Nettoyage Que Personne Ne Vous Vend.
Mardi dernier, j'ai demandé à Claude de me retrouver. Pas Phil l'écrivain sur Medium. Le vrai moi. Adresse actuelle, deux adresses précédentes, employeur, nom de jeune fille de ma femme, secteur scolaire des enfants. Quatorze secondes.
Il y a deux ans, ce genre de recherche nécessitait un week-end de détective amateur ou un abonnement OSINT payant. Aujourd'hui, c'est un onglet que j'ai oublié de fermer. Et ça ne demande aucune compétence particulière, juste un agent avec accès web et la bonne formulation (que Claude rédigera pour vous si vous demandez poliment).
TLDR : ce que Claude a trouvé sur moi provient de types de sites très spécifiques, et il y en a cinq familles. Une seule se nettoie vraiment, et par hasard c'est celle utilisée pour vous doxxer. Dans cet article : le nettoyage de surface qui calme les choses, et le décapage haute pression si vous voulez vraiment dormir tranquille (les quatre autres familles incluses).
[COVER: image]
En janvier 2025, des types ont sonné à la porte de David Balland. Cofondateur de Ledger, un village tranquille du centre de la France. Ils l'ont emmené avec sa femme, les ont retenus quarante-huit heures, ont scié un de ses doigts, envoyé la vidéo à son cofondateur en exigeant une rançon en crypto. Les gendarmes les ont sortis vivants. Ledger fabrique des portefeuilles matériels, c'est-à-dire littéralement des coffres-forts physiques pour crypto. La sécurité numérique de Balland était blindée. Les kidnappeurs n'avaient pas besoin de ses clés privées. Ils avaient besoin de son adresse. Et cette partie-là était en vente quelque part.
Depuis, CertiK a documenté soixante-douze attaques physiques de ce type en 2025, en hausse de soixante-quinze pour cent d'une année sur l'autre. Les enlèvements ont bondi de soixante-six pour cent. La France seule en a enregistré dix-neuf, plus que les États-Unis. On les appelle wrench attacks, d'après un vieux mème xkcd : peu importe la force de votre chiffrement, une clé à molette à cinq dollars résout le problème. Le facteur commun des soixante-douze cas n'est pas le niveau de sécurité technique des victimes. C'est leur visibilité. Quelqu'un savait où sonner.
C'est exactement ce que Claude vient de faire pour moi, en quatorze secondes, gratuitement.
14 Secondes
Le prompt faisait onze mots. Trouve tout ce qui est publiquement disponible sur [mon nom] à [ma ville]. Recherche web activée. Go.
Claude est revenu avec une liste. Adresse actuelle. Deux adresses précédentes, y compris l'appartement que j'ai loué en 2018 et que je n'ai jamais mis sur les réseaux sociaux. Employeur. Nom de jeune fille de ma femme. Le secteur scolaire primaire des enfants, que je n'ai jamais tapé dans aucun appareil qui n'était pas derrière une double authentification et un VPN. Un numéro de téléphone d'un contrat que j'ai résilié il y a trois ans et apparemment personne n'a prévenu les courtiers. La valeur estimée de la maison. Mon âge approximatif, avec un an d'erreur parce que quelqu'un chez un des courtiers en données ne sait pas soustraire.
Quatorze secondes. J'ai vérifié le chrono deux fois.
Il y a deux ans, ça aurait été un projet de week-end. Vous vous seriez abonné à un de ces services OSINT avec un nom comme ThreatPivot ou BreachFalcon, lâché quatre-vingt-dix balles, appris la syntaxe de requête, fait quelques itérations, vous seriez lassé, auriez embauché un détective privé pour trois cents dollars et attendu une semaine. La friction était la sécurité. Pas le chiffrement, pas les lois sur la vie privée, pas les opt-outs des courtiers. La friction.
La friction, c'est ce que les agents IA sont conçus pour démolir. C'est tout le pitch. Donnez-leur un objectif flou, regardez-les comprendre quels sites scraper, quels formulaires remplir, dans quel ordre, avec quel backoff. Me doxxer est une tâche agentique de manuel. Pas d'ironie, pas de bug, juste la démo qui fait exactement ce qu'elle annonce.
Il y a deux ans, c'était le week-end d'un détective. Maintenant c'est un onglet que j'ai oublié de fermer.
"Courtier en Données" N'est Pas Une Chose. C'en Sont Cinq.
Quelque chose que l'industrie de la vie privée ne veut pas que vous remarquiez : le terme courtier en données fait beaucoup de travail malhonnête. Les entreprises qui vendent des services de suppression utilisent ce flou pour survendre ce qu'elles couvrent. Les critiques utilisent le même flou pour rejeter toute la catégorie comme de l'arnaque. Les deux camps ont tort, dans des directions opposées, pour la même raison.
Il y a cinq catégories distinctes de courtiers en données, et elles ne partagent à peu près rien en commun sauf l'étiquette. Sources différentes, statut légal différent, modèles de menace différents, moyens de sortie différents. Les traiter comme un seul bloc mène au mauvais outil à chaque fois.
Cinq catégories, une ligne chacune :
1. Services de Recherche de Personnes. Spokeo, BeenVerified, WhitePages, toute cette bande. L'annuaire moderne plus vos proches. Indexé par Google, interrogeable par quiconque avec une carte de crédit ou un agent IA.
2. Courtiers de Données Marketing et Inférées. Acxiom et tout le graphe ad-tech derrière chaque bannière que vous avez jamais vue. Ils n'ont pas vraiment votre nom. Ils ont un profil attaché à un ID publicitaire, qui est plus ou moins un hash anonyme qui vous suit pendant quelques années.
3. Bureaux de Crédit. Equifax, Experian, TransUnion. Les trois fameux. Légalement protégés aux US, ce qui signifie que vous ne pouvez pas vous désinscrire. Vous pouvez geler, vous pouvez contester, vous ne pouvez pas supprimer. Ils se sont fait pirater et ils ont toujours légalement votre dossier.
4. Courtiers d'Atténuation des Risques. LexisNexis, ChoicePoint, ceux qui vendent des vérifications d'antécédents aux propriétaires et départements RH. Adjacents aux bureaux de crédit en protection légale, adjacents à la recherche de personnes en contenu réel.
5. Courtiers de Données de Santé Personnelle. Trackers de bien-être non-HIPAA, apps de fitness, la brosse à dents connectée, l'app de méditation qui sait que vous avez cherché 'anxiété' à 3h du matin.
Cette décomposition n'est pas de moi. Elle vient d'une vidéo de Reject Convenience de mai 2025, deux millions de vues, les meilleures dix minutes que vous passerez sur ce sujet cette année. Il utilise ce cadre pour argumenter que les services de suppression sont trompeurs. Il a à moitié raison. L'autre moitié, c'est le reste de cet article.
J'ai Demandé à Claude d'Échapper aux Cinq. Quatre Ont Rigolé.
Alors j'ai fait catégorie par catégorie et demandé à Claude de m'aider à me désinscrire. Même agent, même recherche web, un prompt par catégorie. Voici ce qui est revenu.
Catégorie 1, Recherche de Personnes. Claude m'a écrit un filtre fonctionnel et un workflow de rédaction d'emails en trois minutes environ. J'y reviendrai dans la section suivante. Pour l'instant : oui, c'est la seule catégorie où l'agent m'a regardé comme oh, c'est une vraie tâche, allons-y.
Catégorie 2, Marketing et Inféré. Claude a refusé de rédiger un email d'opt-out. Pas à cause des garde-fous de sécurité. Parce qu'il n'y a personne à qui l'envoyer. Les données ne sont pas classées sous "Phil". Elles sont classées sous un ID publicitaire que je peux faire tourner moi-même dans les paramètres de mon téléphone. Claude m'a orienté vers le paramètre Android, le paramètre iOS, et une explication d'un paragraphe sur pourquoi vider les cookies et passer à un navigateur respectueux de la vie privée est le vrai levier. Poli, factuel, et discrètement dévastateur : il n'y a pas d'opt-out d'une base de données qui ne connaît pas votre nom.
Catégorie 3, Bureaux de Crédit. Claude a sorti le langage pertinent du Fair Credit Reporting Act et a conclu, en mots légèrement plus diplomatiques, que je perdais mon temps. Vous ne pouvez pas vous désinscrire d'un bureau de crédit US. La loi mandate que les données de crédit existent et que les bureaux les détiennent. Vous pouvez geler le nouveau crédit, vous pouvez contester les erreurs, vous ne pouvez pas supprimer. Equifax s'est fait pirater en 2017, a fuité les données personnelles de la moitié du pays, et est toujours légalement tenu de garder un dossier sur moi. J'ai lu ça deux fois. Puis une troisième. Claude continuait d'avoir raison.
Catégorie 4, Atténuation des Risques. Claude a trouvé des endpoints d'opt-out pour les gros. La plupart étaient conçus pour les entreprises contestant des vérifications d'antécédents qu'elles avaient payées, pas les consommateurs demandant à être effacés. J'ai essayé un des formulaires orientés consommateur. Il a renvoyé un PDF que j'étais censé imprimer, signer, et faxer. Faxer. En 2026. Je ne possède pas de fax. Je ne connais personne qui en a un. Assez sûr que ma grand-mère a vendu son dernier en 2003.
Catégorie 5, Santé Personnelle. Claude a sorti les politiques de confidentialité de quelques apps de bien-être et trackers que j'avais accumulés au fil des ans. Aucune d'elles n'exigeait légalement la suppression. Certaines l'offraient "à la discrétion de l'entreprise". Quelques-unes avaient un formulaire de suppression qui excluait explicitement les données déjà partagées avec des "partenaires analytiques". Une ne faisait même pas semblant.
Quatre sur cinq, l'agent a haussé les épaules. Pour être juste, Claude n'était pas cassé sur ces quatre. La loi est absente. C'est un problème différent avec une forme différente, et aucun prompt ne va le légiférer.
La Seule Catégorie Où Claude Est une Arme
Le prompt avec lequel j'ai fini, après environ six itérations parce que les premiers continuaient de faire des trucs stupides :
Contexte : Je veux supprimer mes informations personnelles des
Services de Recherche de Personnes. Ci-dessous une liste de
départ de courtiers connus pour publier des agrégations de
dossiers publics.
Courtiers : Spokeo, BeenVerified, WhitePages, Intelius,
PeopleFinder, TruePeopleSearch, FastPeopleSearch, Radaris,
MyLife, USSearch, PublicRecordsNow, InstantCheckmate,
BackgroundAlert, ZabaSearch, Pipl.
Pour chaque courtier, fais ce qui suit dans l'ordre :
1. Utilise la recherche web pour vérifier si un profil
correspondant aux identifiants suivants existe dans leurs
résultats publics :
Nom : [NOM COMPLET]
Ville : [VILLE], [ÉTAT]
Âge approximatif : [ÂGE]
2. Si aucun profil correspondant n'est trouvé, marque comme
SKIP et passe au suivant. Ne génère pas de demande d'opt-out
pour les courtiers qui n'ont pas de données sur moi.
3. Si un profil est trouvé, identifie le flux d'opt-out
spécifique du courtier (email, formulaire web, vérification
d'ID, courrier postal, fax) et rapporte-le.
4. Pour les courtiers acceptant les opt-outs par email, rédige
l'email dans un bloc de code séparé, adressé à leur contact
vie privée listé, demandant la suppression sous la loi d'état
pertinente (CCPA pour la Californie, équivalent pour les
autres états).
5. Sors un résumé listant : courtier, statut (A DES DONNÉES /
SKIP), méthode d'opt-out, action requise de ma part.
N'envoie rien. Je réviserai chaque email avant envoi.
L'étape skip compte. Sans elle Claude rédigera joyeusement quinze emails identiques à des courtiers qui n'ont rien sur vous, ce qui est à la fois bruyant et légèrement suspect du côté du courtier. La ligne "n'envoie rien" compte plus. Vous êtes sur le point d'envoyer de vrais emails en votre vrai nom légal à des entreprises qui peuvent exiger une copie de votre permis de conduire pour traiter la demande. Lisez chaque brouillon. Deux fois. J'ai encadré le tout avec la même discipline de verrouillage de portée que j'ai apprise à la dure quand je laisse Claude toucher de vrais systèmes sans un contrat de prompt approprié.
Faire tourner ça a pris environ quatre heures la première fois. La plupart n'était pas Claude. C'était moi lisant ce que chaque courtier voulait vraiment et décidant quelles demandes envoyer, quels formulaires remplir à la main, et à quels courtiers je n'allais pas donner une copie de mon passeport peu importe comme ils demandaient gentiment. (Trois d'entre eux ont demandé. J'ai décliné les trois. Ils ont déjà mon nom et adresse, ils n'auront pas mon passeport.)
Dans les dix jours, la plupart de l'exposition people-search que j'avais vue dans le test de doxxing Claude original avait disparu. Une partie est revenue. Environ six semaines plus tard, j'ai vérifié, et quelques courtiers avaient repopulé depuis des sources amont. Ce qui nous amène à la section suivante.
Claude vs RemoveMe : La Comparaison Honnête
Le problème de repopulation est toute la raison pour laquelle les services de suppression existent. Vous vous désinscrivez, le courtier re-scrape depuis une source amont différente six semaines plus tard, vos données sont de retour, vous êtes de retour à la case départ. Faire ça manuellement avec Claude toutes les six semaines marche, mais c'est le genre de tâche récurrente que je garantis personnellement que j'oublierai dans les deux cycles.
C'est là qu'entrent les services comme RemoveMe, DeleteMe, et Incogni. Même portée, modèle différent.
Ce que Claude fait bien : c'est gratuit, c'est flexible, vous contrôlez chaque email, vous apprenez le paysage, vous pouvez relancer quand vous voulez. Le prompt ci-dessus est maintenant dans mes notes et y restera probablement des années. Vous pouvez aussi lire les vrais brouillons, ce qui est vraiment rassurant quand vous envoyez des demandes légal-ish en votre propre nom.
Ce que Claude fait mal : c'est un one-shot. Il n'y a pas de boucle de monitoring. Les courtiers ne vous emailent pas quand ils re-ajoutent vos données. Vous devez vous rappeler de relancer le tout, et vous ne le ferez pas, parce que personne ne le fait. Aussi, chaque email sort sous votre nom et votre responsabilité. Toute erreur dans le brouillon, toute mauvaise adresse, toute formulation qu'un courtier décide d'interpréter bizarrement, c'est sur vous.
Ce que RemoveMe fait bien : monitoring continu, resoumission automatique, couverture plus large que la liste que je construirais à la main, et quelqu'un dont le vrai boulot est de courser les courtiers quand ils ignorent la première demande. Environ trente balles pour trois mois au moment d'écrire. (Divulgation : c'est un lien d'affiliation. Je touche une petite commission si vous vous inscrivez. La commission ne change pas mon opinion, mais vous devriez le savoir.)
Ce que RemoveMe fait mal : même portée que Claude. Catégorie 1 seulement. Ils ne font pas, et ne peuvent pas faire, quoi que ce soit sur les quatre autres. Ce qui va, tant que vous le savez en entrant. L'autre chose qui vaut la peine de s'asseoir dessus une seconde : vous donnez vos informations personnelles à une entreprise pour supprimer vos informations personnelles d'autres entreprises. Le transfert de confiance est réel. Lisez la politique de confidentialité. Décidez.
Qui choisit quoi : si vous avez quatre heures ce week-end et que vous aimez le projet, lancez le prompt Claude, mettez un rappel de calendrier dans six semaines, économisez-vous cent vingt dollars par an. Si votre réaction à "mets un rappel de calendrier dans six semaines" est la même que la mienne (le rappel sonnera, vous le reporterez, ça continuera pendant un an), payez les trente balles et arrêtez de penser à la catégorie 1 pour toujours.
Les deux options résolvent le même problème. La différence est si vous voulez qu'il soit résolu une fois ou résolu continuellement.
Ce Que Vous Faites Vraiment pour les Quatre Autres
La partie que personne ne veut écrire parce que ça ne rentre pas dans un abonnement. Les quatre autres catégories n'ont pas de service. Elles ont des habitudes. Aucune n'est dure. Toutes sont gratuites. La plupart prennent un week-end puis plus jamais.
Marketing et inféré (catégorie 2). Réinitialisez votre ID publicitaire. Sur Android : Paramètres → Confidentialité → Annonces → Réinitialiser l'ID publicitaire, puis activez "Supprimer l'ID publicitaire" si vous l'avez. Sur iOS : Paramètres → Confidentialité et sécurité → Suivi → off, plus Apple Advertising → off. Passez à Brave, ou Firefox avec mode strict. Désactivez les cookies tiers partout. Le profil inféré ne sera pas supprimé, il sera dégradé, et dégradé est le vrai plafond ici. Arrêtez de courser la perfection.
Bureaux de crédit (catégorie 3). Gel de crédit gratuit sur les trois : Equifax, Experian, TransUnion. Chacun prend environ dix minutes en ligne. Ne supprime pas vos données, bloque l'ouverture de nouvelles lignes de crédit en votre nom, ce qui est le modèle de menace qui compte vraiment. Tirez votre rapport annuel gratuit sur annualcreditreport.com (le seul site légitime, pas celui avec le jingle accrocheur, celui-là c'est un service payant déguisé). Contestez chaque erreur que vous trouvez. Soyez mesquin là-dessus.
Atténuation des risques (catégorie 4). Une fois par an, demandez votre propre rapport de vérification d'antécédents à LexisNexis et aux plus grandes agences de rapports consommateur. Ils doivent légalement vous le donner. Lisez-le. Contestez les trucs faux. Si vous ne cherchez pas activement du travail ou un appartement, gelez le rapport pour que personne ne puisse le tirer.
Santé personnelle (catégorie 5). Arrêtez de supposer que HIPAA couvre les apps de bien-être consommateur. Ça ne le fait pas. HIPAA couvre votre docteur et votre compagnie d'assurance. Le tracker de fitness, l'app de méditation, la balance connectée, le tracker de règles, la brosse à dents connectée (désolé de revenir sans cesse à la brosse à dents, c'est juste un parfait méchant), tout ça n'est pas régulé. Auditez les politiques de confidentialité avant d'acheter. Après avoir acheté, c'est surtout trop tard.
J'ai lancé tout le workflow catégorie 1 comme une commande CLI depuis mon terminal parce que pour une tâche administrative one-shot sans état récurrent, monter un serveur MCP est excessif pour le boulot. Rien de ça ne rentre dans un abonnement. La plupart c'est un week-end et ne plus jamais y penser.
L'Asymétrie Que Personne Ne Price
Le ratio attaque-défense pour les données personnelles n'a jamais été pire, et presque personne ne le price.
Quatorze secondes pour qu'un agent me trouve. Des mois d'opt-outs pour supprimer une fraction de ce qu'il a trouvé. Une catégorie sur cinq supprimable du tout. Les quatre autres protégées par une friction que la loi n'a jamais voulu fournir, et que les agents IA sont conçus pour dissoudre.
Alors que plus de gens nettoient leur catégorie 1, les doxxers ne s'arrêteront pas. Ils descendront d'un niveau. Les courtiers marketing ont des profils inférés que vous ne pouvez pas complètement effacer. Les courtiers d'atténuation des risques ont votre background. Les bureaux de crédit ont votre vie financière. Rien de ça n'est cherchable aujourd'hui par un attaquant casual avec une requête Google. Tout ça est corrélable par un agent qui peut lire un dump de breach, croiser une référence LinkedIn, scraper quelques dossiers publics, et vous reconstruire dans un après-midi. Les chercheurs en sécurité le soulignent depuis le breach Ledger l'année dernière : les LLMs rendent les temps de breach fois courtier fois people-search trivialement corrélables, pour quiconque veut demander.
Je ne prédis pas ça. Je décris ce mois-ci.
Quatorze secondes pour qu'un agent me trouve. Des mois et un petit budget pour me supprimer de la seule catégorie qui se laisse supprimer.
Si tout le monde nettoie la catégorie 1, les doxxers descendent d'un niveau. Quatre autres catégories avec lesquelles aucun service au monde ne peut aider, et un agent qui fera la corrélation pour eux pendant que vous dormez.
Le problème ne se résout pas. Il bouge.
Sources
- What DeleteMe and Incogni aren't telling you — Reject Convenience, mai 2025. Le cadre à cinq catégories vient de cette vidéo.
- CertiK 2025 Wrench Attacks Report, résumé ici. Soixante-douze attaques physiques sur des détenteurs de crypto en 2025, en hausse de soixante-quinze pour cent d'une année sur l'autre.
- annualcreditreport.com — le vrai site de rapport de crédit annuel gratuit mandaté par la loi fédérale aux US.
Cet article contient des liens d'affiliation. Je peux toucher une petite commission si vous achetez à travers eux.
(*) La couverture est générée par IA. Aucun courtier en données n'a été blessé dans sa création.