Retour aux actualités
    Ethical Hacking

    Reconnaissance OSINT en ethical hacking : outils et cadre légal

    La reconnaissance est la première phase de tout pentest. Elle consiste à collecter le maximum d'informations sur la cible depuis des sources publiques (OSINT) sans interagir directement avec ses systèmes. Maîtrisée, elle permet d'identifier les vecteurs d'attaque les plus prometteurs avant même de lancer un seul scan.

    Cadre légal de la reconnaissance

    En France, la reconnaissance OSINT dans le cadre d'un pentest est encadrée par le Code pénal (art. 323-1 à 323-7). La collecte d'informations publiquement disponibles est légale, mais l'accès non autorisé à des systèmes ne l'est pas.

    Prérequis indispensables : une lettre d'autorisation signée définissant précisément le périmètre (domaines, plages IP, systèmes) et la période d'engagement. Sans ce document, même une reconnnaissance passive peut exposer le testeur à des poursuites. Certains prestataires font signer une convention d'audit homologuée ANSSI/PASSI.

    Les 5 catégories de sources OSINT

    1. Infrastructure réseau et DNS

    Cartographier l'infrastructure publique de la cible : enregistrements DNS (A, MX, NS, TXT, SPF, DMARC), plages IP WHOIS, ASN, certificats TLS (Certificate Transparency via crt.sh), sous-domaines via brute-force passif.

    • theHarvester : emails, sous-domaines, IPs depuis Google, Bing, Shodan, certspotter.
    • Amass (OWASP) : découverte de sous-domaines via OSINT passif et brute-force.
    • dnsx / MassDNS : résolution DNS massivement parallèle.
    • crt.sh : recherche dans les logs Certificate Transparency pour trouver des sous-domaines.

    2. Moteurs de recherche de périphériques connectés

    Identifier les systèmes exposés sur Internet avant même de les scanner directement.

    • Shodan : indexe les bannieres des services exposés (HTTP, SSH, RDP, FTP, Elasticsearch). Recherche : org:"Entreprise SA" port:3389.
    • Censys : similaire à Shodan, meilleure couverture des certificats TLS.
    • FOFA : moteur de recherche chinois avec données complémentaires à Shodan.
    • GreyNoise : distingue les scanners massifs du trafic ciblé.

    3. Fuites de données et credentials

    • Have I Been Pwned API : recherche des adresses emails du domaine dans des fuites connues.
    • DeHashed : base de données de 15+ milliards d'identifiants compromis.
    • Intelligence X : archive de données passées (Pastebin, darknet, fuites).
    • Trufflehog / GitLeaks : recherche de secrets dans les dépôts GitHub publics de l'entreprise.

    4. Renseignements sur les personnes (HUMINT/SOCMINT)

    • LinkedIn : organigramme, technologies utilisées (mentions dans les offres d'emploi), compétences des équipes IT.
    • Hunter.io : format des adresses email de l'entreprise, emails de dirigeants.
    • Maltego : corrélation graphique de toutes les données OSINT (personnes, domaines, IPs, réseaux sociaux).

    5. Code source et fichiers publics

    • GitHub Dorks : recherche de secrets dans les repos publics (org:entreprise password).
    • Google Dorks : recherche de fichiers sensibles exposés (site:entreprise.fr filetype:xls).
    • Wayback Machine : pages web archivées pouvant révéler d'anciens portails, API ou technologies.

    Frameworks OSINT intégrés

    • Recon-ng : framework modulaire Python, similaire à Metasploit pour l'OSINT, 100+ modules.
    • SpiderFoot : automatise 200+ sources OSINT, interface web, génère des rapports.
    • OSINT Framework (osintframework.com) : répertoire interactif de toutes les sources OSINT par catégorie.
    • Kali Linux / Parrot OS : distributions avec tous les outils préinstallés.

    Ce que révèle une bonne reconnaissance

    À l'issue d'une phase OSINT bien menée, le pentesteur dispose généralement de :

    • • La cartographie complète des domaines, sous-domaines et plages IP exposés.
    • • La liste des technologies utilisées (serveurs web, CMS, langages, CDN).
    • • Des identifiants potentiellement compromis d'employés.
    • • Des secrets accidentellement exposés dans du code source public.
    • • Des cibles à tester en priorité (VPN, portails d'administration, API).

    Ces informations guident les phases suivantes du pentest (scanning, énumération, exploitation) et permettent de concentrer les efforts sur les vecteurs d'attaque les plus réalistes.

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.