SHIELD

Identité et comptes

OSINT défensif : ce que vous laissez fuiter

Utiliser les outils du renseignement offensif sur soi-même pour anticiper ce qu'un adversaire verra en 2 heures.

Publié le 16 min de lecture Exposé

Dernière revue:

Loupe sur fond de données numériques

« Il n’y a rien sur moi en ligne », me dit le client en ouvrant la réunion. Deux heures plus tard, sur l’écran du projecteur, j’affiche sa résidence secondaire, le prénom de ses deux enfants, son ancien numéro de portable de 2014 encore actif sur un compte oublié, et la photo de son bureau prise depuis sa fenêtre — avec les coordonnées GPS dans les métadonnées. Il n’a pas dit un mot pendant trente secondes. Ce n’est pas qu’il mentait. Il ne savait pas ce qu’il ne savait pas.

Angle de lecture

Le piège habituel

La plupart des gens confondent deux choses qui n’ont rien à voir : « rien ne ressort quand je tape mon nom dans Google » et « rien n’est trouvable par quelqu’un qui sait chercher ». Le premier est une vue filtrée, ordonnée par un algorithme conçu pour la pertinence commerciale et la fraîcheur, qui vous montre ce que vous avez intentionnellement publié et ce qui a généré de l’engagement. Le second est le travail d’un investigateur qui part d’une donnée de départ et tire le fil jusqu’à reconstituer un profil. Ces deux activités ne se ressemblent même pas.

Le discours dominant sur le sujet tient en deux conseils : « supprimez-vous de Google » et « faites une demande de droit à l’oubli ». Les deux sont des illusions confortables. Le déréférencement GoogleRenseignement à partir de sources ouvertes (publiques) : réseaux sociaux, registres, archives. EU retire un résultat de l’index européen — la page source existe toujours, l’archive existe toujours, le moteur américain l’affiche toujours, et l’attaquant qui sait chercher ne passe de toute façon pas par la première page de Google. Quant au RGPDRèglement européen 2016/679 sur la protection des données personnelles, applicable depuis mai 2018. article 17, il a une portée réelle mais limitée, soumise à des exceptions étendues, et aucune prise sur les bases de données de fuites ni sur les acteurs hors juridiction.

Il y a une troisième illusion, plus pernicieuse : « je n’ai rien à cacher, donc je n’ai rien à craindre ». Elle confond deux questions distinctes. La question n’est pas de savoir si vos informations sont honteuses — elles ne le sont presque jamais. La question est de savoir si leur agrégation donne à un adversaire de quoi vous cibler. Votre adresse, le prénom de vos enfants, votre trajet quotidien, le nom de votre banquier : aucune de ces données n’est secrète, et leur combinaison est précisément ce qui rend une attaque possible. Le danger n’est pas dans le secret violé, il est dans le recoupement.

L’OSINTRenseignement à partir de sources ouvertes (publiques) : réseaux sociaux, registres, archives. défensif renverse complètement la logique. Au lieu d’essayer d’effacer, vous faites vous-même ce que ferait un adversaire — avant lui, avec ses outils, dans son état d’esprit. L’objectif n’est pas de « disparaître » : c’est de savoir précisément ce qu’un attaquant compétent verra de vous en deux heures, et de transformer cette connaissance en décisions. Vous ne pouvez pas défendre une surface d’attaque que vous n’avez jamais regardée. Et la bonne nouvelle, qui surprend toujours mes clients : la majeure partie de cette surface se réduit avec des gestes gratuits et rapides — couper une géolocalisation, fermer trois comptes morts, nettoyer des métadonnées. Le coûteux, c’est l’ignorance, pas la remédiation.

Le modèle de menace réel : ce qu’un adversaire reconstitue en deux heures

L’OSINT n’est pas une liste de recherches Google. C’est une méthode de graphe : on part d’une donnée de départ — un nom, une adresse mail, un pseudo — et on explore les arêtes qui relient cette donnée à d’autres. Chaque nouvelle donnée devient un nouveau point de départ. Le profil se construit par accumulation et recoupement, pas par une requête magique.

Voici le déroulé typique d’un exercice de reconnaissanceRenseignement à partir de sources ouvertes (publiques) : réseaux sociaux, registres, archives. sur une personne identifiée, tel que je le pratique en mission. Point de départ : une adresse mail professionnelle. Depuis cette adresse, des outils comme Holehe testent silencieusement quelques centaines de services en ligne pour identifier lesquels reconnaissent l’adresse comme un compte existant — sans jamais alerter la cible. On découvre ainsi des comptes oubliés : un vieux forum, une plateforme de covoiturage, un service de stockage, un site de rencontres. Chacun de ces comptes porte souvent un pseudo. Deuxième saut : du mail aux pseudos. Avec Sherlock, on cherche ce pseudo sur plusieurs centaines de plateformes simultanément. Un pseudo réutilisé depuis quinze ans relie le compte GitHub professionnel au compte gaming d’adolescent, au forum de passionnés d’aviation, au compte de discussion sur un problème de santé posté anonymement — sauf que l’anonymat ne tient pas quand le pseudo est le même partout.

Troisième saut : des comptes aux contenus. Les comptes contiennent des photos, des commentaires, des dates, des lieux. C’est là que les métadonnéesDonnées sur les données : qui a écrit quoi, quand, où, à qui. entrent en jeu. Une photo prise au smartphone embarque par défaut des données EXIFMétadonnées attachées aux images : date, GPS, modèle d'appareil, paramètres de prise de vue. : coordonnées GPS précises, horodatage à la seconde, modèle d’appareil. Ces métadonnées survivent à l’upload sur de nombreuses plateformes et dans les pièces jointes mail. Une série de photos publiées cartographie un domicile, un lieu de travail, des habitudes, un emploi du temps. Quatrième saut : les fuites. En parallèle, on passe l’adresse mail dans Have I Been PwnedService public gratuit de Troy Hunt qui indexe les emails compromis dans les breaches publiques. et dans les bases de fuitesService qui indexe les données issues de breaches publiques ou semi-publiques. payantes (DeHashed, Intelligence X). On y trouve d’anciens mots de passe en clair, des numéros de téléphone associés, parfois une adresse postale. Un mot de passe de 2014 réutilisé avec une variation minime devient une clé.

Au bout de la chaîne — mail → comptes → pseudos → photos → coordonnées GPS → adresse → numéro de téléphone → entourage → employeur — l’investigateur dispose d’un dossier qui aurait nécessité une filature physique il y a vingt ans. Le tout en deux heures, depuis un fauteuil, pour quelques centaines d’euros de prestation. Et ce dossier n’est pas une fin : c’est la matière première d’une attaque. Le social engineeringManipulation humaine pour obtenir des informations ou des actions, contournant les défenses techniques. sérieux ne commence pas par un exploit technique, il commence par cette reconnaissance. Le prétexte crédible — « Bonjour, je suis un collègue de Jean-Marc, il m’a demandé de vous appeler directement à propos du dossier de Lyon » — se construit entièrement à partir de ce que l’OSINT a révélé.

Les sources que personne ne pense à inclure

Quand je liste avec un client les endroits où il est exposé, il cite spontanément LinkedIn, Facebook, peut-être Twitter. Il oublie systématiquement les couches qui font le vrai travail d’un investigateur. Les registres publics d’abord : en France, Pappers et Infogreffe rendent consultables le registre du commerce — vos mandats sociaux, les sociétés où vous avez été dirigeant, leurs adresses, parfois votre rémunération si la société était cotée ; le BODACC publie les annonces légales, jugements et procédures collectives. Ces données ne sont pas une fuite, elles sont publiques par obligation légale, et le RGPD n’y a aucune prise. Pour un dirigeant, elles cartographient une vie professionnelle complète en quelques minutes.

Les archives ensuite. La Wayback MachineArchive web de l'Internet Archive, qui capture les pages depuis 1996. capture des pages web depuis 1996 : votre site personnel hébergé chez un fournisseur gratuit en 2009, votre profil LinkedIn de 2013 quand vous étiez consultant junior, le forum sur lequel vous postiez sous votre vrai nom à vingt-deux ans — tout reste consultable. archive.today permet à n’importe qui de figer un snapshot permanent d’une page, sans mécanisme officiel de retrait. Supprimer la page source ne supprime pas l’archive.

Le WHOIS historique enfin, un angle mort classique. Si vous avez un jour enregistré un nom de domaine sans protection de confidentialité, votre nom, votre adresse, votre mail et votre téléphone ont été inscrits dans la base WHOIS publique. Activer la protection plus tard ne supprime rien : des services d’historique comme DomainTools ou ViewDNS conservent les enregistrements antérieurs. J’ai retrouvé l’adresse personnelle d’un dirigeant via un domaine qu’il avait réservé pour le blog de son épouse en 2011, et abandonné depuis.

L’investigateur ne se contente pas de collecter : il recoupe. Une adresse trouvée dans un WHOIS de 2011 confirme une zone géographique déduite d’une photo géolocalisée de 2022. Un employeur listé sur LinkedIn valide un mail professionnel trouvé via Holehe. Un pseudo de gaming relie un compte « anonyme » sur un forum à l’identité civile. Chaque recoupement augmente la confiance et réduit le bruit. C’est la différence entre une liste de données éparses et un dossier exploitable.

La bonne approche : l’audit OSINT comme routine, pas comme panique

La bascule pragmatique tient en une phrase : vous ne vous effacez pas, vous vous auditez. L’effacement total est impossible et le poursuivre épuise des ressources pour un résultat médiocre. L’audit, lui, est faisable, répétable, et produit des décisions concrètes. La bonne posture n’est pas « tout supprimer », c’est « savoir ce qui est exposé, et décider pour chaque chose ce que j’en fais ».

Concrètement, un audit défensif suit la même logique de graphe que l’attaque, mais retournée vers vous-même. Vous listez d’abord vos données de départ : noms et variantes (nom de naissance, nom marital, surnoms professionnels), adresses mail actuelles et historiques, pseudos actuels et anciens, numéros de téléphone, noms de domaine que vous avez enregistrés. Vous passez ensuite chaque donnée dans les outils : Holehe sur les mails pour trouver les comptes oubliés, Sherlock sur les pseudos pour trouver les plateformes, Have I Been Pwned sur les mails pour les fuites, ExifTool sur vos propres photos et documents publiés pour les métadonnées. Vous croisez, vous notez, vous construisez votre propre graphe d’exposition. Aucun de ces outils n’est réservé aux professionnels : Holehe, Sherlock et ExifTool sont open source et gratuits, Have I Been Pwned est public.

Vient ensuite la décision, qui est la partie qui compte vraiment. Pour chaque exposition identifiée, vous tranchez entre quatre options. Muter : changer la donnée sous-jacente — fermer un compte et en recréer un sous une identité compartimentée, faire tourner une adresse mail. Retirer : supprimer le contenu, désactiver le compte, demander le déréférencement quand il a un sens. Réduire : passer un profil en privé, retirer un numéro de téléphone d’une page publique, désactiver le partage GPS d’une application. Accepter : assumer une exposition inévitable (vos mandats sociaux au registre du commerce, par exemple) en préparant la réponse au cas où elle serait exploitée. La discipline n’est pas dans l’exhaustivité du nettoyage — elle est dans la régularité de l’audit. Un dirigeant exposé devrait refaire l’exercice tous les trimestres ; un particulier, une fois par an suffit largement.

Une nuance opérationnelle souvent ignorée : faites-vous auditer par un tiers, au moins une fois. Vous avez un angle mort sur vous-même. Vous savez quels comptes vous avez « voulu » fermer, vous ne savez pas lesquels existent réellement encore. Un investigateur externe, sans a priori, trouvera des choses que vous avez oubliées avoir publiées. C’est le même principe qu’un pentest : on ne s’audite pas soi-même pour de vrai.

Un mot sur la légalité et l’hygiène de l’exercice

Faire de l’OSINT sur soi-même ne pose aucun problème : ce sont vos données, vos comptes, vos sources ouvertes. La frontière se déplace dès que l’exercice porte sur quelqu’un d’autre — vos dirigeants, par exemple. Un audit OSINT mandaté par l’organisation sur ses propres cadres doit être encadré par un mandat écrit, un périmètre défini, et le consentement éclairé des personnes concernées. On ne fouille pas l’exposition d’un collaborateur à son insu ; on lui explique l’objectif défensif, on recueille son accord, et on lui restitue le dossier pour qu’il agisse. Le prestataire tiers travaille en sources ouvertes uniquement : pas d’accès à des comptes, pas de contournement d’authentification, pas d’achat de données volées. La ligne est nette entre consulter une fuite déjà publique pour mesurer son exposition, et acquérir des données illégalement — la première démarche est défensive, la seconde est un délit.

Côté hygiène, deux réflexes. D’abord, journalisez votre audit : tenez une feuille de suivi par exposition trouvée, avec la décision prise (muter, retirer, réduire, accepter) et la date. C’est ce document qui transforme un coup de panique ponctuel en routine mesurable, et qui permet de comparer d’un trimestre à l’autre. Ensuite, menez l’audit depuis un environnement propre : un navigateur dédié, déconnecté de vos comptes, idéalement sur un profil séparé, pour ne pas polluer vos résultats avec vos propres sessions actives et pour voir réellement ce qu’un tiers voit — et non ce que les plateformes vous montrent parce qu’elles savent que c’est vous.

Ce que ça implique concrètement

Angle de lecture

Pour vous, en tant que personne

Vos métadonnées sont votre angle mort le plus accessible et le plus vite corrigé. Vos photos LinkedIn et Twitter contiennent peut-être des coordonnées GPS. Vos documents PDF et Word partagés contiennent peut-être votre nom complet d’auteur et l’historique des révisions. Tout ça se règle en quelques minutes, sans budget.

Vos trois priorités, cette semaine, pour moins de 200 € (souvent 0 €) :

  1. Vérifiez vos métadonnées EXIF, puis coupez-les à la source. Installez ExifTool (gratuit, brew install exiftool sur Mac, paquet libimage-exiftool-perl sur Linux) et lancez exiftool ~/Desktop/ma-photo.jpg sur vos dix dernières photos publiées : cherchez les lignes GPS Latitude et GPS Longitude. Sur smartphone, coupez ensuite la géolocalisation de l’appareil photo (iOS : Réglages → Confidentialité → Service de localisation → Appareil photo → Jamais ; Android : paramètres de l’app Appareil photo, désactiver les balises de lieu). Coût : zéro.

  2. Faites le tour de vos comptes oubliés et de vos fuites. Passez vos adresses mail principale et secondaires dans Have I Been Pwned. Pour chaque fuite contenant un mot de passe encore en usage : changez-le immédiatement, partout. Puis lancez Holehe sur vos adresses pour redécouvrir les comptes que vous aviez oubliés, et fermez ceux qui ne servent plus. Coût : zéro.

  3. Auditez vos applications qui partagent une position. Montre de sport, application de course, de cyclisme, de marche : vérifiez que le profil n’est pas public et que vos parcours ne partent pas de votre porte d’entrée. Désactivez le partage public, ou définissez une « zone de confidentialité » autour de votre domicile dans les réglages de l’app. C’est le piège qui m’a permis de localiser un dirigeant en une heure. Coût : zéro.

Pour vous, RSSI / DSI / dirigeant

1. Commandez un exercice OSINT offensif sur vos 3 à 5 dirigeants les plus exposés. Un prestataire tiers, mandaté par écrit, produit le dossier qu’un attaquant produirait : exposition mail, comptes personnels, métadonnées, registres, entourage cartographié, scénarios de prétexte plausibles. Le livrable n’est pas un rapport de conformité, c’est une carte d’attaque. Conséquence directe : vous connaissez votre exposition réelle avant votre adversaire, et vous priorisez les remédiations sur des faits, pas sur des hypothèses. C’est l’un des meilleurs ratios coût/renseignement de tout votre budget sécurité.

2. Intégrez l’exposition externe des personnes-clés à votre threat modelRenseignement à partir de sources ouvertes (publiques) : réseaux sociaux, registres, archives., pas seulement votre périmètre technique. Votre EDR, votre SIEM, votre firewall ne voient rien de la reconnaissance qui se déroule sur LinkedIn, dans les fuites et les registres publics. Le maillon d’entrée d’une attaque ciblée est presque toujours une personne, reconstituée par OSINT. Conséquence directe : un audit d’exposition annuel sur le COMEX et les fonctions sensibles (juridique, M&A, R&D, finance, assistanat de direction) devient aussi structurant qu’un pentest applicatif, et il alimente directement votre programme de sensibilisation ciblée.

3. Traitez les métadonnées documentaires comme une fuite organisationnelle, pas comme un détail individuel. Vos équipes publient des devis, des rapports, des réponses à appels d’offres, des PDF sur le site corporate — souvent avec le nom de l’auteur, le chemin du fichier interne, et parfois des révisions récupérables. Conséquence directe : un nettoyage systématique des métadonnées avant publication externe (script de strip dans la chaîne de publication, ou contrôle manuel pour les documents sensibles) ferme un vecteur de reconnaissance que personne ne surveille. C’est une mesure à coût quasi nul et à valeur défensive disproportionnée.

Erreurs qu’on voit tout le temps

  • Ne chercher que son nom. Le nom est la donnée de départ la plus pauvre. Les pseudos, les adresses mail secondaires, les noms de domaine, le nom de l’entreprise sont des points d’entrée bien plus productifs pour un investigateur — et donc pour votre audit.
  • Croire que supprimer un post efface l’information. La Wayback MachineArchive web de l'Internet Archive, qui capture les pages depuis 1996., archive.today, les caches des moteurs et les republications par des tiers conservent ce que vous avez retiré. Supprimer réduit la visibilité, ça n’efface pas.
  • Oublier les métadonnées des documents. Des dizaines de PDF professionnels publiés contiennent le nom de l’auteur, l’organisation, et parfois des versions intermédiaires récupérables. C’est systématiquement négligé, par les particuliers comme par les organisations.
  • Sous-estimer les traces de gaming et de sport. Steam, Discord, Twitch, et surtout les plateformes de partage d’activité sportive : pseudos anciens liés à des mails personnels, parcours GPS publics, rarement vérifiés lors d’un audit de surface.
  • Confondre « profil discret » et « profil compartimenté ». Publier peu ne protège pas si le peu que vous publiez relie vos identités entre elles. La protection vient de la séparation des identités par usageEntreprise qui collecte, agrège et revend des données personnelles à grande échelle., pas du silence.
  • Faire l’audit une fois et considérer le sujet clos. Votre exposition est vivante : nouveaux comptes, nouvelles fuites, nouvelles publications. Un audit isolé périme en quelques mois.

Checklist actionnable

  • N1 Lister ses données de départ : noms et variantes, mails actuels et historiques, pseudos actuels et anciens, numéros de téléphone, domaines
  • N1 Vérifier ses adresses mail sur Have I Been Pwned, et changer immédiatement tout mot de passe encore en usage apparaissant dans une fuite
  • N1 Lancer ExifTool sur ses 10 dernières photos publiées et vérifier les champs GPS Latitude / GPS Longitude
  • N2 Couper la géolocalisation dans l'application appareil photo du smartphone
  • N2 Vérifier que les applications de sport (montre, course, vélo) ne partagent pas de parcours publics partant du domicile
  • N2 Passer Holehe sur ses adresses mail pour redécouvrir et fermer les comptes oubliés
  • N2 Passer Sherlock sur ses pseudos actifs et anciens, et nettoyer les comptes reliant les identités entre elles
  • N2 Vérifier et nettoyer les métadonnées des documents PDF/Word publiés sur des sites tiers
  • N2 Retirer le numéro de téléphone des profils publics (LinkedIn, forums, signatures, annonces)
  • N3 Mettre en place une alerte sur son nom et ses pseudos principaux
  • N3 Pour profil exposé : commander un exercice OSINT offensif par un tiers et mesurer le temps de reconstitution
  • N3 Pour organisation : intégrer l'exposition externe du COMEX au threat model et au tableau de bord trimestriel

Pour aller plus loin

Les références structurantes figurent dans le frontmatter de cet article. Pour la méthode et l’outillage, l’OSINT Framework cartographie les outils par type de donnée, le Bellingcat Online Investigation Toolkit est la boîte à outils des enquêteurs de référence, et l’ouvrage Open Source Intelligence Techniques de Michael Bazzell — ancien du FBI — reste le manuel le plus complet, mis à jour régulièrement. Pour l’outillage défensif immédiat : la documentation d’ExifTool pour les métadonnées, et Have I Been Pwned pour le suivi de vos fuites.

Pour le cadrage stratégique qui donne tout son sens à cet audit, voir Vos données sont déjà publiques et L’audit d’exposition. Pour transformer l’exposition cartographiée en architecture défensive, voir Compartmentation d’identité. Et pour comprendre comment ces données alimentent une attaque concrète, SIM swap et Dirigeant exposé.

Sources et lectures complémentaires

Articles liés