OSINT : techniques, outils et méthodologie complète

L'OSINT (Open Source INTelligence) désigne le renseignement collecté à partir de sources publiques et légalement accessibles. Utilisé par les enquêteurs, les pentesters, les journalistes et les services de sécurité, il permet de cartographier une cible sans jamais toucher ses systèmes. Ce guide couvre la méthodologie, les techniques et les outils utilisés par les professionnels.

Qu'est-ce que l'OSINT ?

L'OSINT couvre toute information obtenue de sources ouvertes : Internet public, réseaux sociaux, registres officiels, bases de données publiques, archives, métadonnées de fichiers, images satellites. La limite est simple : si l'information est accessible sans contourner une mesure de sécurité, elle est OSINT.

• Internet public — sites web, forums, blogs, actualités
• Réseaux sociaux — Twitter/X, LinkedIn, Instagram, GitHub, Reddit
• Registres officiels — WHOIS, registres de sociétés (Infogreffe, OpenCorporates)
• Bases de données de fuites — Have I Been Pwned, breach compilations
• Certificats SSL — crt.sh expose tous les sous-domaines enregistrés
• Moteurs de recherche spécialisés — Shodan, Censys, Fofa (IoT & services exposés)
• Archives web — Wayback Machine, Common Crawl
• Métadonnées — EXIF photos, documents PDF, fichiers Office

Le cycle du renseignement OSINT

Une investigation OSINT professionnelle suit un cycle structuré en 5 phases, inspiré du cycle du renseignement militaire.

1. 1Planification — définir l'objectif, le périmètre et les questions auxquelles répondre
2. 2Collecte — rassembler les données brutes depuis les sources identifiées
3. 3Traitement — normaliser, déduire les doublons, structurer les données
4. 4Analyse — croiser les informations, identifier les connexions et patterns
5. 5Diffusion — produire un rapport structuré avec les findings et leur fiabilité

Techniques de reconnaissance — Personnes

Recherche de pseudonymes

Retrouver tous les comptes associés à un pseudo est l'une des techniques les plus utiles en OSINT. Sherlock et WhatsMyName automatisent cette recherche sur des centaines de plateformes.

# Sherlock — recherche de pseudo sur 300+ plateformes
pip install sherlock-project
sherlock azuka

# WhatsMyName — alternative avec plus de sources
# https://whatsmyname.app (interface web) ou CLI

# Maigret — Sherlock amélioré avec données supplémentaires
pip install maigret
maigret azuka --all-sites

Recherche par email

Holehe vérifie si une adresse email est enregistrée sur des dizaines de services (sans envoyer d'email). Hunter.io permet de trouver les emails professionnels associés à un domaine.

# Holehe — vérifier l'utilisation d'un email sur des services
pip install holehe
holehe target@email.com

# theHarvester — emails, sous-domaines, IPs depuis sources publiques
pip install theHarvester
theHarvester -d exemple.com -b google,bing,linkedin,twitter

# Intelligence X — moteur de recherche OSINT avancé
# https://intelx.io — breaches, darkweb, pastebins

Vérification de fuites de données

Avant tout autre chose, vérifiez si la cible apparaît dans des fuites de données connues. Have I Been Pwned est la référence gratuite.

• Have I Been Pwned — vérification d'email dans 700+ fuites connues
• Intelligence X — fuites, darkweb, pastebins, archives
• Phonebook.cz — emails, domaines, URLs dans les fuites
• DeHashed — moteur de recherche de données compromises (payant, très complet)

Techniques de reconnaissance — Infrastructures

Shodan : le moteur de recherche des objets connectés

Shodan indexe en permanence tous les services exposés sur Internet : serveurs web, bases de données, caméras IP, routeurs, industriels (SCADA). C'est l'outil le plus puissant pour cartographier l'exposition d'une organisation.

# Recherches Shodan utiles (interface web ou API)

# Trouver tous les serveurs d'une organisation
org:"Example Corp"

# Services exposés sur un ASN
asn:AS12345

# Caméras IP sans authentification
has_screenshot:true port:554

# Bases de données MongoDB sans auth
product:MongoDB port:27017

# Panneaux admin Jenkins exposés
http.title:"Dashboard [Jenkins]"

# Clés privées exposées dans des fichiers
http.html:"BEGIN RSA PRIVATE KEY"

# Via l'API Python
pip install shodan
shodan search 'org:"Example Corp"' --fields ip_str,port,hostnames

Censys et Fofa : alternatives à Shodan

Censys offre une vue plus détaillée des certificats SSL et des configurations TLS. Fofa (chinois) indexe de nombreux services non couverts par Shodan, particulièrement en Asie.

Reconnaissance DNS et sous-domaines

# Enumération passive via crt.sh (certificats SSL)
curl "https://crt.sh/?q=%.exemple.com&output=json" | jq -r '.[].name_value' | sort -u

# DNSDumpster — cartographie DNS visuelle
# https://dnsdumpster.com

# Subfinder — énumération passive multi-sources
subfinder -d exemple.com -o subdomains.txt

# Résolution massive de sous-domaines
cat subdomains.txt | dnsx -a -cname -resp

# BGP & ASN lookup
curl https://api.bgpview.io/search?query_term=exemple.com | jq .

Analyse d'URLs et de domaines suspects

urlscan.io analyse une URL dans un navigateur sandboxé et capture les requêtes réseau, scripts chargés, screenshots et connexions. Idéal pour analyser un lien de phishing en toute sécurité.

• urlscan.io — analyse complète d'URL (réseau, scripts, screenshot)
• VirusTotal — scan d'URL/fichier sur 70+ moteurs antivirus
• AbuseIPDB — réputation d'une IP (signalements d'abus)
• BGP.he.net — informations ASN, préfixes IP, peering
• Shodan — services exposés sur une IP cible

Outils OSINT tout-en-un

Maltego : cartographie visuelle des relations

Maltego est l'outil de référence pour visualiser les relations entre entités (personnes, domaines, IPs, organisations). Il se connecte à des dizaines de sources de données via des « transforms » et permet de construire des graphes relationnels complexes.

• Version Community gratuite disponible (limitée en nombre de résultats)
• Transforms officiels : Shodan, VirusTotal, Have I Been Pwned, etc.
• Visualisation graphique des relations entre entités
• Export en rapport ou image pour la documentation

SpiderFoot : automatisation OSINT

SpiderFoot automatise la collecte OSINT depuis plus de 200 sources. Il suffit de donner une cible (IP, domaine, email, nom) et il cartographie tout automatiquement.

# SpiderFoot HX (open-source)
pip install spiderfoot
sf.py -l 127.0.0.1:5001

# Interface web sur http://127.0.0.1:5001
# Nouveau scan → entrer la cible → sélectionner les modules → lancer

# Ou en ligne de commande
sf.py -s exemple.com -m sfp_shodan,sfp_dns,sfp_whois -o json

Recon-ng : framework modulaire

Recon-ng est un framework d'OSINT modulaire inspiré de Metasploit. Il permet d'enchaîner des modules de reconnaissance et de stocker les résultats dans une base de données locale.

# Recon-ng workflow
recon-ng
[recon-ng] > workspaces create exemple_com
[recon-ng][exemple_com] > marketplace install recon/domains-hosts/hackertarget
[recon-ng][exemple_com] > modules load recon/domains-hosts/hackertarget
[recon-ng][exemple_com][hackertarget] > options set SOURCE exemple.com
[recon-ng][exemple_com][hackertarget] > run
[recon-ng][exemple_com] > show hosts

OSINT sur les réseaux sociaux

Twitter/X et LinkedIn

Les réseaux sociaux professionnels révèlent des informations précieuses : organigrammes, technologies utilisées, prestataires, déplacements, projets en cours.

• LinkedIn — employés, postes, technologies mentionnées dans les offres d'emploi
• Twitter/X — mentions de l'organisation, fuites accidentelles d'infos internes
• GitHub — code source public, tokens accidentellement commités, emails de développeurs
• Instagram/Facebook — localisation, relations, habitudes (ingénierie sociale)

# Rechercher des secrets dans les dépôts GitHub publics
# GitDorker — recherche de secrets dans GitHub
python3 gitdorker.py -tf tokens.txt -q exemple.com -d dorks/BHIS_combined_dorks.txt

# Truffelhog — secrets dans l'historique git
trufflehog github --org=exemple-org

# Gitleaks — audit de dépôt local
gitleaks detect --source . --report-format json

Analyse de métadonnées

Les fichiers publiés (PDF, Word, photos) contiennent souvent des métadonnées révélatrices : auteur, logiciel utilisé, chemin réseau, coordonnées GPS.

# ExifTool — extraction de métadonnées (images, PDF, Office...)
exiftool photo.jpg
exiftool -GPS:all photo.jpg  # Coordonnées GPS uniquement

# FOCA (Windows) — extraction automatique depuis un domaine
# Télécharge tous les docs publiés et extrait les métadonnées

# Metagoofil — télécharger et analyser les docs publics d'un domaine
metagoofil -d exemple.com -t pdf,doc,xls -l 20 -n 10 -o output/

OpSec : rester discret pendant une investigation

Toute requête laisse une trace. Si vous enquêtez sur une cible qui surveille ses accès, vos recherches peuvent vous trahir.

• Utiliser un VPN ou Tor pour les recherches actives (ne jamais requêter Shodan depuis votre IP personnelle)
• Créer des comptes de travail dédiés (sock puppet) pour les recherches sur réseaux sociaux
• Ne jamais visiter directement les sites de la cible — utiliser des caches (Wayback, Google Cache, urlscan.io)
• Documenter sans interagir — une vue de profil LinkedIn peut alerter la cible
• Utiliser des machines virtuelles dédiées à l'investigation

Ressources OSINT indispensables

• OSINT Framework — arbre interactif de tous les outils OSINT par catégorie
• Awesome OSINT — liste exhaustive de ressources OSINT sur GitHub
• Bellingcat — guides et investigations OSINT de référence (journalisme)
• SANS OSINT Summit — conférences et webinaires OSINT professionnels
• IntelTechniques — méthodes et outils par Michael Bazzell (référence absolue)