Bienvenue dans le monde merveilleux de l’OSINT — cette joyeuse discipline où l’on collecte des données publiquement disponibles pour les utiliser… contre vous. Pas besoin de hack hollywoodien avec des lignes de code en vert sur fond noir. Ici, on clique, on scrape, et bim, on rentre.
L’OSINT, c’est quoi au juste ?
OSINT signifie Open Source Intelligence. C’est une méthode de collecte d’informations à partir de sources ouvertes : Google, réseaux sociaux, fichiers publics, moteurs comme Shodan ou Censys, Whois, archives web, etc.
Et contrairement à l’idée reçue, ce ne sont pas que des analystes barbus en sweat capuche qui l’utilisent. Les hackers, les pentesters, les commerciaux un peu trop curieux… et parfois vos concurrents, tous s’en servent.
Mais l’OSINT, ce n’est pas juste regarder un profil LinkedIn. C’est savoir quoi chercher, comment croiser les données, et surtout, automatiser. Là où vous voyez un fichier PDF, un bon OSINTeur voit des métadonnées, un chemin réseau, un nom de serveur, un nom d’utilisateur. Et souvent, bingo.
💡 Tu veux un exemple ? Tape simplement
site:entreprise.comdans Google. Tu verras.
Le facteur humain : la porte toujours entrouverte
Dans la majorité des cas, les failles exploitables via OSINT ne viennent pas d’une erreur technique, mais d’un comportement humain mal maîtrisé. Quelques grands classiques :
- Les mots de passe faibles : genre
Azerty2024!ou… le nom du chien. - La réutilisation d’identifiants : parce qu’un mot de passe, c’est comme un slip, ça s’utilise une fois.
- Les fuites de données ignorées : vos credentials traînent sur Pastebin depuis 2022, mais “ce n’était pas si grave”.
- Les accès pros sur des sites persos : on s’inscrit avec l’adresse pro sur un forum d’aquariophilie… qui se fait pirater.
Et là, l’attaquant n’a même plus besoin de forcer la porte. Il a déjà la clé, offerte gracieusement via une fuite ou une erreur de configuration.
Automatiser l’OSINT ? Un jeu d’enfant
Avec les bons outils (comme theHarvester, SpiderFoot, Recon-ng, ou même un bon vieux Google Dork), la collecte devient un processus industriel. Un script Python et hop, 500 adresses email, 200 sous-domaines, et un tableau Excel tout prêt pour l’exploitation.
Les cybercriminels ne se fatiguent plus : ils industrialisent. Toi, tu déploies un patch en sueur à 22h. Eux, ils lancent un bot qui ratisse les sites mal configurés pendant la nuit. Devine qui dort mieux.
Pendant ce temps, dans les PME…
Et c’est là que ça pique : 79 % des dirigeants de PME pensent encore qu’ils ne sont pas exposés à un risque cyber.(Source : Cybermalveillance.gouv.fr)
Spoiler : 2/3 des rançongiciels ciblent des PME. Pourquoi ? Parce que les grandes boîtes se protègent. Les PME, elles, pensent que “personne ne va s’intéresser à nous”.
Mais c’est oublier que la cyberattaque n’est pas toujours ciblée : les robots scannent tout le monde. Et quand ils tombent sur un vieux WordPress pas à jour, une RDP ouverte, ou une liste d’emails internes trouvée sur un document de formation PDF… jackpot.
🔗 Lire notre analyse sur la perception erronée du risque cyber en PME
L’illusion de la protection externe
Beaucoup de structures investissent dans la sécurisation du périmètre : firewall, antivirus, MFA… mais laissent totalement ouverts les accès internes ou indirects.
- Pas d’audit des comptes inactifs.
- Pas de surveillance des publications sur les réseaux sociaux d’entreprise.
- Pas de veille sur les fuites d’identifiants (HaveIBeenPwned ? Connaît pas).
- Aucun inventaire sérieux des sous-domaines exposés.
Résultat ? Même avec un château fort, si la clé traîne sous le paillasson, l’attaquant entre sans bruit.
Alors, que faire ? (À part pleurer)
Quelques bonnes pratiques simples (et qui ne coûtent rien, sauf un peu de bon sens) :
- Former les équipes : oui, même Gérard du SAV doit savoir ce qu’il ne faut pas publier sur LinkedIn.
- Mettre en place une veille OSINT interne : automatisée, hebdomadaire, pilotée par un RSSI.
- Scanner ses propres expos : on recommande SpiderFoot ou Amass pour commencer.
- Alerte sur les credentials leakés : HaveIBeenPwned peut envoyer des notifications aux domaines.
Et surtout : accepter que la menace existe, même si on est “trop petit pour intéresser qui que ce soit”. Parce que dans la vraie vie, ce sont les plus vulnérables qui tombent en premier.
Conclusion ?
L’OSINT est à la cybersécurité ce que le selfie est à l’intimité : une fenêtre qu’on laisse grande ouverte, en pensant que personne ne regarde.
Mais dans le cyberespace, il y a toujours quelqu’un qui regarde.
