Aller au contenu principal
appsec/osint.tsx

OSINT : le renseignement en source ouverte au service de la sécurité offensive

OSINT, définition, cycle du renseignement, sources et outils (Maltego, theHarvester, Amass, Shodan, SpiderFoot, recon-ng). Comment la reconnaissance passive cartographie une surface d'attaque avant la moindre requête intrusive, et pourquoi c'est le point de départ de tout pentest.

own2pwn··16 min de lecture

Un attaquant vise votre entreprise. Il n'a encore rien lancé : pas un scan, pas une requête un peu louche, rien qui allumerait la moindre alerte dans votre SIEM. Il ouvre juste un navigateur. En une après-midi, sans jamais toucher à vos serveurs, il reconstitue la liste de vos sous-domaines, retrouve un vieux portail d'admin qu'on croyait éteint, met un nom sur quatre de vos développeurs, récupère une clé d'API oubliée dans un dépôt public et note le fournisseur de messagerie que vous utilisez. Tout ça est légal, gratuit, et déjà là, dehors, en accès libre. C'est ça, l'OSINT.

Le terme fait fantasmer — enquêteurs, journalistes d'investigation, services de renseignement. Mais en sécurité offensive, l'OSINT est d'abord une discipline méthodique et redoutablement concrète : la reconnaissance passive, cette phase où l'on cartographie une cible uniquement à partir de ce qu'elle expose au monde. C'est le premier geste de tout pentest, et c'est aussi le moteur de la gestion de surface d'attaque externe (EASM). On va poser les définitions, dérouler le cycle du renseignement, passer en revue les familles de sources et les vrais outils, puis relier tout ça à la sécurité offensive.

OSINT n'est pas intrusion — mais le cadre existe
Collecter de l'information publiquement disponible n'a rien d'illégal. Ce qui change tout, c'est ce que vous en faites. Croiser des données personnelles (emails, noms, profils) tombe sous le RGPD : finalité légitime, minimisation, durée de conservation — les mêmes règles qu'un traitement classique. Et la frontière avec l'intrusion se franchit vite : interroger un DNS public, c'est passif ; scanner les ports d'un serveur, c'est déjà toucher au système, donc soumis à autorisation (mandat écrit, périmètre défini). Tout ce qui suit s'inscrit dans un test autorisé ou dans l'analyse de votre propre exposition.

OSINT, définition : le renseignement en source ouverte

OSINT est l'acronyme d'Open Source Intelligence, soit « renseignement en sources ouvertes ». La définition officielle des agences de renseignement est limpide : c'est l'information publiquement disponible, sous forme imprimée ou électronique — presse, télévision, sites web, bases de données commerciales, réseaux sociaux, images, registres — collectée et exploitée pour répondre à une question précise. Le mot important, c'est renseignement : l'OSINT n'est pas une pile de données brutes, c'est de la donnée transformée en savoir actionnable.

La nuance a l'air théorique ; elle est fondamentale. Taper le nom d'une entreprise dans Google, ce n'est pas de l'OSINT — c'est une recherche. L'OSINT commence quand vous partez d'un objectif (« quelle est la surface d'attaque externe de cette société ? »), que vous collectez de façon structurée, que vous recoupez, vérifiez, et que vous en tirez une conclusion sur laquelle quelqu'un va agir. C'est cette rigueur qui sépare le professionnel du curieux, et c'est aussi ce qui rend l'OSINT reproductible et défendable.

On parle bien d'une famille du renseignement, aux côtés du SIGINT (interception de signaux) ou de l'HUMINT (sources humaines). Sa particularité ? La matière première est ouverte — donc accessible à tout le monde, vous comme l'attaquant. Ce qui fait la différence n'est plus l'accès à l'information, mais la méthode pour la transformer en avantage.

Le cycle du renseignement : transformer la donnée en preuve

Une investigation OSINT sérieuse suit le cycle du renseignement, un cadre hérité du monde militaire et repris tel quel en cybersécurité. Cinq à six étapes, en boucle : on ne collecte pas au hasard, on ne s'arrête pas à la première trouvaille, et surtout la sortie d'un tour alimente le suivant.

cycle-renseignement
Étape 1
Planification & direction
On fixe l'objectif : quelle information, pourquoi. « Cartographier la surface externe de la marque X. »
Étape 2
Collecte
On ratisse large depuis les sources ouvertes : DNS, certificats, réseaux sociaux, dépôts de code, fuites.
Étape 3
Traitement
On nettoie, dédoublonne, normalise. Le bruit part ; l'exploitable reste.
Étape 4
Analyse
On recoupe et on relie à votre contexte : cet actif est-il vraiment à vous, est-il joignable, est-il critique ?
Étape 5
Diffusion
On livre au bon interlocuteur, au bon format : rapport, alerte, ticket de remédiation.
Étape 6
Boucle / évaluation
Les nouvelles questions rouvrent la planification. Un actif découvert révèle d'autres actifs.
Le cycle du renseignement appliqué à l'OSINT : chaque tour affine les questions du tour suivant. La boucle ne se ferme jamais vraiment.

L'étape qu'on bâcle presque toujours, c'est la première. Sans objectif net, la collecte explose en volume et l'analyse se noie : on accumule des milliers de lignes sans jamais répondre à la question de départ. Et l'étape qui fait la valeur, c'est l'analyse — celle où l'on décide qu'un sous-domaine trouvé dans un log de certificat est bien votre actif, qu'il pointe vers une IP vivante, et qu'il sert une appli d'administration. Le reste n'est qu'outillage.

Reconnaissance passive et reconnaissance active

En sécurité offensive, la reconnaissance passive est le cœur de l'OSINT. On la définit par la négative : aucune interaction directe avec les systèmes de la cible. Vous consultez des sources tierces — moteurs de recherche, logs de Certificate Transparency, archives, bases WHOIS — et la cible ne voit jamais passer une seule requête de votre part. Aucune trace dans ses journaux, aucune alerte. C'est furtif par construction.

La reconnaissance active, elle, touche au système : un scan de ports, une résolution DNS envoyée directement à ses serveurs, une requête HTTP sur son application. C'est plus riche — vous obtenez des bannières, des versions, des comportements — mais ça laisse des traces et ça change le régime juridique. La passive se pratique sur n'importe qui sans rien demander ; l'active exige un mandat.

La règle de terrain
On épuise le passif avant de basculer en actif. Chaque sous-domaine, chaque adresse e-mail, chaque techno identifiée en source ouverte est une hypothèse qu'on n'aura pas à « payer » en bruit réseau ensuite. Un bon pentester arrive sur la phase active avec déjà une carte du terrain ; le mauvais scanne à l'aveugle et se fait repérer au premier paquet.

Les grandes familles de sources ouvertes

« Source ouverte » ne veut pas dire « Google ». Le web indexé n'est qu'une porte parmi d'autres, et rarement la plus intéressante. Voici les gisements qui comptent vraiment quand on cartographie une surface d'attaque.

sources-osint
Socle technique
DNS & Certificate Transparency
Enregistrements DNS, journaux CT, WHOIS passif : la colonne vertébrale de la découverte d'actifs.
Infra exposée
Moteurs d'appareils (Shodan, Censys)
Services, ports, bannières indexés à l'échelle d'internet.
Fuites
Brèches, pastes, dépôts de code
Credentials fuités, secrets commités, données de brèches historiques.
Humain
Réseaux sociaux & registres
Employés (LinkedIn), organigrammes, registres d'entreprises et de marques.
Fichiers
Métadonnées de documents
EXIF des images, auteurs et logiciels dans les PDF/Office publiés.
Web
Moteurs de recherche & dorks
Google/Bing et les dorks ciblés qui exhument l'indexé oublié.
Six familles de sources ouvertes, empilées de la plus généraliste à la plus technique. (Survolez pour les écarter.)

Moteurs de recherche et Google dorking

Les opérateurs de recherche avancés — les fameux dorks — transforment un moteur généraliste en scalpel. Un site:exemple.com filetype:pdf remonte les documents publiés ; un inurl:admin ou intitle:"index of" exhume des interfaces et des listings de répertoires qui n'auraient jamais dû être indexés. La Google Hacking Database recense des centaines de ces requêtes prêtes à l'emploi.

DNS et Certificate Transparency

C'est le gisement le plus productif pour un pentester. Chaque certificat TLS émis publiquement est journalisé dans les logs de Certificate Transparency — un registre public, consultable par tous. Résultat : les sous-domaines internes qu'on croyait discrets (vpn.exemple.com, preprod-paie.exemple.com) apparaissent en clair dès qu'un certificat les couvre. Couplé au DNS et au WHOIS, c'est la base de la découverte d'actifs — et c'est souvent là qu'on débusque le shadow IT ou un sous-domaine abandonné vulnérable au takeover.

Fuites, brèches et secrets exposés

Les bases de données de brèches, les pastes anonymes et surtout les dépôts de code publics regorgent de données exploitables : mots de passe réutilisés, tokens d'API, clés privées commités par erreur. Un développeur pressé pousse un fichier .env sur un dépôt public, et voilà une fuite de secrets qui ouvre un accès direct, sans exploiter la moindre faille technique.

Réseaux sociaux, registres et métadonnées

LinkedIn dessine l'organigramme et alimente le spear phishing ; les registres du commerce relient filiales et marques ; les métadonnées EXIF d'une photo trahissent parfois une géolocalisation, et les propriétés d'un PDF publié révèlent le nom d'un poste interne ou une version de logiciel. Rien de spectaculaire pris isolément — mais recoupé, ça reconstitue une cartographie humaine et technique étonnamment précise.

Les outils OSINT qu'il faut connaître

L'outillage ne remplace pas la méthode, mais il industrialise la collecte. Voici les références du domaine — celles qu'on retrouve dans à peu près toutes les trousses de reconnaissance, et ce qu'elles font vraiment.

  • theHarvester — le premier réflexe. Un outil en ligne de commande qui moissonne emails, sous-domaines, hôtes et IPs depuis des dizaines de sources publiques (moteurs, serveurs de clés PGP, Shodan). Rapide, scriptable : le coup de sonde d'ouverture d'une recon.
  • Amass — projet OWASP, la référence pour la cartographie DNS et l'énumération de sous-domaines à grande échelle. Là où theHarvester survole, Amass creuse la surface DNS en profondeur.
  • Shodan — le moteur de recherche des appareils connectés. Il indexe en continu ports ouverts, bannières et services exposés sur tout internet. On y retrouve des caméras, des bases de données béantes, des interfaces d'admin oubliées. Son cousin Censys joue dans la même cour.
  • SpiderFoot — un moteur d'automatisation avec plus de 200 modules qui corrèlent noms, IPs, emails et fuites en une seule vue. Il tourne en mode headless via une API REST : parfait pour des scans planifiés et récurrents.
  • Maltego — l'analyse de liens en graphe. Ses transforms relient visuellement personnes, domaines et infrastructures : on voit d'un coup d'œil qu'un email d'un dirigeant se rattache à une brèche connue et à trois sous-domaines corporate. Imbattable pour les enquêtes à forte dimension relationnelle.
  • recon-ng — un framework modulaire dont l'ergonomie rappelle Metasploit : des modules qu'on charge, des espaces de travail persistants qui conservent chaque résultat. Idéal pour des campagnes de recon répétables et documentées.

Un enchaînement typique de reconnaissance passive tient en quelques lignes : on moissonne large, on énumère les sous-domaines en profondeur, puis on interroge l'infra exposée.

bash
# 1. moisson rapide : emails, hôtes, sous-domaines
theHarvester -d exemple.com -b google,bing,crtsh

# 2. énumération DNS en profondeur (OWASP Amass, passif)
amass enum -passive -d exemple.com -o sous-domaines.txt

# 3. quels services exposés sur les IPs trouvées ? (via l'API Shodan)
shodan search --fields ip_str,port,org 'hostname:exemple.com'

# rien de tout ceci n'envoie de paquet à exemple.com :
# tout passe par des sources tierces (CT logs, index Shodan, moteurs)
Outil vs framework
On distingue les outils à fonction unique (theHarvester moissonne, Shodan indexe) des frameworks qui orchestrent plusieurs sources en un flux unifié (SpiderFoot, Maltego, recon-ng). Les premiers vont vite sur une tâche précise ; les seconds portent les investigations complexes où l'on corrèle des dizaines de signaux. Une bonne recon combine les deux : des outils pointus en amont, un framework pour recoller les morceaux.

OSINT et cybersécurité : de la reconnaissance à la surface d'attaque

Tout ce qui précède a une conséquence directe pour un RSSI : les mêmes outils qui cartographient une cible cartographient votre propre exposition. La reconnaissance passive n'est pas qu'une arme offensive ; c'est le miroir le plus honnête de ce que vous laissez voir. Lancez theHarvester et Amass sur votre propre domaine, et vous verrez ce que l'attaquant voit — souvent plus que ce que votre inventaire officiel prétend gérer.

C'est exactement le rôle de l'OSINT en cybersécurité défensive : découvrir vos actifs oubliés avant qu'un tiers ne le fasse. Le shadow IT, le serveur de préprod indexé par erreur, le sous-domaine d'une filiale rachetée dont plus personne ne détient les clés — tout ça se trouve en source ouverte, et donc se traite avant l'incident.

Dans une mission de pentest, cette phase conditionne tout le reste. Une reconnaissance passive complète, c'est la différence entre un test qui frappe là où ça compte et un test qui découvre l'actif critique le dernier jour. Elle s'inscrit en amont du pentest web en boîte noire, où le testeur part précisément de zéro information interne — donc de l'OSINT pur.

L'OSINT industrialisé : c'est ça, l'EASM

Un pentester fait de l'OSINT une fois, à l'instant T d'une mission. Mais votre surface d'attaque, elle, bouge tous les jours : un nouveau certificat, un sous-domaine créé par une équipe marketing, un service exposé le temps d'un déploiement. La reconnaissance ponctuelle prend une photo ; ce qu'il faut, c'est un film.

La gestion de surface d'attaque externe (EASM), c'est précisément l'OSINT industrialisé et rendu continu. On automatise le cycle du renseignement — collecte DNS et CT, énumération de sous-domaines, détection de fuites, empreinte des technologies — puis on le fait tourner en boucle sur tout votre périmètre. La brique de surveillance de surface d'attaque applique exactement les techniques décrites ici, sauf qu'elle ne dort jamais et vous alerte quand un actif nouveau — ou une exposition nouvelle — apparaît.

La logique reste celle de l'analyse : découvrir ne suffit pas, il faut décider qu'un actif est bien à vous, qu'il est joignable, qu'il est exposé. C'est la promesse de notre plateforme EASM — voir votre système d'information comme un attaquant le voit, en permanence, et pas seulement le jour de l'audit. Pour la définition condensée du terme, notre entrée de glossaire OSINT va droit au but.

À retenir

  • OSINT (Open Source Intelligence) = de l'information publiquement disponible transformée en renseignement actionnable. C'est la méthode, pas la simple collecte, qui fait la différence.
  • Le cycle du renseignement (planification, collecte, traitement, analyse, diffusion, boucle) structure toute investigation sérieuse. La planification et l'analyse sont les deux étapes à ne jamais bâcler.
  • La reconnaissance passive n'interagit jamais avec la cible ; l'active touche au système et exige un mandat. On épuise le passif avant de basculer en actif.
  • Les sources qui comptent : DNS et Certificate Transparency, moteurs d'appareils (Shodan, Censys), fuites et dépôts de code, réseaux sociaux, registres et métadonnées.
  • La trousse de référence : theHarvester, Amass (OWASP), Shodan, SpiderFoot, Maltego, recon-ng.
  • L'EASM, c'est de l'OSINT industrialisé et continu : les mêmes techniques, appliquées en boucle à votre propre surface d'attaque.

L'attaquant qui vous vise commence par l'OSINT. La meilleure défense, c'est de le faire avant lui — et sans relâche. Voyez ce que votre entreprise expose en source ouverte avec la plateforme EASM d'own2pwn, ou faites tester votre périmètre en conditions réelles par nos pentesters. Une question, un doute sur votre exposition ? Parlez-en avec un humain via la page contact.

Articles liés