OSINT pour l’entreprise : surveiller sa marque et ses risques

Ce que vous saurez faire à la fin

1. Auditer l’empreinte numérique de votre entreprise
2. Détecter fuites, secrets GitHub, typosquatting
3. Monitorer mentions et exposition Shodan
4. Dashboard OSINT hebdo automatisé

Vue d’ensemble 1 — DNS et certificats

subfinder -d example.sn -silent
amass enum -passive -d example.sn

curl -s 'https://crt.sh/?q=%25.example.sn&output=json' \
  | jq -r '.[].name_value' | sort -u

dig TXT _dmarc.example.sn +short

Vue d’ensemble 2 — Have I Been Pwned

curl -H "hibp-api-key: $HIBP_KEY" \
  https://haveibeenpwned.com/api/v3/breacheddomain/example.sn

Vue d’ensemble 3 — Secrets GitHub publics

gitleaks detect --source https://github.com/monorg --no-git

trufflehog github --org=monorg --only-verified

gh search code "ANTHROPIC_API_KEY" --owner monorg

Vue d’ensemble 4 — Shodan

pip install shodan
shodan init YOUR_KEY

shodan search "ssl:example.sn"
shodan search "org:"ITSKILLSCENTER""
shodan search "port:9200 country:SN"

Vue d’ensemble 5 — Typosquatting

pip install dnstwist
dnstwist --registered example.sn

# Chaque variation enregistrée = surveiller

Vue d’ensemble 6 — Mentions de marque

import feedparser

flux = {
  "Google Alerts": "https://www.google.com/alerts/feeds/ID1/ID2",
  "Reddit": "https://www.reddit.com/r/all/search.rss?q=example.sn",
}

for nom, url in flux.items():
    feed = feedparser.parse(url)
    for entry in feed.entries[:10]:
        print(nom, entry.title, entry.link)

Vue d’ensemble 7 — Métadonnées PDF

# Télécharger tous les PDF publics
wget -r -l2 -A pdf,docx,xlsx https://example.sn/

# Extraire métadonnées
exiftool -r -a -u -G1:1 example.sn/ | head -100

# Cherchez: chemins internes "C:\Users\", auteurs, versions logiciel

Vue d’ensemble 8 — Enum emails Hunter.io

curl "https://api.hunter.io/v2/domain-search?domain=example.sn&api_key=$HUNTER_KEY"

# Identifier les adresses publiques → renforcer DMARC

Vue d’ensemble 9 — Wayback Machine

curl -s "https://web.archive.org/cdx/search/cdx?url=example.sn&output=json&limit=20" | jq

# Révèle parfois des fichiers sensibles retirés

Vue d’ensemble 10 — Dashboard hebdo

import os, requests
from slack_sdk import WebClient
from datetime import date

slack = WebClient(token=os.environ["SLACK_TOKEN"])
findings = []

# Nouveaux sous-domaines
subs = subprocess.check_output(
    ["subfinder", "-d", "example.sn", "-silent"], text=True
).splitlines()
if len(subs) > 50:
    findings.append({"severity":"med", "detail": f"{len(subs)} sous-domaines"})

# HIBP breaches
r = requests.get(
    "https://haveibeenpwned.com/api/v3/breacheddomain/example.sn",
    headers={"hibp-api-key": os.environ["HIBP_KEY"]}
)
if r.ok and r.json():
    findings.append({"severity":"high", "detail": f"{len(r.json())} breaches"})

# Typosquatting
typo = subprocess.check_output(["dnstwist", "--registered", "--format", "json", "example.sn"])
import json
nouveaux = [v for v in json.loads(typo) if v.get("dns_a")]
if nouveaux:
    findings.append({"severity":"med", "detail": f"{len(nouveaux)} typosquats"})

msg = f"*OSINT hebdo — {date.today()}*\n"
for f in sorted(findings, key=lambda x: x["severity"], reverse=True):
    msg += f"• {f['severity']}: {f['detail']}\n"
slack.chat_postMessage(channel="#secu", text=msg)

Checklist

✓ Sous-domaines diff vs baseline
✓ HIBP check domaine
✓ gitleaks sur repos publics
✓ Shodan query org
✓ dnstwist typosquat
✓ Google Alerts configurées
✓ Métadonnées PDF surveillées

Respect légal : OSINT = données publiques uniquement. Jamais de contournement d’auth ni de scraping violant CGU.

Étape 1 — Cartographier votre surface d’exposition publique

L’OSINT défensif commence par voir ce qu’un attaquant verrait. Une fintech d’Abidjan-Plateau qui pense maîtriser sa communication découvre régulièrement, à la première mission OSINT, que trois sous-domaines de staging exposent des endpoints API non authentifiés et qu’un ancien stagiaire a publié sur GitHub un repo contenant les credentials AWS de 2024.

Listez d’abord vos actifs officiels dans un tableur unique : domaines (entreprise.sn, entreprise.ci), sous-domaines connus, plages IP publiques, comptes corporate (LinkedIn, X, Facebook, GitHub Org), emails de contact publiés. C’est votre référentiel.

Modèle de référentiel actifs (CSV) :
type,valeur,proprietaire,statut
domaine,entreprise.sn,DSI,actif
sous_domaine,api.entreprise.sn,DSI,actif
ip_publique,196.207.X.X/29,DSI,actif
compte_social,linkedin.com/company/entreprise,Marketing,actif
repo_github,github.com/entreprise-org,DevOps,actif

Test concluant : le référentiel tient sur un seul écran. S’il dépasse 200 lignes pour une PME de 50 personnes, vous avez probablement déjà un problème de prolifération à traiter avant l’OSINT.

Étape 2 — Énumérer les sous-domaines avec theHarvester

theHarvester est un outil open-source gratuit (github.com/laramies/theHarvester, licence GPL) qui agrège les sources publiques de découverte de sous-domaines : moteurs de recherche, Certificate Transparency logs, bases passives DNS.

Installez sur une station Linux ou WSL :

git clone https://github.com/laramies/theHarvester.git
cd theHarvester
pip3 install -r requirements/base.txt
python3 theHarvester.py -d entreprise.sn -b crtsh,bing,duckduckgo,otx -l 500

L’argument -b crtsh interroge Certificate Transparency, la source la plus complète pour découvrir des sous-domaines oubliés (un certificat émis par Let’s Encrypt en 2023 sur staging.entreprise.sn restera visible des années).

Sortie attendue : une liste de 5 à 50 sous-domaines selon la taille de l’organisation. Confrontez-la au référentiel de l’étape 1. Toute différence est un signal — sous-domaine de test laissé en ligne, projet abandonné qui répond encore, vhost exposé par erreur.

Étape 3 — Scanner l’exposition réseau avec Shodan

Shodan (shodan.io) indexe les services exposés sur Internet via des bannières. Le plan Membership à 49 USD à vie (paiement unique, vérifié sur shodan.io/store) suffit pour une PME et donne accès à l’API et aux filtres avancés.

Sur l’interface web, lancez les requêtes :

org:"Nom Officiel Entreprise"
net:196.207.X.X/29
ssl.cert.subject.cn:"*.entreprise.sn"
hostname:.entreprise.sn

Vérifiez les ports exposés : si vous voyez un port 3306 (MySQL), 27017 (MongoDB), 6379 (Redis) ou 9200 (Elasticsearch) ouvert sur Internet sans VPN, vous avez une urgence à traiter dans l’heure. Ces bases sont l’origine de 80 % des fuites massives africaines de 2023-2025.

Ce que vous devez voir : entre 0 et 20 résultats pour une PME bien gouvernée. Au-delà, faites un audit du périmètre cloud.

Étape 4 — Vérifier les fuites d’identifiants (Have I Been Pwned)

Troy Hunt maintient haveibeenpwned.com qui indexe plus de 13 milliards de credentials issus de fuites publiques. L’API v3 coûte 3,95 USD/mois et autorise la recherche par domaine entier.

curl -H "hibp-api-key: VOTRE_CLE" \
     -H "User-Agent: OSINT-Defensif-Entreprise" \
     "https://haveibeenpwned.com/api/v3/breacheddomain/entreprise.sn"

La réponse JSON liste chaque email du domaine et les fuites où il apparaît (LinkedIn 2021, Adobe 2013, Collection #1, etc.). Pour chaque collaborateur listé, déclenchez la procédure : reset immédiat du mot de passe corporate, MFA obligatoire si pas déjà actif, audit des comptes externes.

Indicateur de succès : le ratio « emails compromis / total emails du domaine » doit baisser mois après mois grâce aux resets et à la sensibilisation.

Étape 5 — Surveiller la marque avec Google Dorks

Le Dorking est l’usage avancé des opérateurs de recherche Google. Il révèle ce qui est indexé sans être lié — fichiers oubliés, rapports internes, configurations exposées.

site:entreprise.sn filetype:pdf confidentiel
site:entreprise.sn filetype:xlsx
site:pastebin.com "entreprise.sn"
site:github.com "entreprise.sn" password
intitle:"index of" "entreprise.sn"
"@entreprise.sn" filetype:pdf -site:entreprise.sn

Le dernier dork est crucial : il cherche tout PDF sur le web qui contient une adresse email de votre domaine sans être hébergé chez vous.

Programmez ces requêtes en alertes Google Alerts (gratuit) — vous recevrez un mail à chaque nouvelle indexation. Comptez 1 à 5 alertes par mois pour une PME, 30+ pour une marque connue exigeant un veilleur dédié.

Étape 6 — Cartographier les relations avec Maltego CE

Maltego Community Edition (maltego.com, gratuit, limite 12 entités par transform) visualise les relations entre entités : un email mène à un domaine, qui mène à un serveur, qui héberge d’autres domaines.

Téléchargez Maltego CE, créez un compte gratuit, lancez un nouveau Graphe. Glissez une entité Domain, saisissez votre domaine, clic droit → Run Transform → To DNS Name [Robtex] puis To Email Addresses [PGP] puis To Person [WhoisXML].

Le graphe révèle en quelques minutes la cartographie passive : noms du dirigeant exposés via Whois historique, serveurs de mail tiers, domaines connexes enregistrés par la même personne.

Étape 7 — Documenter et instaurer un rituel mensuel

L’OSINT n’est pas un audit ponctuel. Posez un rituel : premier lundi du mois, le RSSI (ou un membre désigné de la DSI dans une PME sans RSSI) refait les étapes 2 à 6, compare aux résultats du mois précédent, ouvre des tickets sur ce qui a changé.

Stockez les rapports mensuels dans un dossier OneDrive Business avec accès restreint à 3-5 personnes. Format minimal : un PDF d’une page par mois listant nouveaux sous-domaines détectés, nouvelles fuites HIBP, nouveaux dorks positifs, actions menées. Sur un angle proche, voyez notre suivi d’expirations Excel applicable aux certificats SSL et l’assistant juridique OHADA.

Surveiller le typosquatting et les abus de marque sur Internet

Le typosquatting consiste pour un attaquant a enregistrer un nom de domaine tres proche du votre (lettre inversee, extension differente, accent supprime) pour intercepter les utilisateurs distraits ou conduire des campagnes de phishing au nom de votre marque. Pour une PME a Dakar dont l’image en ligne represente un patrimoine commercial, surveiller ces variantes est une discipline OSINT essentielle. L’outil de reference s’appelle dnstwist, disponible en ligne de commande sur Linux et Mac, qui genere automatiquement les permutations probables d’un domaine et verifie celles qui sont effectivement enregistrees.

Le scenario typique tient en quatre etapes : passer la commande dnstwist votreentreprise.sn, recuperer la liste des variantes deja enregistrees, verifier manuellement chaque variante (page d’accueil, certificat SSL, mentions legales) et identifier celles qui usurpent votre identite. Pour les variantes flagrantes, deposez une plainte UDRP aupres de l’OMPI ou contactez directement le registrar pour suspension. La procedure prend deux a six semaines mais reussit dans 80 a 90 pour cent des cas si la mauvaise foi est demontrable.

Programmez une surveillance trimestrielle, archivez les rapports avec captures d’ecran horodatees, et tenez un journal des incidents avec leur resolution. Cette tracabilite est precieuse en cas de procedure judiciaire ulterieure et professionnalise la posture de defense de marque.

Surveiller le dark web sans se mettre en danger

Le dark web heberge regulierement des fuites de donnees, dont les credentials d’employes et de clients d’entreprises ouest-africaines. La surveillance n’exige pas d’aller soi-meme sur Tor, ce qui presente des risques juridiques et techniques. La methode professionnelle utilise des services agreges qui crawlent en continu les marketplaces et forums clandestins puis vous notifient si votre domaine apparait. Have I Been Pwned reste la reference gratuite pour les fuites publiques connues, complete par des services payants type SpyCloud ou Constella Intelligence pour la surveillance proactive.

Concretement, configurez une alerte sur votre domaine principal et sur les domaines de filiales, recevez les notifications par mail, puis verifiez systematiquement chaque alerte : authenticite de la fuite, nature des donnees exposees, date probable, action a mener. La reaction standard consiste a forcer la reinitialisation des mots de passe concernes, a notifier les utilisateurs touches conformement a la reglementation locale, et a tracer l’incident dans un registre interne.

N’essayez jamais d’acceder vous-meme aux fuites brutes : la possession de donnees volees, meme dans un but defensif, expose a des poursuites. Travaillez exclusivement via les services agreges qui assument la responsabilite juridique du traitement.

Adapter le framework MITRE ATT&CK a une PME ouest-africaine

MITRE ATT&CK est une base de connaissances qui catalogue les techniques d’attaque observees en environnement reel, organisees en quatorze tactiques (reconnaissance, persistance, exfiltration, etc.). Pour une PME, l’integralite du framework est trop dense : selectionnez les vingt techniques les plus probables dans votre contexte (phishing par mail, mots de passe faibles, USB infecte, RDP expose) et batissez votre plan de defense autour de ces priorites.

Documentez pour chaque technique selectionnee le scenario d’attaque, l’indicateur de detection (log, alerte, comportement anormal) et la mesure de prevention. Ce travail prend trois a cinq jours pour une PME et produit une feuille de route securite concrete et hierarchisee. Voir notre tutoriel Git et GitHub pour gerer en versionnage les procedures de securite et garder un historique des decisions.

Tester regulierement les defenses par exercices internes

Une defense theorique reste theorique tant qu’elle n’a pas ete eprouvee. Organisez chaque trimestre un exercice de phishing interne : un mail factice imitant une notification banque ou un message du PDG, envoye aux collaborateurs, qui mesure le taux de clic et le taux de signalement aupres de l’equipe IT. Les premiers exercices revelent souvent un taux de clic de 25 a 40 pour cent, qui descend a moins de 5 pour cent apres deux ans de sensibilisation continue.

Communiquez les resultats agreges sans nommer les personnes (ce qui briserait la confiance et rendrait l’exercice contre-productif), et completez chaque vague par une formation courte de quinze minutes sur les indicateurs visuels du phishing : domaine d’expedition douteux, urgence artificielle, demande d’action sensible. Cette pedagogie rendue concrete par l’exercice est infiniment plus efficace qu’une simple formation theorique annuelle.

Documentez chaque exercice dans un compte rendu standardise et tracez l’evolution dans le temps. La courbe de progression devient un indicateur de pilotage securite a presenter a la direction generale au meme titre que les indicateurs financiers.

Reservez egalement un budget annuel modeste (souvent moins de 1 pour cent du chiffre d’affaires) pour faire auditer la posture securite par un cabinet specialise tous les deux ans. Ce regard externe complete utilement les exercices internes et identifie les angles morts.