SHIELD

Réalité de l'exposition

L'audit d'exposition : 2 heures pour cartographier ce qui fuite

Méthode pas à pas pour inventorier ce qui est déjà public sur vous. Outils gratuits, ordre de priorité, décisions à prendre.

Publié le 15 min de lecture Général

Dernière revue:

Serveurs de données en rangées dans un datacenter

Un avocat en M&A me demande, entre deux cafés, ce qu’on pourrait trouver sur lui en deux heures. Je pose un chrono. Deux heures plus tard, il a sous les yeux son adresse de domicile de 2019, trois anciens numéros de portable, la liste exhaustive de ses mandats depuis 2012, et un dump qui contient son mot de passe Gmail de l’époque, en clair. Il a blêmi. Il ne savait pas. Personne ne sait, avant de regarder.

Angle de lecture

Le piège habituel

Le réflexe, quand on s’inquiète de sa visibilité en ligne, c’est de taper son nom dans Google et de faire défiler trois pages de résultats. On tombe sur son profil LinkedIn, un vieil article de presse, peut-être une photo de soirée. On se rassure : « finalement, il n’y a pas grand-chose ». C’est exactement le faux sentiment de sécurité qui vous coûtera cher. Google ne vous montre qu’une fraction infime de ce qui existe — l’index de surface, celui qui est public, légal et indexable. Tout le reste — les bases de fuites, les courtiers en données, les registres légaux, les archives, les métadonnées — n’apparaît jamais sur cette première page.

Le second piège, c’est de croire qu’un outil unique suffit. « J’ai vérifié HIBPService public gratuit de Troy Hunt qui indexe les emails compromis dans les breaches publiques., je suis clean. » Non. Have I Been PwnedService public gratuit de Troy Hunt qui indexe les emails compromis dans les breaches publiques. indexe des fuites publiques et confirmées. Il ne voit pas les dumps privés qui circulent sur des forums fermés, ni les agrégats vendus par les data brokersEntreprise qui collecte, agrège et revend des données personnelles à grande échelle., ni les bases que des acteurs gardent pour eux. Un seul outil donne une seule vue. Votre exposition réelle est la somme de dizaines de sources hétérogènes, et aucune n’a la photo complète.

Le troisième piège est méthodologique. La recherche improvisée — « je tape mon nom et je vois ce qui sort » — produit du bruit, pas du renseignement. Vous ne savez pas quand vous avez fini, vous ne pouvez pas comparer dans six mois, vous oubliez la moitié de vos anciennes adresses. Un audit, c’est l’inverse : une méthode reproductible, bornée dans le temps, qui couvre des couches définies et produit un livrable — un tableau d’exposition. La différence entre « googler » et « auditer », c’est la différence entre regarder par la fenêtre et faire l’inventaire de la maison.

Pourquoi « auditer » et pas juste « googler »

Posons un chiffre pour fixer l’ordre de grandeur : ce que Google vous renvoie représente, pour un profil moyennement actif, environ un millième de ce qu’un enquêteur déterminé peut reconstituer. Ce n’est pas de la paranoïa, c’est de l’arithmétique de surface. Le moteur indexe ce qui est public, vivant et autorisé au crawl. Il n’indexe pas les bases de fuites (illégales à diffuser, donc cachées), ni les registres qui exigent une recherche structurée par identifiant, ni les pages mortes que seule la Wayback MachineArchive web de l'Internet Archive, qui capture les pages depuis 1996. a conservées, ni les métadonnées planquées dans vos fichiers. Vous googlez la vitrine. L’audit ouvre l’arrière-boutique.

L’audit d’exposition est, dans le fond, un exercice d’OSINTRenseignement à partir de sources ouvertes (publiques) : réseaux sociaux, registres, archives. retourné contre soi-même. Vous adoptez la posture de l’adversaire : recruteur trop curieux, concurrent, journaliste, ex-conjoint en plein conflit, ou attaquant qui prépare un spear-phishingCartographie des acteurs, motivations, capacités et impacts potentiels contre une cible. ciblé. L’objectif n’est pas de tout effacer — c’est impossible et c’est même un signal en soi. L’objectif est de savoir précisément ce qui est dehors, depuis quand, et de décider, item par item, ce que vous en faites. On ne défend pas un périmètre qu’on n’a pas cartographié.

Définir son modèle de menaceCartographie des acteurs, motivations, capacités et impacts potentiels contre une cible. avant de commencer change tout. Auditer sans adversaire en tête, c’est ramasser des informations au hasard et paniquer devant la quantité. La bonne question n’est jamais « qu’est-ce qui existe sur moi ? » — la réponse est toujours « énormément de choses » — mais « qui me cherche, avec quels moyens, et pour faire quoi ? ». Un particulier qui craint un recruteur n’a pas le même modèle qu’un dirigeant ciblé par une fraude, ni qu’un journaliste sous pression d’un État. Le modèle détermine ce qui compte : pour l’un, une photo de soirée mal cadrée ; pour l’autre, un domicile qui fuit ; pour le troisième, le moindre métadonnée révélant une source. Sans ce cadrage, vous classerez mal vos découvertes et vous épuiserez votre énergie sur du bruit. Posez-le en une phrase écrite avant de lancer le chrono.

La méthode tient en deux heures pour un premier passage, à condition de la structurer. Quatre phases de trente minutes, chacune ciblant une couche : surfaces publiques, fuites et identifiants, registres légaux, social et métadonnées. Puis une formalisation. Le découpage temporel n’est pas cosmétique : il vous empêche de partir en exploration sans fin sur une seule piste et garantit une couverture homogène. La tentation, quand on commence à tirer un fil, c’est de passer une heure sur une seule découverte fascinante en oubliant les trois autres couches. Le chrono est là pour ça : trente minutes, vous notez ce que vous avez, vous passez à la suivante. Vous reviendrez creuser les pistes critiques après, une fois la cartographie complète.

Avant de lancer le chrono, préparez votre matière première. C’est l’étape que tout le monde saute et c’est celle qui détermine la qualité du résultat. Listez toutes vos adresses mail historiques : la perso actuelle, mais aussi l’ancienne adresse FAI de 2008, l’alias que vous utilisiez pour les forums, la boîte jetable créée pour une inscription oubliée, l’adresse pro de votre employeur précédent. Listez tous vos numéros des cinq dernières années — chaque changement d’opérateur a laissé un numéro derrière lui, attaché à des comptes. Listez vos pseudos anciens : le handle Twitter abandonné, le pseudo gaming, le compte forum de votre adolescence technique. Ces identifiants secondaires sont précisément ceux qui traînent dans les vieux dumps, parce que vous les aviez oubliés et donc jamais sécurisés. Enfin, ouvrez une session de navigateur isolée — profil neuf, aucune extension, déconnectée de tout, idéalement en réseau différent du vôtre. Vous cherchez ce qu’un inconnu voit, pas ce que votre session connectée et personnalisée vous renvoie. Google, LinkedIn, Facebook adaptent leurs résultats à qui vous êtes ; un audit fait depuis votre compte ment par omission.

Les quatre phases — la routine de deux heures

Phase 1 — Surfaces publiques (30 min). Vous commencez par ce qui est indexé, mais avec des opérateurs de recherche, pas à la main. Les Google dorksRenseignement à partir de sources ouvertes (publiques) : réseaux sociaux, registres, archives. transforment un moteur grand public en outil d’enquête. Lancez en série : site:linkedin.com "Prénom Nom" pour isoler les profils, "Prénom Nom" filetype:pdf pour les documents (présentations, comptes rendus, listes d’invités), site:bodacc.fr "Nom" et site:pappers.fr "Nom" pour les traces d’entreprise indexées. Variez les guillemets, testez sur Google et Bing et Yandex — les index diffèrent fortement. Passez ensuite chacun de vos anciens domaines perso ou blogs dans la Wayback MachineArchive web de l'Internet Archive, qui capture les pages depuis 1996. : un site de 2010 que vous croyez mort y est souvent figé, mentions légales, adresse et téléphone compris. Terminez par une recherche d’image inverse sur votre photo de profil principale — Yandex est nettement supérieur à Google sur la reconnaissance faciale, TinEye pour retrouver les contextes anciens. Résultats attendus : profil complet, adresses passées, mandats, articles de presse, photos réutilisées ailleurs.

Phase 2 — Fuites et identifiants (30 min). Vous passez sous la surface. Vérifiez chaque adresse mail historique sur HIBPService public gratuit de Troy Hunt qui indexe les emails compromis dans les breaches publiques. — pas seulement l’actuelle, c’est l’erreur classique. Notez le nombre de fuites, leur ancienneté, et surtout la nature des données exposées (mot de passe, adresse, numéro). Une fuite de 2014 sur un forum disparu peut sembler bénigne, jusqu’à ce que vous réalisiez que le mot de passe exposé est une variation de celui que vous utilisez encore. Les adversaires le savent : ils construisent des dictionnaires personnalisés à partir de vos anciens mots de passe pour deviner les nouveaux. Pour aller plus loin, DeHashed (partiellement gratuit, ~5 $/mois pour le détail) montre des mots de passe en clair issus de certains dumps — les vôtres, le cas échéant. Intelligence X indexe des archives de forums disparus (RaidForums, Breached) et propose une recherche dark web. Pour un profil sensible, Constella Intelligence ou Snusbase couvrent des bases de fuitesService qui indexe les données issues de breaches publiques ou semi-publiques. absentes de HIBP. Recoupez aussi votre numéro de téléphone : entré sans guillemets puis avec, dans plusieurs formats (national, international, avec et sans espaces), il révèle souvent des inscriptions oubliées. Ce que vous cherchez : un mot de passe réutilisé encore actif quelque part, un numéro de téléphone qui fuit, une adresse postale liée à un compte oublié, un identifiant qui fait le pont entre deux identités que vous croyiez séparées.

Phase 3 — Registres et sources légales (30 min). En France, votre vie de dirigeant est publique par construction. Pappers et Infogreffe listent vos mandats sociaux, bilans, procédures collectives. Le BODACCPublication officielle française des annonces légales (créations, jugements, procédures collectives). publie les annonces légales et les mentions dans des jugements. L’INPI recense les marques et brevets déposés à votre nom. Pour un profil international : Companies House (UK), OpenCorporates (cross-juridiction), PACER (procédures fédérales US). Une adresse de domicile « confidentielle » a souvent été déposée en clair dans une annonce de constitution de société dix ans plus tôt — et elle y reste.

Phase 4 — Social et métadonnées (30 min). Testez votre profil LinkedIn en navigation privée, non connecté : ce qu’un inconnu voit diffère de ce que vous voyez. Souvent, des relations, un parcours détaillé et des coordonnées que vous pensiez réservées à votre réseau restent visibles par défaut. Faites de même sur Twitter/X, dont l’historique public peut remonter à dix ans — et où une vieille publication géolocalisée trahit vos lieux de vie d’alors. Téléchargez quelques images que vous avez publiées et passez-les dans ExifTool : les métadonnéesDonnées sur les données : qui a écrit quoi, quand, où, à qui. EXIFMétadonnées attachées aux images : date, GPS, modèle d'appareil, paramètres de prise de vue. contiennent fréquemment coordonnées GPS au mètre près, modèle d’appareil, numéro de série et horodatage. Une photo de votre bureau publiée sur un réseau peut ainsi donner l’adresse exacte du domicile depuis lequel vous télétravaillez. Enfin, une recherche Google Images et Yandex sur votre nom complet referme la boucle entre identité textuelle et visage — c’est ce qui permet à un adversaire de relier un pseudo anonyme à votre vraie identité, ou l’inverse.

Formaliser : le tableau d’exposition

Sans livrable, l’audit ne sert à rien : vous ne pourrez ni décider ni comparer. La sortie est un tableau unique, à quatre colonnes au minimum : information (l’élément exact : « adresse domicile 2019 »), source (« BODACC, annonce SCI »), date (quand l’info est apparue et/ou la date de votre découverte), criticité. Ajoutez une cinquième colonne action. La criticité se range en quatre niveaux : critique (compromet directement votre sécurité physique ou financière — domicile actuel, mot de passe actif), sensible (exploitable en ingénierie sociale — anciens numéros, mandats, relations), publique (légitimement connue, sans levier — votre poste actuel), bénigne (sans intérêt pour un adversaire).

Pour chaque ligne critique, vous tranchez selon trois options et pas une de plus. Retirer : exercer le droit à l’effacement, contacter un broker, demander une désindexation, supprimer un vieux compte. Muter : si l’info ne peut pas disparaître (un mandat publié reste public), vous changez ce qui dépend de vous — rotation du mot de passe fuité, nouveau numéro pour les usages sensibles, compartmentationSéparer ses identités par usage (civil, pro public, pro sensible, opérationnel) pour limiter la propagation des fuites. des identités. Accepter : assumer l’exposition, mais avec un plan de réponse écrit — « si on m’appelle en se servant de cette info, voici le protocole ». Une donnée acceptée consciemment n’est plus une faille, c’est un paramètre connu.

Un mot sur la criticité, parce que c’est là que les audits déraillent. La tentation est de tout classer en « critique » par anxiété, ou de tout minimiser par déni. Ni l’un ni l’autre. La criticité d’une donnée n’est pas intrinsèque : elle dépend de ce qu’un adversaire peut en faire dans votre contexte. Votre adresse professionnelle est publique et bénigne pour un commercial ; la même information devient critique pour quelqu’un qui subit du harcèlement. Un ancien numéro de téléphone est sensible parce qu’il sert de second facteur de récupération sur des comptes anciens — pas parce qu’on pourrait vous appeler. Raisonnez toujours en termes de levier : « avec ça, qu’est-ce qu’on déclenche ? » Une donnée qui n’ouvre aucune porte reste bénigne, même si elle vous gêne.

L’audit n’est pas un one-shot. Votre exposition bouge en permanence : nouvelles fuites, nouveaux mandats, nouvelles publications, déménagement déclaré quelque part. Pour un profil standard, itérez tous les six mois. Pour un profil exposé — dirigeant, fonction sensible, exposition médiatique — passez à trois mois, et confiez idéalement le passage à un tiers : un regard neuf trouve ce que vous ne cherchez plus, parce que vous avez intégré que « ça, c’est connu » et que votre cerveau le filtre. Conservez chaque tableau daté : la valeur naît de la comparaison entre deux itérations, pas d’un cliché isolé. C’est en comparant que vous repérez la fuite apparue le trimestre dernier, la désindexation qui a fonctionné, ou le mandat que vous aviez oublié de surveiller.

Ce que ça implique concrètement

Pour vous, en tant que personne

Vous voulez savoir ce qu’un recruteur, un adversaire ou un ex peut trouver sur vous en une heure. Faites-le avant eux. Trois priorités, cette semaine, sans dépenser plus de quelques dizaines d’euros.

  1. Vérifiez toutes vos adresses mail sur HIBP — pas seulement l’actuelle, mais chaque alias et chaque vieille boîte. Si un mot de passe apparaît et que vous l’utilisez encore quelque part, changez-le aujourd’hui. C’est gratuit et c’est le geste à plus fort rendement.
  2. Testez votre LinkedIn en navigation privée — déconnecté, profil neuf. Notez ce qu’un inconnu voit : photo, parcours, relations, anciens postes. Restreignez ce qui n’a pas à être public.
  3. Cherchez vos mandats sur Pappers et BODACC — si vous avez ou avez eu une société, une association, une SCI, regardez ce qui y figure. Adresse, dates, co-gérants. Vous ne pouvez pas l’effacer, mais vous devez savoir que c’est là.

Pour vous, RSSI / DSI / dirigeant

1. Auditez l’exposition de vos personnes-clés avant vos adversaires. COMEX, fonctions sensibles, accès privilégiés : ce ne sont pas des comptes, ce sont des cibles. Un attaquant qui prépare une fraude au présidentCartographie des acteurs, motivations, capacités et impacts potentiels contre une cible. commence par cartographier le dirigeant, son entourage, ses habitudes. Conséquence directe : votre périmètre de défense inclut l’empreinte personnelle de vos cadres, pas seulement votre SI.

2. Traitez ça comme du renseignement défensif, pas de la compliance. Ce n’est ni un audit RGPDRèglement européen 2016/679 sur la protection des données personnelles, applicable depuis mai 2018. ni une case à cocher. C’est de l’OSINT retourné, mené avec la posture de l’attaquant, dont la sortie est une décision opérationnelle par item exposé. Conséquence directe : le livrable n’est pas un rapport pour le DPO, c’est un plan d’action priorisé avec un responsable et une échéance par ligne critique.

3. Externalisez le regard, cadrez la fréquence. Faites-le réaliser par un tiers — vos équipes internes ont l’angle mort de l’habitude. Comptez 2 à 4 heures par personne, deux fois par an pour les profils exposés. Conséquence directe : un budget modeste et prévisible face à un risque d’ingénierie sociale qui, lui, ne l’est pas.

Erreurs qu’on voit tout le temps

  • Auditer une seule fois, sans répétition. Une photo prise aujourd’hui est périmée dans six mois. Sans itération, vous ne voyez jamais les nouvelles fuites ni les nouveaux mandats.
  • Se focaliser sur l’adresse mail actuelle et oublier les anciennes, les alias et les jetables — qui sont précisément celles qui traînent dans les vieux dumps.
  • Ignorer les pseudos et handles historiques. Le forum de 2008, le compte gaming, l’ancien Twitter : autant de ponts entre vos identités, et ce que la compartmentationSéparer ses identités par usage (civil, pro public, pro sensible, opérationnel) pour limiter la propagation des fuites. est censée briser.
  • Sauter les registres légaux en croyant qu’ils ne concernent que « les grosses boîtes ». Une SCI familiale ou une association suffit à exposer une adresse de domicile.
  • Oublier les métadonnées. Une photo publiée avec ses coordonnées EXIFMétadonnées attachées aux images : date, GPS, modèle d'appareil, paramètres de prise de vue. intactes donne votre position, là où vous pensiez ne partager qu’une image.
  • Ne garder aucune trace de l’audit. Sans tableau daté, impossible de comparer, donc impossible de mesurer un progrès ou une dérive.
  • Vouloir tout effacer. L’effacement total est illusoire et signale paradoxalement quelque chose à cacher. L’objectif est de décider, pas de disparaître.

Checklist actionnable

  • N1 Vérifier toutes ses adresses mail historiques sur HIBP
  • N1 Se googler soi-même avec opérateurs (site:, filetype:, intitle:)
  • N1 Tester son profil LinkedIn en navigation privée — noter ce qui est visible
  • N2 Vérifier Pappers / BODACC pour les mandats sociaux
  • N2 Lancer une vérification inverse sur sa photo de profil principale
  • N2 Consulter la Wayback Machine sur ses anciens domaines ou blogs
  • N2 Contrôler les métadonnées EXIF de quelques images publiées
  • N3 Formaliser les résultats en tableau de criticité et décider pour chaque item : muter, retirer, accepter
  • N3 Pour profil exposé : mandater un tiers pour un regard neuf (2 h, 100-300 €)
  • N3 Planifier la prochaine itération (6 mois standard, 3 mois exposé) et archiver le tableau daté

Pour aller plus loin

Commencez par le geste le plus rentable et le plus rapide : passez vos adresses sur Have I Been Pwned(opens in a new tab), c’est gratuit et immédiat. Pour structurer un audit récurrent et grapher les liens entre vos identités, Maltego Community Edition(opens in a new tab) reste la référence accessible. Maîtrisez les opérateurs de recherche avancée de Google(opens in a new tab) — la moitié du travail tient dans la bonne requête. Pour ressusciter vos traces anciennes, la Wayback Machine(opens in a new tab) est irremplaçable. Et pour mesurer l’ampleur réelle du phénomène en France, le bilan annuel de la CNIL(opens in a new tab) confirme que l’essentiel des atteintes exploite des données déjà accessibles — exactement celles que cet audit vous apprend à voir.

Sources et lectures complémentaires

Articles liés