OSINT Ethique: Enqueter sur sa Propre Empreinte Numerique avec Maltego et Spiderfoot

Vous avez deja ete doxxe sans le savoir. Un dimanche matin recent, j'ai lance Spiderfoot HX sur mon adresse mail principale et obtenu 412 hits en 38 minutes: des brokers comme Pages Jaunes et 118712, d'anciens dumps Collection #1, un profil Last.fm oublie de 2011 avec la meme photo que sur LinkedIn, et deux forums techniques ou j'avais indique ma ville dans le bio. Aucun de ces points n'est dangereux isolement. Combines, ils livrent une adresse approximative, une fourchette de salaire probable, ma stack technique et meme mes horaires de sommeil. C'est l'angle mort que l'OSINT ethique resout, et c'est exactement pour cela qu'il faut s'y mettre avant l'adversaire.

Maltego Community Edition reste le point de depart le plus pedagogique en 2026. Installez la version 4.6, creez un compte gratuit et activez les transforms par defaut du Hub: Have I Been Pwned, Shodan free tier, DNS et WhoisXML. Creez une Entity Email Address avec votre adresse primaire, clic droit, et lancez To Breaches [HIBP]. Ensuite glissez une Phrase avec votre nom complet et lancez To Websites [using Search Engine]. Le graphe grossit vite, et l'astuce est d'utiliser l'onglet Collections pour reduire les noeuds avant qu'ils ne deviennent un spaghetti visuel. Taguez chaque nouveau noeud par couleur: rouge pour vraie PII, jaune pour pseudonymes, vert pour jetable. Cette discipline OPSEC initiale rejoint ce que detaille OPSEC pour Chercheurs en Securite: Modele de Menace Personnel.

Spiderfoot complete Maltego la ou le travail manuel epuise. Utilisez le conteneur officiel: docker run -p 5001:5001 spiderfoot/spiderfoot puis ouvrez http://localhost:5001. Creez un scan de type Footprint avec votre mail, domaine personnel et telephone, activez All modules sauf ceux qui exigent des cles payantes, et laissez tourner 30 a 90 minutes. Le module sfp_haveibeenpwned liste les fuites historiques, sfp_hunter renvoie les emails secondaires lies a votre domaine, et sfp_spider parcourt votre site personnel a la recherche d'emails commentes dans du vieux HTML. J'ai retrouve un fragment de numero d'identite dans un PDF d'evenement de 2018 toujours indexe par Google, probleme classique que resolvent retroactivement les techniques de Hygiene des Metadonnees : Nettoyer EXIF, PDF et Office avant Publication.

La partie la moins sexy est la plus precieuse: croiser les photos. Utilisez PimEyes avec prudence ou, mieux, auto-hebergez FaceCheck.ID via Docker et passez votre portrait professionnel dans la base. En parallele, lancez exiftool sur chaque image publique de vous: exiftool -a -G1 -s portrait.jpg revele la latitude GPS, le modele d'appareil et parfois un numero de serie quand vous avez oublie de nettoyer les metadonnees. J'ai sauve un client d'un harcelement actif parce que son Instagram portait encore le GPS precis de sa maison sur des photos de 2019 jamais nettoyees. Le workflow complet pour compartimenter de futures identites visuelles est dans Compartimentation Numerique: Identites Separees sans Fuiter de Metadonnees, a lire avant de creer le moindre nouveau profil.

Les numeros de telephone sont le vecteur le plus sous-estime. Lancez PhoneInfoga sur votre ligne: phoneinfoga scan -n +33612345678. L'outil interroge NumVerify, OVH et des Google dorks qui font remonter le numero indexe dans des petites annonces, des groupes WhatsApp publics et meme des Google Sheets oublies. Verifiez ensuite dans Truecaller via une app propre dans une VM Android pour voir comment des tiers vous voient, souvent avec un surnom fuite par une appli de livraison. Combinez cela avec des annuaires inverses regionaux et vous detenez deja le meme jeu de donnees qu'un escroc paierait quelques euros sur le dark web. Pour le playbook regional sur les brokers, Securite Personnelle Anti-Doxxing: Supprimer ses Donnees des Data Brokers Bresiliens reste la reference la plus proche meme hors Bresil.

Documentez tout dans un fichier markdown structure par categorie: Email, Telephone, Nom, Photo, Adresse, Employeur, Famille. Pour chaque element expose, ecrivez une action de remediation avec une date butoir: demande d'opt-out au broker, changement de photo recidivante, suppression d'un vieux post, migration vers les passkeys partout ou vous utilisez encore le SMS. Relancez le scan complet tous les 90 jours et faites un diff des resultats, vous verrez alors l'impact reel du travail. Une empreinte numerique ne disparait pas, elle ne fait que retrecir sous discipline. Conseil pratique: bloquez maintenant 4 heures dans votre agenda, installez Maltego CE et Spiderfoot cette semaine, et traitez votre propre nom comme une cible de bug bounty dont la recompense est votre tranquillite.