Outils OSINT : méthodes et frameworks pour le renseignement en source ouverte

Un analyste OSINT sans outils adaptés est comparable à un chirurgien sans instruments : le savoir-faire est indispensable, mais l’outillage détermine la portée et la précision du travail. Dans les chapitres précédents de ce guide, nous avons exploré les fondamentaux du renseignement en source ouverte ainsi que les différentes sources de collecte (web ouvert, SOCMINT, GEOINT, dark web et registres publics français). Il est temps de passer à la pratique.

Ce troisième chapitre présente les outils, méthodes et frameworks qui structurent une investigation OSINT. L’objectif n’est pas de dresser un catalogue exhaustif — les outils évoluent constamment — mais de comprendre les catégories d’outils, leur logique de fonctionnement et les bonnes pratiques qui encadrent leur utilisation.

Un point essentiel avant de commencer : les outils ne remplacent jamais la méthodologie. Un framework automatisé mal paramétré produit du bruit, pas du renseignement. La valeur ajoutée de l’analyste réside dans sa capacité à formuler les bonnes questions, à recouper les résultats et à contextualiser les données collectées.

Google Dorking : la recherche avancée comme arme d’investigation

Le Google Dorking (ou Google Hacking) est la technique OSINT la plus accessible et souvent la plus sous-estimée. Elle consiste à exploiter les opérateurs de recherche avancés de Google pour extraire des informations que la recherche classique ne révèle pas.

Les opérateurs essentiels

Google propose une dizaine d’opérateurs qui, combinés entre eux, forment un langage de requête puissant :

• site: limite la recherche à un domaine précis. Exemple : site:entreprise.fr renvoie toutes les pages indexées de ce domaine.
• filetype: cible un format de fichier spécifique. Exemple : filetype:pdf site:entreprise.fr recherche tous les PDF publiés sur le domaine.
• intitle: recherche un mot dans le titre des pages. Exemple : intitle:"index of" site:entreprise.fr peut révéler des répertoires de fichiers exposés.
• inurl: recherche une chaîne dans l’URL. Exemple : inurl:admin site:entreprise.fr identifie les interfaces d’administration potentiellement accessibles.
• intext: recherche un terme dans le corps de la page. Exemple : intext:"mot de passe" filetype:xlsx site:entreprise.fr peut identifier des fichiers contenant des identifiants.

Exemples concrets pour la reconnaissance d’entreprise

En combinant ces opérateurs, un analyste peut identifier rapidement des failles d’exposition :

• Documents internes exposés : site:entreprise.fr filetype:pdf OR filetype:docx "confidentiel" permet de détecter des documents classifiés indexés par erreur.
• Pages de connexion exposées : site:entreprise.fr inurl:login OR inurl:admin OR inurl:dashboard révèle les interfaces d’authentification accessibles depuis l’extérieur.
• Fichiers de configuration : site:entreprise.fr filetype:env OR filetype:xml OR filetype:conf peut exposer des fichiers contenant des paramètres sensibles, voire des identifiants.
• Informations sur l’infrastructure : site:entreprise.fr intext:"powered by" OR intext:"version" donne des indices sur les technologies utilisées.

La Google Hacking Database (GHDB)

La GHDB, maintenue par Offensive Security sur le site Exploit-DB, est une base de données collaborative qui recense des milliers de dorks classés par catégorie : fichiers contenant des mots de passe, pages de connexion, messages d’erreur révélateurs, données sensibles exposées. Elle constitue un point de départ incontournable pour tout audit d’exposition.

Cadre éthique et limites

Le Google Dorking en lui-même n’est pas illicite : il s’agit d’utiliser un moteur de recherche public avec ses propres fonctionnalités. Toutefois, l’exploitation des informations découvertes peut franchir la ligne légale. Accéder à un fichier de configuration exposé pour le signaler au propriétaire est légitime ; utiliser les identifiants qu’il contient pour se connecter au système constitue un accès frauduleux au sens de l’article 323-1 du Code pénal. La frontière se situe dans l’usage, pas dans la recherche.

Outils de cartographie relationnelle

Maltego : visualiser les connexions invisibles

Maltego, développé par Paterva, est l’outil de référence pour la cartographie relationnelle en OSINT. Son principe repose sur les transforms : des modules qui interrogent automatiquement des sources de données pour enrichir un graphe d’entités interconnectées.

Fonctionnement concret : l’analyste introduit une entité de départ (un nom de domaine, une adresse email, un nom de personne) et lance des transforms qui génèrent automatiquement les entités liées. À partir d’un domaine d’entreprise, Maltego peut révéler :

• Les sous-domaines et serveurs associés
• Les adresses email rattachées au domaine
• Les personnes liées à ces adresses
• Les réseaux sociaux où ces personnes sont actives
• Les liens croisés entre différentes entités

La puissance de Maltego réside dans sa capacité à visualiser des relations que l’analyse manuelle aurait difficilement identifiées. Un graphe Maltego d’une organisation de taille moyenne peut révéler des connexions inattendues entre filiales, partenaires et anciens collaborateurs.

Maltego existe en version Community (gratuite, avec des limitations) et en versions commerciales (Classic, XL). Pour un audit défensif d’entreprise, la version Community suffit souvent à obtenir une première cartographie significative.

Kali Linux : l’environnement de référence pour l’OSINT

Avant de détailler les outils individuels, une mention essentielle sur l’environnement de travail. Kali Linux est la distribution GNU/Linux de référence pour les professionnels de la cybersécurité et de l’OSINT. Maintenue par Offensive Security, elle intègre nativement la majorité des outils présentés dans ce chapitre : TheHarvester, Recon-ng, Maltego, SpiderFoot, Shodan CLI, ainsi que des centaines d’autres utilitaires de reconnaissance et d’analyse.

L’intérêt de Kali Linux pour l’OSINT est triple :

• Environnement préconfigurée : les outils sont installés, mis à jour et documentés. Pas de dépendances à gérer manuellement.
• Isolation : utilisé en machine virtuelle (VirtualBox, VMware), Kali fournit un environnement d’investigation isolé du système principal, renforçant l’OPSEC de l’analyste.
• Reproductibilité : chaque analyste travaille dans un environnement identique, facilitant la collaboration et la documentation.

L’installation en machine virtuelle est recommandée pour un usage OSINT défensif :

# Télécharger l'image VM officielle depuis kali.org/get-kali
# Après démarrage, mettre à jour les outils :
sudo apt update && sudo apt upgrade -y

# Vérifier la présence des outils OSINT :
which theHarvester recon-ng spiderfoot maltego shodan

Outils de reconnaissance technique

Shodan : le moteur de recherche des objets connectés

Shodan est souvent décrit comme le “Google des appareils connectés”. Contrairement aux moteurs de recherche classiques qui indexent des pages web, Shodan scanne en permanence les adresses IP publiques et catalogue les services exposés : serveurs web, bases de données, caméras IP, systèmes industriels (SCADA), imprimantes réseau.

Pour une entreprise, Shodan permet d’identifier :

• Les ports ouverts sur les adresses IP de l’organisation
• Les versions logicielles des services exposés (et donc les vulnérabilités connues associées)
• Les appareils IoT connectés au réseau de l’entreprise
• Les certificats SSL et leur configuration
• Les bannières de service révélant des informations sur l’infrastructure

Une première recherche via l’interface web ou en ligne de commande :

# Installation du client CLI (pré-installé sur Kali)
pip install shodan

# Initialiser avec votre clé API (gratuite après inscription)
shodan init VOTRE_CLE_API

# Rechercher les services exposés de votre organisation
shodan search "hostname:entreprise.fr"

# Obtenir un résumé pour une IP spécifique
shodan host 203.0.113.42

# Compter les services exposés pour une organisation
shodan count "org:\"Nom de l'entreprise\""

Les résultats sont souvent révélateurs : bases de données MongoDB accessibles sans authentification, interfaces d’administration exposées, serveurs utilisant des versions logicielles obsolètes.

SpiderFoot : l’automatisation de la collecte

SpiderFoot est un outil open source d’automatisation OSINT qui orchestre plus de 200 modules de collecte. À partir d’une cible (domaine, adresse IP, email, nom), SpiderFoot interroge simultanément des dizaines de sources : DNS, WHOIS, Shodan, VirusTotal, Have I Been Pwned, réseaux sociaux, bases de données de fuites.

# Lancer SpiderFoot en mode interface web (pré-installé sur Kali)
spiderfoot -l 127.0.0.1:5001

# Ou en ligne de commande pour un scan rapide
spiderfoot -s entreprise.fr -t INTERNET_NAME,IP_ADDRESS,EMAILADDR -o csv

# Scanner un domaine avec tous les modules
spiderfoot -s entreprise.fr -m all

Son principal atout est l’automatisation complète : là où un analyste passerait des heures à interroger manuellement chaque source, SpiderFoot produit un rapport consolidé en quelques minutes. L’outil est disponible en version locale (open source) et en version cloud (SpiderFoot HX).

TheHarvester : inventaire rapide d’un domaine

TheHarvester se spécialise dans la collecte d’adresses email, de sous-domaines et de noms d’hôtes associés à un domaine. Simple et efficace, il interroge Google, Bing, LinkedIn, Shodan et d’autres sources.

# Collecter emails et sous-domaines via plusieurs sources
theHarvester -d entreprise.fr -b google,bing,linkedin,dnsdumpster

# Limiter les résultats et exporter en XML
theHarvester -d entreprise.fr -b all -l 200 -f rapport-entreprise

# Rechercher spécifiquement sur LinkedIn (organigramme)
theHarvester -d entreprise.fr -b linkedin -l 100

Un scan TheHarvester sur un domaine d’entreprise révèle typiquement les adresses email des collaborateurs (format prenom.nom@entreprise.fr), les sous-domaines (intranet, staging, vpn, mail) et les hôtes associés. Ces informations constituent le point de départ d’attaques par credential stuffing ou spear phishing.

Recon-ng : le framework modulaire

Recon-ng adopte une architecture modulaire inspirée de Metasploit. Il propose un workspace par investigation et des modules classés par catégorie.

# Lancer Recon-ng et créer un workspace dédié
recon-ng
[recon-ng][default] > workspaces create audit-entreprise

# Ajouter le domaine cible
[recon-ng][audit-entreprise] > db insert domains
domain (TEXT): entreprise.fr

# Rechercher les modules de reconnaissance disponibles
[recon-ng][audit-entreprise] > marketplace search domains-

# Installer et exécuter un module de découverte de sous-domaines
[recon-ng][audit-entreprise] > marketplace install recon/domains-hosts/hackertarget
[recon-ng][audit-entreprise] > modules load recon/domains-hosts/hackertarget
[recon-ng][audit-entreprise] > run

# Exporter les résultats
[recon-ng][audit-entreprise] > modules load reporting/html
[recon-ng][audit-entreprise] > run

Sa courbe d’apprentissage est plus élevée, mais sa flexibilité et sa capacité à enchaîner les modules en font un outil privilégié des professionnels.

Frameworks d’investigation structurés

Au-delà des outils individuels, plusieurs frameworks organisent et cataloguent l’ensemble des ressources OSINT disponibles.

OSINT Framework (osintframework.com)

Le plus connu est l’OSINT Framework, un arbre interactif qui classe les outils et ressources par catégorie : noms d’utilisateur, adresses email, noms de domaine, adresses IP, réseaux sociaux, images, données géospatiales. Chaque branche mène à des outils spécifiques, gratuits ou payants. C’est un excellent point de départ pour un analyste qui cherche l’outil adapté à une tâche précise.

Malfrat’s OSINT Map

Alternative européenne maintenue par un chercheur français, Malfrat’s OSINT Map propose une cartographie visuelle des outils OSINT avec un accent particulier sur les sources européennes et francophones. Sa mise à jour régulière en fait une référence pertinente pour les investigations portant sur des cibles françaises ou européennes.

MetaOSINT

MetaOSINT adopte une approche méta : il agrège et référence les principales listes d’outils OSINT disponibles, permettant de comparer les recommandations de différentes communautés. C’est l’outil de l’outil, particulièrement utile pour découvrir des ressources de niche.

Choisir le bon outil pour la bonne tâche

Le choix d’un outil dépend de trois facteurs : la nature de la cible (personne, domaine, infrastructure), le type d’information recherchée (relations, vulnérabilités, fuites) et le niveau d’expertise de l’analyste. Un audit rapide d’exposition peut commencer par Google Dorking et Shodan ; une investigation approfondie nécessitera Maltego et Recon-ng ; un monitoring continu s’appuiera sur SpiderFoot.

Collecte passive et collecte active : comprendre la distinction

La distinction entre collecte passive et collecte active est fondamentale en OSINT, tant sur le plan technique que juridique.

Collecte passive

La collecte passive consiste à recueillir des informations sans interagir directement avec la cible. L’analyste consulte des sources publiques, des bases de données tierces, des caches de moteurs de recherche. La cible ne peut pas détecter qu’une investigation est en cours.

Exemples : consultation de profils LinkedIn publics, recherche Google Dorking, consultation de Shodan (qui a déjà scanné les IP), analyse de données WHOIS via des bases historiques, lecture de documents publics.

Collecte active

La collecte active implique une interaction directe avec les systèmes de la cible. Cette interaction génère des traces (logs) et peut potentiellement être détectée.

Exemples : scan de ports sur l’infrastructure de la cible, envoi de requêtes DNS directes, tentatives de connexion à des services exposés, crawling intensif d’un site web.

Implications légales et opérationnelles

En contexte défensif (audit de sa propre organisation), la distinction a moins d’impact juridique puisque l’on opère sur ses propres systèmes. En revanche, dans le cadre d’une investigation sur un tiers, la collecte active peut constituer une intrusion au sens du droit français et européen. L’OPSEC (sécurité opérationnelle) de l’analyste impose de privilégier systématiquement la collecte passive lorsque c’est possible.

Workflow type d’une investigation OSINT

Une investigation OSINT structurée suit un processus en cinq phases :

1. Définition des objectifs : Que cherche-t-on ? Pour qui ? Dans quel cadre légal ? Cette phase détermine le périmètre de l’investigation et les limites éthiques à respecter.

2. Collecte initiale : Rassembler les informations de base sur la cible à partir de sources passives. Google Dorking, WHOIS, réseaux sociaux publics, registres légaux. Cette phase produit les premières entités (domaines, emails, noms) qui alimenteront les outils automatisés.

3. Enrichissement et corrélation : Utiliser les outils spécialisés (Maltego, SpiderFoot, Shodan) pour enrichir les données initiales et identifier les connexions entre entités. C’est la phase où la cartographie prend forme.

4. Analyse et vérification : Recouper les informations, éliminer les faux positifs, évaluer la fiabilité de chaque donnée. Cette phase exige le jugement humain : un outil peut identifier une connexion, seul l’analyste peut en évaluer la pertinence.

5. Documentation et reporting : Consigner chaque étape de l’investigation, les sources consultées, les outils utilisés et les résultats obtenus. La chaîne de preuves doit être traçable et reproductible. Un rapport OSINT professionnel distingue clairement les faits vérifiés des hypothèses, et cite systématiquement ses sources.

Bonne pratique : Horodater et capturer (screenshot) chaque découverte significative. Les contenus en ligne peuvent disparaître à tout moment, et la crédibilité d’une investigation repose sur la capacité à prouver l’existence des données au moment de la collecte.

Vers la pratique défensive

La maîtrise de ces outils et méthodes constitue le socle technique nécessaire pour passer à l’étape suivante : l’OSINT défensif. Dans le prochain chapitre, nous appliquerons ces outils contre notre propre organisation pour identifier et réduire notre surface d’exposition numérique.

Besoin d’un regard expert sur votre surface d’exposition ? Nos consultants réalisent des audits OSINT adaptés à votre secteur et votre taille.

📚 Sources et références ▼

Outils et plateformes

• Kali Linux - Distribution de référence pour la cybersécurité
• Shodan - Moteur de recherche des appareils connectés
• Maltego - Plateforme de cartographie relationnelle
• SpiderFoot - Outil d'automatisation OSINT open source
• Recon-ng - Framework de reconnaissance modulaire

Frameworks et ressources

• OSINT Framework - Arbre interactif des outils OSINT
• Google Hacking Database (GHDB) - Exploit-DB
• MetaOSINT - Agrégateur de listes d'outils OSINT

Cadre légal

• Article 323-1 du Code pénal - Accès frauduleux à un système informatique
• CNIL - Guide pratique sur la sécurité des données personnelles