Je n’ai rien demandé. Je n’ai rien hacké. Je n’ai même pas sorti mon téléphone. J’ai juste regardé droit devant moi pendant trois heures.
Paris-Rennes, TGV Inoui de 14h22. J’ai une place fenêtre, côté droit, voiture 14. En face de moi, un type. La quarantaine, costume sans cravate, AirPods. Il sort son laptop dès que le train quitte Montparnasse. Normal. On est en 2026, c’est ce qu’on fait.
Ce qui est moins normal, c’est ce qu’il fait avec ce laptop.
En dix minutes, sans bouger la tête, j’ai capté le nom de son entreprise (logo en haut de l’écran), le nom de son client (dossier ouvert en plein milieu du bureau), le montant approximatif du contrat en cours (colonne Excel visible, chiffres assez grands pour être lus depuis le siège d’en face), et les initiales de deux personnes dont il semblait ne pas aimer le travail, à en juger par les commentaires dans le document.
Je précise : je ne suis pas malveillant. Je suis juste assis.
Ce scénario, on l’appelle du shoulder surfing. Terme qui sonne comme une discipline olympique alors que c’est juste de la curiosité passive avec un bon angle de vue. Pas besoin d’être un expert en cybersécurité. Pas besoin de matériel. Juste des yeux et un siège de train en face-à-face.
Ce qui est fascinant, c’est que le type en question avait probablement fait une formation cybersécurité dans l’année. Il avait un antivirus. Un VPN peut-être. Un mot de passe complexe, sûrement. Il avait coché toutes les cases de la politique de sécurité de sa boîte.
Et là il exposait un contrat client à 58 000 euros à tout le wagon 14.
Ce que j’ai appris sans effort :
Nom de l’entreprise · Nom du client · Fourchette budgétaire · Deux prénoms internes · Un prestataire concurrent cité dans une cellule · Le fait qu’il était « en retard sur la section 3 »
Le problème de la sécurité physique, c’est qu’elle est invisible dans les audits. On mesure les mots de passe, les logs, les accès réseau. Personne ne mesure l’angle de vision depuis le siège 42B.
Les filtres de confidentialité pour écrans existent depuis des années. Ils coûtent une vingtaine d’euros. Ils réduisent le champ de vision latéral à environ 30 degrés. Ce n’est pas magique mais c’est suffisant pour que votre voisin de train voie un écran noir au lieu de vos données clients.
Ce n’est pas dans le budget formation annuel. Ce n’est pas dans la politique RGPD. Ce n’est généralement pas dans les préconisations du RSSI.
C’est pourtant le truc le plus simple du monde.
À Rennes, il a rangé son laptop et il est parti. Il ne sait pas. Je ne lui ai rien dit — pas parce que c’était pas mon rôle, mais parce que personne ne dit rien dans un train.
C’est ça, le vrai problème.
La prochaine fois que vous ouvrez un document confidentiel dans un transport en commun, demandez-vous juste une chose : est-ce que le type en face a l’air du genre à lire ?
La réponse vous surprendra peut-être.