OSINT : ce que des inconnus peuvent savoir de vous, sans vous connaître

Tapez votre nom dans un moteur de recherche, en navigation privée, comme si vous ne vous connaissiez pas. Regardez ce qui apparaît. Des photos, peut-être un profil, un vieux compte oublié, un article où vous êtes mentionné. C'est l'exercice que font tous les jours des recruteurs, des journalistes, des voisins curieux, parfois des escrocs. Tous, sans forcément le savoir, font de l'OSINT.

Cet article est découpé en deux parties. D'abord, comprendre ce qu'est l'OSINT et qui s'en sert. Ensuite, regarder ce qu'on peut savoir de vous sans rien vous demander, et voir comment réduire ce qu'on laisse traîner. Pas de mode d'emploi pour fouiller la vie des autres ici, juste de quoi mieux contrôler la vôtre.

1. OSINT, quatre lettres pour une pratique très ancienne

OSINT veut dire Open Source Intelligence, ce qu'on traduit en français par renseignement de sources ouvertes. L'idée est très simple : rassembler des informations à partir de ce qui est publiquement accessible. Pas besoin d'être un espion, pas besoin de pirater quoi que ce soit, il suffit de savoir où regarder et de prendre le temps de recouper les informations.

La pratique est ancienne. Services de renseignement, militaires et diplomates analysent depuis des décennies la presse étrangère et les publications scientifiques. Internet n'a pas inventé l'OSINT, il l'a démultiplié. Avec les réseaux sociaux, la quantité d'informations qu'une personne ordinaire publie sur elle-même a explosé.

C'est un peu comme le travail du détective privé d'il y a trente ans. Sauf qu'aujourd'hui, une grande partie de la vie des gens est documentée publiquement, sans qu'on s'en rende compte. Plus besoin de filature, il suffit de savoir où regarder.

Et il n'y a pas que du travail manuel. Aujourd'hui, des outils dédiés (parfois gratuits, parfois professionnels et payants) automatisent une grande partie du boulot : extraction de données sur les réseaux sociaux, croisement entre plusieurs sources, recherche d'image inversée à grande échelle, fouille dans des bases de fuites. Certaines suites spécialisées poussent l'OSINT à un niveau qu'un travail purement manuel n'atteindrait jamais. Ce qui demandait des heures à un détective il y a vingt ans se fait aujourd'hui en quelques minutes par quelqu'un de bien outillé.

2. Qui s'en sert, et pour quoi faire

Une fois qu'on a compris ce que c'est, on réalise vite que beaucoup de gens en font.

• Les enquêteurs et les agences d'enquête. Pour retrouver une personne, vérifier un patrimoine ou enquêter sur un comportement, les détectives modernes s'appuient largement sur l'OSINT en complément des méthodes classiques. La recherche d'informations publiques est devenue le premier réflexe avant même de bouger sur le terrain.

• Les recruteurs et les services RH. Votre futur employeur tape votre nom et croise ce qu'il trouve avec votre profil professionnel public, vos contributions à des forums, vos prises de position en ligne.

• Les hackeurs et les attaquants ciblés. En cybersécurité, l'OSINT est la première étape de presque toute attaque sérieuse. Avant d'envoyer un mail piégé ou de tenter une intrusion, on commence par cartographier la cible : qui travaille où, qui utilise quoi, quelles habitudes, quels mots-clés. Plus la cible est cernée, plus l'attaque a de chances de marcher.

• La police, la gendarmerie, les services de renseignement. Usage encadré, légal, souvent en complément d'enquêtes plus classiques.

• Les escrocs, les harceleurs, les démarcheurs agressifs. La même mécanique, mais détournée pour préparer une arnaque sur mesure, du chantage, ou ce qu'on appelle le doxxing.

C'est un outil, comme tout outil. Tout dépend de qui s'en sert, et pour quoi faire. Le même savoir-faire qui aide un enquêteur à retrouver une personne sert aussi à un attaquant pour préparer sa prochaine victime.

3. Ce qu'on peut savoir de vous sans rien vous demander

Sans parler de techniques précises, voici les grandes catégories d'informations qui circulent à votre sujet.

• Votre identité civile. Votre nom et votre ville suffisent souvent à pointer un profil, des publications, un employeur, parfois des liens familiaux. Si vous portez un prénom ou un nom peu courant, c'est encore plus rapide.

• Vos adresses mail et vos numéros de téléphone. S'ils ont été utilisés sur des services qui ont connu des fuites de données, ils figurent dans des bases publiques. Ces fuites concernent souvent des sites grand public que vous avez fréquentés sans y penser.

• Vos pseudos. Un pseudo que vous traînez depuis dix ans, recyclé sur plusieurs forums, plusieurs réseaux, plusieurs sites, permet de reconstituer un historique complet : centres d'intérêt, opinions politiques, achats, anciennes connaissances, parfois même votre vraie identité.

• Vos photos publiques. Ce qu'on y voit en arrière-plan compte autant que le sujet principal : noms de rues, enseignes, panneaux. Les fichiers photo originaux peuvent aussi contenir des métadonnées techniques, comme la date exacte de la prise de vue ou la géolocalisation précise. Beaucoup de plateformes les suppriment au moment de la publication, mais elles restent souvent présentes lorsque les fichiers sont partagés directement, par mail ou en messagerie.

• Votre vie professionnelle. Profils pro publics, organigrammes d'entreprise, publications, registres officiels, comptes-rendus d'événements anciens.

• Vos comptes oubliés. Le forum auquel vous vous étiez inscrit en 2009, le blog que vous teniez en 2012, le profil créé pour un service que vous n'utilisez plus depuis longtemps. Tout cela continue souvent d'exister, accessible publiquement, indexé par les moteurs de recherche.

Aucune de ces informations n'est secrète en soi. Le problème, c'est leur agrégation. Mises bout à bout, des informations anodines reconstituent un portrait étonnamment complet.

4. Les détails qu'on partage sans y penser

C'est sans doute le point qui surprend le plus. Le piège n'est pas seulement dans ce qu'on cache mal, c'est dans ce qu'on raconte volontiers parce que ça paraît sans importance.

• Le prénom de votre chien, votre date d'anniversaire, le nom de jeune fille de votre mère, l'école primaire que vous avez fréquentée. Ce sont précisément les informations qui servent de réponses aux questions secrètes des sites bancaires, des messageries et des comptes administratifs. Les publier en story, en post, ou simplement les laisser sur un profil public, revient à offrir la clé de plusieurs serrures.

• Une photo d'anniversaire annonce la date exacte, et l'âge qui va avec. Une photo d'école avec un cartable montre l'établissement de votre enfant. Une photo prise depuis votre fenêtre révèle où vous habitez.

• Vos vacances annoncées en direct indiquent que votre logement est vide pendant deux semaines.

• Une plaque d'immatriculation visible sur une photo permet à plusieurs services en ligne de remonter à des informations sur le véhicule (modèle, motorisation, historique administratif selon les pays), ce qui peut déjà fournir des indices utiles. Un faire-part publié sur un réseau social donne le nom de famille, la date, le lieu, parfois l'adresse.

Tout cela nourrit aussi le phishing ciblé. Un message d'arnaque convaincant commence souvent par une information vraie, prise quelque part en ligne, qui vous met en confiance. Plus on en sait sur vous, plus l'arnaque devient crédible.

5. Réduire son empreinte : les bons réflexes

La bonne nouvelle, c'est qu'on peut agir efficacement. Voici une série de réflexes à mettre en place point par point, sans chercher à tout faire d'un coup.

• Vous Googler vous-même régulièrement, en navigation privée, sur deux ou trois moteurs différents. C'est le premier geste, et c'est celui que presque personne n'a jamais pris.

• Fermer ce qui ne sert plus. Vieux comptes, anciens profils, services testés une fois et oubliés. Un compte fermé proprement, c'est une porte de moins.

• Vérifier l'exposition de vos adresses mail. Des services en ligne dédiés permettent de savoir si une adresse mail figure dans une fuite de données connue. À utiliser sur vos propres adresses, jamais sur celles des autres.

• Faire jouer le droit au déréférencement. Le RGPD vous permet d'en faire la demande à un moteur de recherche pour qu'il n'affiche plus certaines pages liées à votre nom. Attention, ce n'est pas automatique : la demande est examinée au cas par cas, et le moteur peut refuser si l'information présente un intérêt pour le public, typiquement pour une personnalité publique ou une affaire d'actualité. Un formulaire officiel existe chez chacun des grands moteurs.

• Demander la suppression aux sites concernés. Annuaires, vieux profils, archives publiques. La plupart obéissent quand on argumente posément en s'appuyant sur le RGPD.

• Séparer vos identités selon les usages. Une adresse pour le travail, une pour les services administratifs, une pour les inscriptions jetables. Un pseudo pour les forums techniques, un autre pour la vie perso. Ça complique sérieusement le travail de qui voudrait tout recouper.

• Ne pas publier les informations qui servent de questions secrètes. Date d'anniversaire, prénom d'animal de compagnie, ville de naissance, nom de jeune fille de la mère, école fréquentée. Mieux encore : quand un site vous demande ce genre de question pour sécuriser votre compte, mettez une réponse fantaisiste et notez-la dans un gestionnaire de mots de passe. Une réponse fantaisiste introuvable en ligne vaut largement mieux que la vraie publiée sur un réseau social.

Et surtout, réfléchir avant de publier : ce qui part en ligne y reste, même supprimé.

La défense est progressive. On ne fait pas tout d'un coup, on s'y met point par point.

6. Et après ?

L'OSINT n'est ni bien ni mal en soi, c'est une technique. Mais en avoir conscience change le regard qu'on porte sur ce qu'on publie. La meilleure défense, ce n'est pas d'effacer après coup, c'est de ne pas avoir laissé traîner au départ.

L'objectif de cet article n'est pas de vous transformer en fantôme numérique. Ce serait illusoire, et probablement épuisant. L'idée est plutôt d'atteindre un palier réaliste : moins de portes ouvertes, moins d'informations qui dorment dans des coins oubliés, plus de contrôle sur l'image que vous présentez en ligne.

Conclusion

Une présence en ligne maîtrisée, c'est moins d'angle d'attaque pour qui vous voudrait du mal, moins de matière première pour les arnaques, et plus de tranquillité au quotidien.

Chez iatko, nous accompagnons particuliers et professionnels qui veulent reprendre la main sur leur empreinte numérique. Que ce soit un audit de votre présence en ligne, des conseils personnalisés pour réduire votre exposition, ou un accompagnement plus large sur la sécurité de vos outils du quotidien, n'hésitez pas à nous contacter.