OSINT et investigation numérique : guide complet 2026

Lecture : 18 minutes · Niveau : intermédiaire · Mise à jour : avril 2026

⚠️ Disclaimer légal et éthique : L’OSINT (Open Source Intelligence) collecte et analyse uniquement des informations publiquement accessibles. Toute action contournant un contrôle d’accès, exploitant une vulnérabilité, ou exploitant une donnée personnelle hors cadre légal sort du champ OSINT. Au Sénégal, la loi 2008-12 sur les données personnelles (cdp.sn) encadre strictement le traitement de données nominatives même issues de sources ouvertes. Cet article est destiné aux journalistes d’investigation, chercheurs en sécurité, équipes due diligence, professionnels conformité et forces de l’ordre opérant dans un cadre légal.

L’OSINT (Open Source Intelligence) est la discipline de collecte, vérification et analyse d’informations issues de sources publiquement accessibles : sites web, réseaux sociaux, registres publics, bases de données ouvertes, archives, médias. Pour une PME, l’OSINT sert à plusieurs cas d’usage légitimes : due diligence avant un partenariat commercial, lutte contre la fraude, investigation interne post-incident, analyse concurrentielle, vérification de l’identité d’un candidat à l’embauche, recherche d’employés disparus, détection de fuite de données. Pour les journalistes ouest-africains, l’OSINT est devenu un outil quotidien — Bellingcat a popularisé une méthodologie maintenant enseignée dans les rédactions du Sénégal au Burkina.

Ce guide trace le cadre stratégique, légal, méthodologique et opérationnel de l’OSINT moderne pour le contexte ouest-africain. L’objectif n’est pas de transformer chaque dirigeant en analyste OSINT mais de comprendre les capacités réelles, les limites éthiques, et comment commander ou opérer une investigation OSINT avec sérieux. Pour le détail technique des outils, voir les satellites du cluster.

Sommaire

Qu’est-ce que l’OSINT ?
Cadre légal en Afrique de l’Ouest
Éthique et responsabilité de l’analyste
Cas d’usage légitimes pour PME et journalisme
Méthodologie générique : 6 phases
Sources ouvertes : taxonomie
Vérification et confiance des sources
OPSEC de l’analyste OSINT
Livrables et chaîne de preuves
Pièges fréquents
FAQ

1. Qu’est-ce que l’OSINT ?

OSINT = Open Source Intelligence : intelligence (au sens « renseignement », connaissance utile à une décision) issue de sources ouvertes, c’est-à-dire publiquement accessibles sans contournement.

Sources OSINT typiques :
– Web public (sites, forums, blogs, paste sites)
– Réseaux sociaux (LinkedIn, X/Twitter, Facebook, TikTok, Instagram, Telegram)
– Registres publics (RC du Sénégal, BO français INPI, OpenCorporates international)
– Données géospatiales (Google Earth, OpenStreetMap, Mapillary, Sentinel Hub satellite)
– Archives (Wayback Machine, archive.today)
– Médias (presse, radio, TV, YouTube)
– Bases académiques (Google Scholar, ResearchGate)
– Documents fuités publics (rendus accessibles par leakers ou leurs publications)

Ce qui n’est PAS de l’OSINT :
– Pirater un compte pour récupérer des messages (illégal)
– Acheter des données volées (illégal et éthiquement inacceptable)
– Phishing pour obtenir des identifiants (illégal)
– Obtenir un document interne d’une source non autorisée à le diffuser (zone grise selon contexte journalistique vs corporate)

Disciplines voisines :
– HUMINT : renseignement humain (interrogations, entretiens, infiltration)
– SIGINT : renseignement signal (interception télécoms — réservé services étatiques)
– GEOINT : renseignement géospatial (imagerie satellite, cartographie)
– SOCMINT : renseignement réseaux sociaux (sous-ensemble OSINT)
– FININT : renseignement financier (transactions, registres, sanctions)

L’OSINT est devenu un multiplicateur de capacités : ce qu’un journaliste mettait des semaines à produire en 1995 peut désormais se faire en heures avec les bons outils.

Évolution récente : OSINT 2.0. La discipline a connu une transformation majeure depuis 2015. La quantité de données disponibles a explosé (chaque personne laisse aujourd’hui une empreinte numérique massive), les outils d’analyse se sont sophistiqués (Maltego, BloodHound transposé OSINT, automatisation Python), et l’IA générative agit dans les deux sens — accélératrice pour l’analyste mais aussi multiplicatrice de désinformation à vérifier. Pour une PME ouest-africaine en 2026, savoir cadrer une mission OSINT et lire un rapport est devenu une compétence dirigeante au même titre que comprendre un audit financier.

2. Cadre légal en Afrique de l’Ouest

L’OSINT n’est pas illégal en soi, mais ses applications le deviennent dès qu’on traite des données personnelles ou qu’on accède à des contenus censés être privés.

Au Sénégal :
– Loi 2008-12 sur la protection des données personnelles : tout traitement de données nominatives nécessite une base légale (consentement, intérêt légitime, mission d’intérêt public, etc.). cdp.sn est l’autorité de référence.
– Loi 2008-11 sur la cybercriminalité : sanctionne l’accès frauduleux à un système.
– Liberté de la presse : protection des journalistes dans leurs investigations légitimes.
– Code pénal : protection vie privée, secret professionnel, etc.

Côte d’Ivoire, Burkina, Mali, Bénin, Togo, Niger : lois équivalentes inspirées de la Convention de Malabo (UA) sur la cybersécurité et les données personnelles. Vérifier au cas par cas avec un juriste local.

Application pratique :
– ✅ Consulter un profil LinkedIn public d’une personne — légal
– ✅ Consulter le RC d’une société sénégalaise via l’OHADA — légal
– ⚠️ Compiler un dossier complet sur une personne incluant données sensibles (santé, religion, opinions politiques) — encadré strictement, base légale nécessaire
– ❌ Acheter une « fiche complète » sur un broker de données illégal — illégal
– ❌ Utiliser les credentials d’un employé pour accéder à un système même OSINT — illégal

RGPD (UE) : si vos cibles ou vos clients sont en UE, le RGPD s’applique extraterritorialement. Sanctions sévères en cas de non-conformité.

3. Éthique et responsabilité de l’analyste

Le cadre légal est un plancher, l’éthique est le plafond.

Principes éthiques OSINT (largement partagés) :

Minimisation : ne collecter que ce qui est nécessaire à la mission.
Proportionnalité : la profondeur de l’investigation doit être proportionnée à l’enjeu.
Vérification : ne jamais publier ou agir sur une information non recoupée.
Préservation des sources : ne pas exposer une source vulnérable.
Préservation de la cible non-suspecte : un suspect a des proches, collègues, contacts ; éviter le dégât collatéral.
Transparence sur la méthodologie : l’analyste doit pouvoir justifier sa démarche.
Réversibilité : si on découvre que la cible n’est pas pertinente, supprimer les données collectées.

Cas concrets de dilemmes éthiques :

Un journaliste découvre l’adresse personnelle d’un dirigeant corrompu. Publier ? Risque pour la famille du dirigeant qui n’est pas en cause. → Habituellement non publiée.
Une PME enquête sur un employé soupçonné de fraude. Peut-elle scruter ses réseaux sociaux personnels ? → Encadrement RH strict, base légale de l’employeur, proportionnalité.
Une investigation révèle une affaire de corruption mais aussi une affaire personnelle sans rapport. Diffuser tout ? → Non, séparer ce qui est d’intérêt public.

Code éthique recommandé : Bellingcat (bellingcat.com/about/) a publié des guidelines reprises par de nombreux analystes. À documenter en interne avant de lancer une mission.

4. Cas d’usage légitimes pour PME et journalisme

Pour PME ouest-africaines :

Due diligence partenaire : vérifier l’existence légale d’une société, sa réputation, l’identité de ses dirigeants avant un contrat ou un investissement
Lutte contre la fraude : investiguer un client / fournisseur soupçonné de fraude
KYC renforcé : compléter les vérifications réglementaires bancaires (Know Your Customer) sur des contreparties à risque
Recouvrement de créances : retrouver un débiteur en fuite (avec mandat d’huissier)
Recrutement : background check d’un candidat à un poste sensible (avec son consentement explicite)
Brand protection : détecter les usages frauduleux de la marque (faux sites, phishing, contrefaçons)
Veille concurrentielle légale : suivre l’activité publique de concurrents
Réponse à incident : enquêter sur l’origine d’une attaque ou d’une fuite

Pour journalisme d’investigation :

Identifier des bénéficiaires effectifs cachés derrière des sociétés écrans
Vérifier des affirmations factuelles (déclarations politiques, statistiques officielles)
Géolocaliser des images / vidéos pour confirmer leur authenticité
Documenter des violations de droits humains
Cartographier des réseaux de corruption ou d’influence
Vérifier l’authenticité d’une source ou d’un document reçu

Pour forces de l’ordre / régulateurs :
– Soutien à l’enquête (toujours encadré par le cadre judiciaire)
– Surveillance ouverte du crime organisé
– Vérification de violations de sanctions internationales

5. Méthodologie générique : 6 phases

1. Cadrage
   - Question d'investigation précise
   - Périmètre, hypothèses, exclusions
   - Cadre légal et éthique validé
   - Délai et budget
2. Collecte
   - Identification sources pertinentes
   - Extraction systématique
   - Préservation chaîne de preuves
3. Vérification
   - Recoupement multi-sources
   - Tests d'authenticité
   - Identification biais et trous
4. Analyse
   - Mise en relation des éléments
   - Hypothèses concurrentes (ACH)
   - Construction de la timeline / graphe relationnel
5. Synthèse
   - Conclusions étayées
   - Niveau de confiance par fait
   - Limites et incertitudes
6. Restitution
   - Rapport adapté au public (interne, judiciaire, presse)
   - Préservation des preuves
   - Plan de conservation / destruction des données

Outil méthodologique : ACH (Analysis of Competing Hypotheses). Lister toutes les hypothèses possibles, puis pour chaque preuve, évaluer si elle confirme/infirme/n’affecte pas chaque hypothèse. La meilleure hypothèse est celle qui survit à la plupart des preuves contradictoires — pas celle qui en confirme le plus.

Discipline du carnet de bord. Chaque action significative doit être consignée : URL consultée, capture sauvée, hypothèse formulée, source contactée. Le carnet sert à reconstruire la démarche en cas de contestation et à éviter les redondances entre analystes sur une même mission. Format minimal : timestamp UTC, action, source, observation. Outil simple : un fichier Markdown versionné en Git privé suffit pour les missions courtes ; Hunchly automatise la collecte navigateur pour les missions longues.

6. Sources ouvertes : taxonomie

Sources personnelles :
– LinkedIn (parcours pro, contacts)
– X/Twitter (opinions, proximités)
– Facebook (cercle privé/famille)
– Instagram (lifestyle, géolocalisation)
– TikTok (présence jeune public)
– GitHub/GitLab (compétences tech, projets)

Sources entreprises :
– Registre du Commerce et du Crédit Mobilier (Sénégal, OHADA)
– BODACC (France) pour sociétés liées à la France
– OpenCorporates (international agrégateur)
– Companies House (UK)
– SEC EDGAR (US sociétés cotées)

Sources géospatiales :
– Google Earth + Street View
– OpenStreetMap
– Mapillary, Apple Look Around
– Sentinel Hub (imagerie satellite gratuite)
– Planet Labs (commercial haute résolution)

Sources techniques :
– crt.sh (certificats SSL)
– Shodan, Censys (services exposés)
– DNSdumpster, SecurityTrails (DNS history)
– Pastebin, GitHub leaks
– Have I Been Pwned (breach data)

Sources médias :
– Archives presse Lexis/Factiva (payant)
– Google News / actualité locale (Seneweb, Wakat Sera, etc.)
– YouTube
– Telegram channels publics
– Forums spécialisés

Sources gouvernementales :
– Sites officiels ministères / agences
– Données ouvertes (data.gov.sn, data.gov.ci)
– Journal Officiel
– Sanctions internationales (UE, OFAC, ONU)

7. Vérification et confiance des sources

Une information OSINT brute n’a aucune valeur sans vérification. Bellingcat utilise un système de notation à plusieurs niveaux.

Test d’authenticité d’une image / vidéo :
– Reverse image search (TinEye, Google Images, Yandex)
– Analyse EXIF (si disponibles)
– Croisement géolocalisation (chronologie soleil, ombres, météo)
– Comparaison avec autres sources de la même date / lieu

Test d’authenticité d’un document :
– Métadonnées du fichier (création, auteur, version logiciel)
– Cohérence interne (dates, noms, formats)
– Recoupement avec d’autres sources

Test d’authenticité d’un compte social :
– Date de création
– Historique d’activité (cohérence)
– Réseau de contacts
– Recoupement avec autres comptes de la même personne

Niveaux de confiance suggérés :

Niveau	Critère
Confirmé	2+ sources indépendantes fiables + preuve technique
Probable	1 source fiable + cohérence avec autres éléments
Possible	1 source non fiable, à recouper
Non vérifié	Information signalée mais pas de validation
Faux	Démonstré faux après vérification

Toujours indiquer le niveau de confiance dans le rapport final. Une affirmation présentée comme certaine alors qu’elle est seulement probable est une faute professionnelle.

8. OPSEC de l’analyste OSINT

L’analyste OSINT laisse des traces. Une cible technique peut détecter qu’elle est investiguée.

Risques typiques :
– Logs serveur si on visite un site cible
– Notifications LinkedIn (« X a consulté votre profil »)
– Activation comptes dormants si on s’authentifie depuis IP inhabituelle
– Empreinte navigateur trackée

Bonnes pratiques OPSEC :

Sock puppet : compte personnage dédié à l’OSINT (pas votre compte personnel ni pro)
VPN ou Tor pour masquer l’IP
Navigateur dédié : Brave / Firefox profile séparé, pas de connexion
Pas de login sur LinkedIn sans nécessité (mode incognito + LinkedIn Lite)
Pas de like, commentaire, partage sur les pages cibles
VM dédiée pour les analyses sensibles (snapshots restaurables)
Documents collectés stockés chiffrés (Veracrypt, LUKS)
Pas de partage externe de l’investigation en cours
Mots-clés Google séparés des comptes Google personnels

Sock puppet plausible :
– Nom plausible (générateur Fake Name Generator)
– Photo IA générée (mais éviter les artefacts évidents — thispersondoesnotexist.com était signaturé)
– Activité minimale mais cohérente sur 6+ mois avant investigation
– Numéro téléphone via service eSIM séparé
– Email dédié (ProtonMail, Tutanota)

À éviter absolument :
– Utiliser un compte qui partage IP/cookies/empreintes avec votre identité réelle
– Réutiliser le même sock puppet sur des affaires sensibles consécutives
– Laisser des traces évidentes (commentaire, like) sur les pages cibles

9. Livrables et chaîne de preuves

Livrables types :

1. Rapport d’investigation (10-50 pages selon scope)
– Executive summary
– Méthodologie et outils
– Faits établis (par source)
– Niveaux de confiance
– Conclusions et limites
– Annexes : screenshots, archives, fichiers récupérés

2. Timeline visuelle
– Chronologie des événements
– Sources de chaque point

3. Graphe relationnel
– Personnes, organisations, lieux
– Relations identifiées
– Outils : Maltego CE, Gephi, draw.io

4. Dossier de preuves chiffré
– Captures écran (avec hash SHA-256)
– Archives complètes (HTML + assets)
– Wayback Machine archives forcées
– Logs des consultations

Chaîne de preuves (pour usage judiciaire potentiel) :

Collecte
  └── Hash SHA-256 fichier original
  └── Date/heure UTC précise
  └── URL source complète
  └── Wayback Machine archive (immutable)
  └── Operator name
       │
       ▼
Conservation
  └── Stockage chiffré (LUKS / Veracrypt)
  └── Multiple copies (3-2-1)
  └── Logs d'accès au dossier
       │
       ▼
Analyse
  └── Annotations séparées des originaux
       │
       ▼
Restitution
  └── Hash de chaque pièce dans le rapport
  └── Dossier preuve fourni séparément (chiffré)

Conservation : durée définie selon contexte légal. Pour des données personnelles : minimum nécessaire à la mission, suppression certifiée après. Documenter la suppression.

10. Pièges fréquents

Confirmation bias : chercher uniquement ce qui confirme l’hypothèse de départ. Pratiquer ACH systématiquement.

Overcollection : collecter trop, se noyer dans le volume. Cadrer l’investigation à des questions précises.

Surinterprétation : donner du sens à des coïncidences. La rigueur statistique élémentaire aide.

Source unique : s’appuyer sur une seule source fiable peut suffire pour une question simple, mais jamais pour une question critique.

Données obsolètes : un site web visité aujourd’hui n’est pas l’état au moment des faits. Toujours archiver et chercher les versions historiques.

Deepfakes / désinformation : la quantité de contenu falsifié explose. Toujours tester l’authenticité avant publication.

Tunnel vision : ne regarder que les éléments à charge. Les éléments à décharge sont parfois plus instructifs.

Confidentialité brisée : discuter d’une investigation en cours avec des tiers (collègues non concernés, conjoint, etc.). Compartimentage strict.

Mélange des comptes : investigation depuis le compte perso, like accidentel sur le profil cible. Chaîne d’erreurs OPSEC.

Pas de cadre légal : lancer une investigation « sympa » sans valider le cadre légal. Risque pénal.

FAQ

L’OSINT est-il légal au Sénégal ?

Oui, dans la mesure où il se limite aux sources publiquement accessibles et respecte la loi 2008-12 sur les données personnelles. La collecte d’informations sur une personne identifiée nécessite une base légale (consentement, intérêt légitime, mission d’intérêt public). cdp.sn régule.

Quelle différence entre OSINT et « espionnage » ?

L’OSINT s’arrête où commence l’illégal : pas de hacking, pas d’achat de données volées, pas de social engineering hostile, pas d’interception de communications. L’analyste OSINT travaille uniquement sur ce qui est publiquement accessible.

Combien coûte une mission OSINT pour une PME ?

Très variable selon scope. Une due diligence rapide sur une société (existence, dirigeants, réputation) prend généralement quelques heures à 1-2 jours d’analyste. Investigation complexe (cartographie d’un réseau frauduleux multi-pays) : plusieurs semaines. Coûts à confirmer auprès de prestataires locaux ou internationaux.

Faut-il une certification pour faire de l’OSINT professionnellement ?

Pas obligatoire. Certifications utiles : eLearnSecurity OSINT (eLS), SANS SEC487 / SEC587, OSINT Foundation OAP, CITP-OSINT (français). Pour le journalisme : formations Bellingcat, GIJN. Pour le secteur privé : exiger un CV avec missions concrètes documentées.

Puis-je vérifier le casier judiciaire d’un candidat avec l’OSINT ?

Non — un casier judiciaire n’est pas une source ouverte au Sénégal ni dans la plupart des pays. Vous pouvez seulement demander un extrait au candidat lui-même, ou via un prestataire de background check ayant les autorisations.

Comment me protéger en tant que journaliste ouest-africain qui fait de l’OSINT sur des sujets sensibles ?

OPSEC strict : VPN, Tor pour les recherches très sensibles, sock puppets séparés, équipements dédiés (laptop chiffré non synchronisé avec compte personnel), Signal pour communications sources, conservation chiffrée. Réseaux d’entraide : GIJN, Forbidden Stories, support journalistique local.

Qu’est-ce que Bellingcat exactement ?

Collectif d’enquête fondé en 2014 par Eliot Higgins. Pionniers de l’OSINT en journalisme d’investigation. Ressources gratuites majeures : ressources d’enquête, articles méthodologiques, formations. À étudier pour qui veut se former sérieusement.

L’IA générative menace-t-elle la fiabilité de l’OSINT ?

Oui — la prolifération de deepfakes et de contenus synthétiques rend la vérification plus difficile et plus indispensable. Outils anti-deepfake émergent mais imparfaits. Toute publication doit indiquer le niveau de vérification atteint et les méthodes employées.

Articles liés (cluster OSINT)

Voir aussi : Pentesting éthique pour PME pour le complément offensif, Cybersécurité pour PME africaines pour le cadre stratégique.

Article mis à jour le 25 avril 2026. Pour signaler une erreur ou suggérer une amélioration, écrivez-nous.