Outils OSINT pour la sécurité personnelle : comment auditer votre empreinte numérique
Les hackers, harceleurs et ingénieurs sociaux utilisent les techniques OSINT (Open Source Intelligence) pour collecter des informations sur leurs cibles. Apprenez à utiliser les mêmes outils défensivement pour auditer votre propre exposition, trouver des identifiants compromis et réduire votre empreinte numérique.
L'Open Source Intelligence (OSINT) fait référence aux informations collectées à partir de sources publiquement disponibles : profils de réseaux sociaux, registres publics, fuites de données, moteurs de recherche et bases de données de data brokers. Les professionnels de la sécurité utilisent l'OSINT pour les enquêtes et les tests d'intrusion, mais les mêmes techniques sont utilisées par les attaquants pour cibler des individus.
La meilleure défense est de comprendre votre propre exposition. Ce guide vous accompagne dans un audit OSINT personnel à l'aide d'outils gratuits et accessibles, afin que vous puissiez voir exactement ce qu'un attaquant trouverait en faisant des recherches sur vous.
Que peut-on trouver sur vous en ligne ?
Avant de plonger dans les outils, il est utile de comprendre l'étendue de ce qui est généralement trouvable sur n'importe quel individu :
- Nom complet, adresse, numéro de téléphone – les data brokers agrègent les registres publics et les rendent consultables par tout le monde.
- Adresses e-mail – souvent compromises dans des fuites ou trouvables via les enregistrements de domaine et les réseaux sociaux.
- Historique professionnel et éducatif – LinkedIn, annuaires universitaires, sites d'entreprise.
- Proches et associés – les data brokers recoupent les liens familiaux à partir de registres publics.
- Photos et géolocalisation – publications sur les réseaux sociaux, avis et images avec métadonnées EXIF révélant les coordonnées GPS.
- Identifiants compromis – mots de passe et jetons de session provenant de fuites de données et d'infections par stealer.
- Comptes en ligne – les recherches par nom d'utilisateur révèlent les plateformes sur lesquelles vous êtes inscrit.
Ces informations sont utilisées par les attaquants pour l'ingénierie sociale (rédiger des messages de phishing convaincants), les attaques sur les identifiants (deviner les mots de passe à partir d'informations connues), le doxxing (publier des détails personnels) et l'usurpation d'identité.
Votre audit OSINT personnel : étape par étape
Étape 1 : recherchez votre nom et ses variantes
Commencez par ce que toute personne ayant votre nom peut trouver :
- Recherchez votre nom complet (entre guillemets) sur Google, Bing et DuckDuckGo
- Recherchez nom + ville, nom + employeur, nom + e-mail
- Recherchez avec les Google Dorks pour des résultats plus approfondis :
"Jean Dupont" site:linkedin.com– trouver des profils LinkedIn"jean.dupont@" filetype:pdf– trouver des documents contenant votre e-mail"Jean Dupont" inurl:about– trouver des pages de présentation qui vous mentionnent
Que chercher : des résultats inattendus comme d'anciens posts de forum, des pages en cache, des documents contenant vos coordonnées, ou des profils de data brokers.
Étape 2 : vérifiez les sites de data brokers
Les data brokers collectent et vendent des informations personnelles à partir de registres publics, listes électorales, registres de propriété et activité en ligne. Les sites suivants ont probablement un profil sur vous :
| Data Broker | Ce qu'ils exposent | Comment supprimer |
|---|---|---|
| Spokeo | Nom, adresse, téléphone, proches, profils sociaux | spokeo.com/optout |
| Whitepages | Nom, adresse, téléphone, âge, proches | whitepages.com/suppression-requests |
| BeenVerified | Casier judiciaire, propriété, profils sociaux | beenverified.com/faq/opt-out |
| PeopleFinder | Historique d'adresses, numéros de téléphone, proches | peoplefinder.com/optout |
| Intelius | Vérifications d'antécédents, coordonnées | intelius.com/opt-out |
Suppression automatisée : des services comme DeleteMe et Incogni soumettront des demandes de désinscription en votre nom auprès de dizaines de data brokers, moyennant un abonnement. Si vous tenez à votre temps, ces services en valent la peine.
Étape 3 : vérifiez les identifiants compromis
C'est l'une des étapes les plus critiques. Recherchez votre adresse e-mail dans les bases de fuites et les collections de journaux de stealers :
- Intelligence Security Email Breach Check – recherche dans 500 milliards d'enregistrements, y compris les bases de fuites, les journaux de stealers et les sources du dark web. Un audit gratuit par jour.
- Recherche de journaux de stealers – recherche spécifiquement la sortie des malwares infostealers pour vos identifiants.
- Recherche de cookies de session – vérifie si vos jetons de session actifs sont en circulation.
Si des identifiants sont trouvés, suivez immédiatement le guide de réponse aux fuites.
Étape 4 : auditez votre présence par nom d'utilisateur
La plupart des gens réutilisent le même nom d'utilisateur sur plusieurs plateformes. Des outils comme Sherlock et Namechk peuvent vérifier si un nom d'utilisateur existe sur des centaines de plateformes simultanément.
Cela révèle :
- D'anciens comptes que vous avez oubliés (qui peuvent encore contenir des données personnelles)
- Des comptes créés par quelqu'un d'autre se faisant passer pour vous
- L'étendue des informations liées à votre nom d'utilisateur
Pour chaque compte découvert, décidez s'il faut mettre à jour ses paramètres de confidentialité, le supprimer ou le laisser. Les comptes abandonnés avec d'anciens identifiants représentent un risque important.
Étape 5 : examinez votre exposition sur les réseaux sociaux
Regardez chacun de vos profils de réseaux sociaux comme si vous étiez un étranger. Déconnectez-vous et visitez vos profils pour voir ce qui est visible publiquement :
- Photo de profil – peut être utilisée pour une recherche d'image inversée ou de la reconnaissance faciale
- Détails de la bio – employeur, lieu, date de naissance, école
- Publications et check-ins – les habitudes révèlent les routines, les voyages et le lieu de résidence
- Liste d'amis/abonnés – révèle les relations et peut être utilisée pour l'ingénierie sociale
- Photos taguées – d'autres peuvent avoir publié des photos révélant votre emplacement ou vos activités
Étape 6 : vérifiez les métadonnées des photos
Les photos prises avec des smartphones et des appareils photo contiennent des métadonnées EXIF qui peuvent inclure :
- Coordonnées GPS (latitude/longitude du lieu de prise)
- Date et heure
- Modèle et numéro de série de l'appareil
- Paramètres de l'appareil photo
Utilisez ExifTool ou des visualiseurs EXIF en ligne pour vérifier les photos que vous avez publiées. De nombreuses plateformes sociales suppriment les données EXIF à l'envoi, mais pas toutes, et les images partagées par e-mail ou par messagerie les conservent souvent.
Étape 7 : scannez votre domaine (si vous en possédez un)
Si vous possédez un domaine personnel ou gérez un site web, utilisez l'outil Reconnaissance de domaine pour découvrir :
- Les sous-domaines qui pourraient exposer des services internes
- Les adresses e-mail associées à votre domaine
- Les URL indexées par les moteurs de recherche qui ne devraient pas être publiques
Réduire votre empreinte numérique
Après avoir terminé votre audit, prenez ces mesures pour réduire votre exposition :
Actions immédiates
- Désinscrivez-vous des data brokers – soumettez des demandes de suppression auprès de chaque broker qui détient vos données
- Mettez vos réseaux sociaux en privé – limitez la visibilité du profil aux amis/contacts
- Supprimez les comptes inutilisés – chaque ancien compte est une cible potentielle
- Changez les mots de passe compromis – utilisez des mots de passe uniques via un gestionnaire de mots de passe
- Activez la 2FA partout – préférez les applications d'authentification aux SMS
Pratiques continues
- Utilisez plusieurs adresses e-mail – une pour les comptes importants, une pour les abonnements et inscriptions
- Supprimez les métadonnées des photos avant publication – la plupart des éditeurs de photos ont une option pour retirer les données EXIF
- Utilisez un VPN sur le Wi-Fi public pour empêcher le suivi par IP
- Limitez les détails personnels dans les profils – évitez de publier date de naissance, numéro de téléphone ou ville
- Utilisez des alias pour les comptes non essentiels – forums, newsletters et services occasionnels n'ont pas besoin de votre vrai nom
- Vérifiez les paramètres de confidentialité trimestriellement – les plateformes changent fréquemment leurs paramètres par défaut
Tableau de référence des outils OSINT
| Catégorie | Outil | Ce qu'il fait |
|---|---|---|
| Recherche de fuites | Intelligence Security | Recherche 500 milliards d'enregistrements : fuites, journaux de stealers, dark web |
| Recherche de fuites | Have I Been Pwned | Vérifie les fuites publiques connues |
| Journaux de stealers | IS Stealer Log Search | Recherche dans les sorties des malwares infostealers |
| Cookies de session | IS Cookie Search | Vérifie les jetons de session volés |
| Recon de domaine | IS Domain Recon | Sous-domaines, e-mails, URL d'un domaine |
| Recherche par nom d'utilisateur | Sherlock / Namechk | Trouve des comptes sur 300+ plateformes |
| Analyse de photos | ExifTool | Extrait les métadonnées des images |
| Data brokers | DeleteMe / Incogni | Désinscription automatisée des data brokers |
| Annuaire OSINT | OSINT Framework | Annuaire organisé d'outils OSINT |
Questions fréquentes
L'OSINT est-il légal ?
Oui. L'OSINT, par définition, n'utilise que des informations disponibles publiquement. Cependant, l'usage que vous en faites compte. Utiliser l'OSINT pour l'audit de sécurité personnelle, les tests de sécurité autorisés et les enquêtes légitimes est légal. L'utiliser pour traquer, harceler ou doxxer quelqu'un est illégal dans la plupart des juridictions.
À quelle fréquence dois-je faire un audit OSINT personnel ?
Un audit complet tous les 6 mois est une bonne pratique. Pour la vérification des fuites spécifiquement, des scans trimestriels ou mensuels sont recommandés car de nouvelles fuites sont découvertes chaque jour.
Que faire si je trouve quelqu'un qui m'usurpe en ligne ?
Signalez l'usurpation à la plateforme concernée. La plupart des réseaux sociaux disposent de fonctionnalités de signalement d'usurpation. Si l'usurpation implique une fraude ou des menaces, signalez-la également aux forces de l'ordre.
Puis-je engager quelqu'un pour faire un audit OSINT pour moi ?
Oui. Les enquêteurs OSINT et les consultants en cybersécurité proposent des évaluations de menace personnelles. C'est particulièrement courant pour les dirigeants, les personnalités publiques et les personnes préoccupées par le harcèlement. Cependant, les étapes de ce guide couvrent les zones les plus critiques que vous pouvez vérifier vous-même.
Principales sources de violations
- OSINT Framework — Collection d'outils et ressources OSINT gratuits
- NordStellar — Plateforme de surveillance du dark web et des fuites
- Have I Been Pwned — Service de notification de fuites de Troy Hunt
- Shodan — Moteur de recherche d'appareils connectés à Internet
- Maltego — Outil OSINT et d'analyse graphique de liens
Cet article est uniquement destiné à des fins éducatives et de sensibilisation à la sécurité.
Vérifiez votre exposition maintenant
Recherchez parmi plus de 500 milliards d'enregistrements divulgués provenant de violations de données, de logs de stealers et de sources du renseignement sur les menaces.
Vérification de fuites gratuite