OSINT défensif : ce que vous laissez fuiter sans le savoir

Un client me dit “il n’y a rien sur moi en ligne”. Trois heures plus tard, j’ai sa famille élargie, ses ex-domiciles sur 15 ans, le nom de son banquier, et la marque de sa voiture. Tout en sources publiques. Il ne savait pas ce qu’il ne savait pas.

Le piège habituel

La plupart des gens confondent deux choses très différentes : “rien de visible quand je me cherche sur Google” et “rien de trouvable par quelqu’un qui sait chercher”.

Googler son propre nom donne une vue filtrée, orientée SEO, qui montre ce que vous avez intentionnellement publié. Ce n’est pas ce que voit un attaquant compétent. Un attaquant compétent utilise des outils spécialisés, croise des bases de données de breaches, reconstitue des graphes de relations, et sait que la vraie information est souvent dans les métadonnées et les traces secondaires que vous n’avez jamais réalisé laisser.

L’OSINT défensif consiste à faire vous-même ce que ferait un adversaire — avant lui, pour savoir ce qu’il saurait, et agir en conséquence.

Pourquoi faire de l’OSINT sur soi-même

Il y a trois raisons pratiques :

Connaître sa surface d’attaque. Un attaquant qui prépare un SIM swap, une attaque de spear-phishing, ou une tentative d’ingénierie sociale commence par collecter des informations sur vous. Si vous savez ce qu’il peut trouver, vous savez quels scénarios d’attaque sont réalistes contre vous spécifiquement — et vous pouvez préparer vos défenses en conséquence plutôt qu’en générique.

Identifier les fuites à corriger. Certaines informations qui vous concernent sont en ligne sans que vous en ayez conscience — depuis des inscriptions oubliées, des forums d’il y a dix ans, des documents que vous avez partagés. L’audit OSINT les révèle. Une partie est effaçable ou minimisable.

Préparer la réponse aux tentatives de social engineering. Si vous savez qu’un attaquant peut facilement trouver le nom de vos enfants, votre employeur précédent, et votre quartier de résidence, vous anticipez les prétextes plausibles qu’il pourrait utiliser et vous êtes moins susceptible de vous laisser prendre.

Les vecteurs de fuite involontaire

LinkedIn — le profil OSINT parfait

LinkedIn est conçu pour maximiser la visibilité professionnelle. Pour l’OSINT, c’est une mine.

Votre profil LinkedIn donne typiquement : nom complet, photo, poste actuel, historique des postes, formation, contacts visibles, dates de prise de poste (qui permettent d’inférer des dates d’anniversaire approximatives et des transitions importantes), intitulés de projets mentionnés, langues parlées, groupes rejoints.

En croisant les contacts LinkedIn d’une cible avec les profils de ses contacts, on peut reconstituer l’organigramme de son entreprise, identifier son manager et ses subordonnés, trouver les personnes qui la connaissent suffisamment pour servir de prétexte dans un appel de social engineering (“Bonjour, je suis un ami de Jean-Marc, il m’a dit de vous appeler directement…”).

Ce qu’on peut faire : réduire la visibilité du profil aux connexions, ne pas afficher ses contacts publiquement, éviter les détails opérationnels dans les descriptions de poste.

Photos avec EXIF — la géolocalisation cachée

Les photos prises par smartphone embarquent par défaut des métadonnées EXIF incluant : coordonnées GPS précises du lieu de prise, timestamp exact, modèle d’appareil photo, parfois altitude. Ces métadonnées survivent à l’upload sur de nombreuses plateformes.

Une série de photos publiées permet de cartographier vos déplacements, d’identifier votre domicile (si vous prenez des photos depuis chez vous), votre lieu de travail habituel, vos restaurants fréquentés, vos habitudes. Ce n’est pas théorique : des journalistes d’investigation ont retrouvé des personnes en protection en exploitant les EXIF de photos publiées sur des réseaux sociaux.

Vérification rapide : sur Mac, ouvrez une photo dans Aperçu, menu Outils → Afficher l’inspecteur, onglet GPS. Sur les appareils récents, les coordonnées y apparaissent clairement. Testez vos dix dernières photos publiées.

Anciens profils et forums — les fantômes numériques

Le vous d’il y a dix ans a peut-être posé des questions sur des forums médicaux, discuté de sa situation personnelle sur Reddit, vendu des objets sur des forums avec son numéro de téléphone. Ces traces existent toujours. Google les indexe souvent encore.

La particularité de ces traces anciennes : elles révèlent des informations que vous ne donneriez plus aujourd’hui — une adresse précédente, un véhicule, une situation familiale, des problèmes de santé. Ces informations peuvent servir à valider une identité (“vous avez bien habité au…”) ou à construire un prétexte crédible.

Documents PDF et Word publiés — les métadonnées oubliées

Un document Word ou PDF créé avec Microsoft Office ou LibreOffice contient par défaut : nom et prénom de l’auteur (depuis le compte utilisateur du système), organisation, date de création, date de modification, et parfois les modifications suivies (tout le texte supprimé lors des révisions est potentiellement récupérable).

Des prestataires ont publié des devis, des rapports, des présentations sur des sites clients ou en annexe de réponses à des appels d’offres publics, sans réaliser que ces fichiers contenaient des métadonnées identifiantes ou des versions intermédiaires du document avec des informations confidentielles.

Vérification : exiftool nom_du_fichier.pdf sur Linux/Mac (exiftool disponible via Homebrew) affiche toutes les métadonnées. Sur Windows, clic droit → Propriétés → Détails.

Enregistrements de domaines — le WHOIS historique

Si vous avez un jour enregistré un domaine sans privacy protection, votre nom, adresse, email et téléphone ont été publiquement enregistrés dans la base WHOIS. Même si vous avez depuis activé la privacy, des services d’historique WHOIS (DomainTools, ViewDNS) conservent les archives.

Petites annonces et ventes en ligne — l’identifiant avec numéro de téléphone

Une annonce Le Bon Coin avec prénom + ville + numéro de téléphone, croisée avec une recherche LinkedIn sur le prénom et la ville, donne souvent l’identité complète. Les annonces ne s’effacent pas toujours des caches Google même après suppression.

La méthodologie de cartographie OSINT

L’OSINT n’est pas une liste de recherches, c’est une méthode de graphe. On part d’une donnée de seed et on explore les connexions.

Point de départ typique : email professionnel. Depuis un email, on peut trouver :

• Quels services ont été créés avec cet email (via Holehe)
• Quels domaines sont enregistrés avec cet email (WHOIS)
• Quels forums ou sites affichent cet email publiquement (Google dorks : "email@domain.com")
• Quelles fuites de données contiennent cet email (Have I Been Pwned, Dehashed)

Extension du graphe : depuis les services trouvés, on trouve des pseudos. Depuis les pseudos, on cherche sur d’autres plateformes (Sherlock). Depuis les plateformes, on trouve des photos, des commentaires, des réseaux. Depuis les photos avec EXIF, on obtient des coordonnées. Depuis les coordonnées, on identifie une adresse. Depuis l’adresse, on cherche dans les registres et les annuaires.

En trois heures avec des outils standard, un investigateur compétent peut souvent relier email → pseudos → photo → adresse → numéro de téléphone → famille → employeur.

Outils pratiques pour l’audit défensif

Holehe (Python, open source) : envoie une requête de “mot de passe oublié” à des centaines de services en ligne avec votre email et retourne ceux qui reconnaissent l’adresse comme enregistrée. Permet de savoir exactement sur quels services votre email est enregistré, dont des services que vous avez oublié.

pip install holehe
holehe votre@email.com

Sherlock (Python, open source) : recherche un pseudo sur des centaines de plateformes simultanément. Passez tous vos pseudos actifs et anciens.

sherlock votre_pseudo

theHarvester (Python, open source) : agrège emails, noms, sous-domaines, IPs et URLs pour une organisation ou un nom de domaine depuis des moteurs de recherche, LinkedIn, etc. Utile si vous avez un domaine ou une organisation associée.

Spiderfoot (Python, open source) : automatise l’agrégation OSINT à partir d’une donnée de seed (email, nom, domaine, IP). Interface web disponible. Croise des dizaines de sources. Utile pour avoir une vue synthétique.

Maltego CE (version gratuite) : visualise les relations entre entités OSINT sous forme de graphe. Plus lent à utiliser mais très efficace pour comprendre les connexions entre données.

Have I Been Pwned (web, gratuit) : vérifie si votre email apparaît dans des bases de données de breaches publiques. Pour chaque breach, identifiez quelles données ont été exposées.

IntelTechniques (Michael Bazzell) : toolkit de recherche couvrant les principaux réseaux sociaux, les recherches d’images, les registres publics. Bazzell est un ancien agent du FBI, son podcast et ses outils sont référence dans la communauté.

Ce qu’on ne peut pas effacer

Le droit à l’oubli (RGPD, article 17) existe en théorie. En pratique, son application est laborieuse, incomplète, et de nombreux opérateurs de données résistent ou sont hors juridiction européenne.

Ce qui persiste quoi qu’il arrive : les archives Wayback Machine (archive.org indexe les pages web depuis 1996 et n’accepte pas les demandes de suppression arbitraires), les caches Google et Bing (délais de mise à jour mesurés en semaines à mois), les bases de données de breaches (une fois exfiltrées et redistribuées, les données circulent indépendamment de toute procédure légale), les archives WHOIS tierces, les captures faites par d’autres utilisateurs et republées.

Le droit à l’oubli permet de réduire l’indexation. Il ne supprime pas les données.

Ce qu’on peut minimiser

Désactiver EXIF sur photos avant publication. Sur iOS : Réglages → Confidentialité → Services de localisation → Appareil photo → Jamais. Sur Android, variante selon le fabricant mais l’option est dans les paramètres de l’appareil photo. Alternativement, striper les métadonnées avant upload avec ExifTool ou Scrambled Exif (app Android).

Fermer les anciens comptes. Chaque service en ligne que vous n’utilisez plus est un vecteur de fuite potentiel (breach futur, données historiques, email public). Fermez-les méthodiquement.

WHOIS privacy sur vos domaines. Si vous avez ou gérez des domaines, activez la protection WHOIS (gratuit ou quelques euros/an chez la plupart des registrars). Cela masque vos informations dans les requêtes WHOIS futures mais ne supprime pas l’historique.

Retirer le numéro de téléphone des profils publics. LinkedIn, forums, signatures email — votre numéro de téléphone dans ces espaces est un identifiant croisable.

Bloquer les exports LinkedIn. Réglages LinkedIn → Visibilité → Visibilité de votre profil et de votre réseau → Choisissez les données exportées. Limitez ce que les tiers peuvent récupérer via l’API ou le scraping.

Erreurs qu’on voit tout le temps

Ne chercher que son nom. Les pseudos, les emails secondaires, le nom de l’entreprise, les noms de domaine — ce sont autant de seeds OSINT qui mènent à votre profil.

Oublier les documents PDF publiés. Des dizaines de documents professionnels publiés sur des sites clients contiennent des métadonnées identifiantes. C’est systématiquement ignoré.

Photos avec géolocalisation activée. La grande majorité des personnes n’ont jamais vérifié si leurs photos publiées contiennent des coordonnées GPS.

Ne pas vérifier Have I Been Pwned. Si votre email apparaît dans des breaches avec mot de passe, il circule probablement sur des listes de credential stuffing. Si les mots de passe sont réutilisés, c’est une urgence.

Sous-estimer les traces de gaming. Les comptes Steam, Twitch, Discord avec pseudos anciens, parfois liés à des emails personnels, rarement vérifiés lors d’un audit de surface.

• N1 Faire une recherche OSINT sur son nom complet + pseudos principaux sur Google
• N1 Vérifier ses emails sur Have I Been Pwned
• N1 Vérifier les EXIF des 10 dernières photos publiées en ligne
• N2 Désactiver la géolocalisation dans l'application photo du smartphone
• N2 Passer Holehe sur ses adresses email principales et secondaires
• N2 Passer Sherlock sur ses pseudos actifs et anciens
• N2 Auditer et fermer les comptes inactifs identifiés
• N2 Retirer le numéro de téléphone des profils publics LinkedIn et forums
• N2 Vérifier les métadonnées des documents PDF/Word publiés sur des sites tiers
• N3 Activer WHOIS privacy sur ses domaines
• N3 Mettre en place une alerte Google sur son nom et ses pseudos
• N3 Faire tourner Spiderfoot sur son email et son nom pour une vue agrégée