Reconnaissance et OSINT pas-à-pas — tutoriel CEH 2026

Maîtriser la reconnaissance passive et active sur une cible : énumération DNS, sous-domaines, recherche WHOIS, Google dorking, Shodan, theHarvester, Maltego, recon-ng, Spiderfoot. Toutes les commandes et un workflow complet appliqué à un domaine d’exemple légal.

📍 À lire d’abord : Passer le CEH v13 depuis l’Afrique de l’Ouest — Guide complet 2026 · Lab CEH avec Kali Linux + DVWA + HTB Academy.

⚠️ Ce tutoriel utilise comme cible exemple example.com (RFC 2606, réservé pour la documentation) et des sources OSINT publiques. Pour une vraie cible, vérifier que tu as une autorisation écrite.

Introduction

L’OSINT (Open Source INTelligence) est la collecte d’informations à partir de sources publiques. Pour un pentester, c’est la phase 1 — celle qui pose les bases de toutes les attaques suivantes. Un OSINT mal fait et c’est tout le pentest qui rate : tu attaques le mauvais sous-domaine, tu rates le serveur exposé sur un port non-standard, tu ne trouves pas l’employé qui sera la cible parfaite pour le phishing.

Ce tutoriel construit un workflow OSINT complet sur la cible example.com. À la fin, tu sauras automatiquement énumérer les sous-domaines, identifier les technologies utilisées, lister les e-mails publics du personnel, repérer les serveurs exposés, et croiser tout ça en une carte mentale Maltego exploitable. Le module 02 Footprinting and Reconnaissance du CEH v13 (~10 % de l’examen) repose entièrement sur ces compétences.

Prérequis

• Lab Kali Linux 2026.1 fonctionnel (cf. tutoriel d’installation).
• Connexion Internet stable (tous les outils OSINT interrogent des sources externes).
• Comptes gratuits : Shodan (1 mois free), Censys (free tier), Hunter.io (50 requêtes/mois free).
• Un fichier texte vierge pour collecter tes findings au fur et à mesure.
• Niveau attendu : intermédiaire Linux. Tu sais utiliser grep, pipes, redirections.
• Temps estimé : 3 heures pour le workflow complet.

Étape 1 — Définir ton scope OSINT

Avant la première commande, écris noir sur blanc trois éléments. Ce qui paraît trivial est en réalité ce qui sépare un OSINT professionnel d’une perte de temps.

Cible primaire        : example.com
Cibles secondaires    : sous-domaines, serveurs liés, employés
Type de reconnaissance:
  ☒ Passive  (sans toucher l'infrastructure cible)
  ☐ Active   (avec interaction directe : ping, scan, fingerprint)
Périmètre légal       : RFC 2606 réservé documentation
Objectifs spécifiques :
  - Énumérer 50+ sous-domaines
  - Identifier la stack technique (CMS, frameworks, hébergeur)
  - Lister les e-mails publics
  - Repérer les services exposés
Outputs attendus      : .txt par catégorie + carte Maltego synthèse

La distinction passive/active est cruciale pour ton risque légal et ta discrétion. Reconnaissance passive = consultation de Google, Shodan, archives DNS, sources publiques — ne génère aucun trafic vers la cible, totalement légale et invisible. Reconnaissance active = interaction directe (DNS lookup en direct, ping, scan de port) — génère du trafic, peut être détectée par les WAF/IDS de la cible, demande une autorisation explicite.

Étape 2 — WHOIS et énumération DNS de base

Première étape incontournable : récupérer les enregistrements DNS. Ces requêtes sont passives (consultation des serveurs DNS publics) et révèlent énormément sur la cible.

# Whois (informations de l'enregistrement de domaine)
whois example.com

# Enregistrements DNS principaux
dig example.com ANY
dig example.com NS         # serveurs de noms
dig example.com MX         # serveurs mail
dig example.com TXT        # SPF, DKIM, DMARC, vérifications
dig example.com SOA        # autorité

# Tentative de transfert de zone (rarement autorisée mais à tester)
dig @<NS_serveur> example.com AXFR

Le whois te donne le registrar, les dates de création/expiration, parfois (selon le RGPD) les coordonnées de l’administratif et technique. Les enregistrements TXT révèlent les politiques mail (SPF mentionne IPs et services autorisés à envoyer du mail), les preuves de propriété pour Google Search Console, Microsoft 365, etc.

Le transfert de zone (AXFR) est la cerise sur le gâteau : si un serveur DNS l’autorise, il dump l’intégralité de la zone, listant tous les sous-domaines en une commande. C’est une faille de configuration grossière, qui se trouve encore en 2026 sur 5-10 % des domaines audités.

Étape 3 — Énumération de sous-domaines

Les sous-domaines révèlent l’infrastructure étendue : dev.example.com, staging.example.com, admin.example.com, vpn.example.com. Trois techniques complémentaires.

Brute force avec wordlist (recon active) :

gobuster dns -d example.com -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-110000.txt -o subdomains-bruteforce.txt

Énumération passive via sources publiques (recon passive) :

subfinder -d example.com -all -silent -o subdomains-passive.txt
amass enum -passive -d example.com -o subdomains-amass.txt

subfinder interroge 30+ sources passives (VirusTotal, SecurityTrails, Censys, etc.) sans toucher la cible. amass fait pareil mais plus exhaustif — peut prendre 10-15 minutes. Combiner les deux donne typiquement 80-95 % des sous-domaines existants.

Recherche dans les certificats SSL :

# Via crt.sh (transparence des certificats)
curl -s "https://crt.sh/?q=%25.example.com&output=json" | jq -r '.[].name_value' | sort -u > subdomains-crtsh.txt

Cette source est précieuse : tout certificat SSL émis pour un sous-domaine est journalisé publiquement (Certificate Transparency, RFC 6962). Même les sous-domaines protégés par firewall apparaissent dans crt.sh dès qu’ils ont un cert Let’s Encrypt.

Fusionne les trois sources :

cat subdomains-bruteforce.txt subdomains-passive.txt subdomains-amass.txt subdomains-crtsh.txt | sort -u > subdomains-final.txt
wc -l subdomains-final.txt

Pour vérifier lesquels sont vivants (recon active légère) :

httpx -l subdomains-final.txt -o subdomains-alive.txt

httpx envoie une requête HTTP/HTTPS vers chaque sous-domaine et garde ceux qui répondent. Sur example.com, on attendrait 50+ sous-domaines actifs.

Étape 4 — Google dorking

Google indexe des millions de pages, et certaines révèlent des informations sensibles : fichiers de configuration, listings de répertoires ouverts, anciens rapports d’audits. Les Google dorks sont des requêtes ciblées exploitant les opérateurs avancés du moteur.

Quelques dorks essentiels :

site:example.com -www                       (tous sauf www)
site:example.com filetype:pdf               (PDF publics)
site:example.com filetype:xls OR filetype:xlsx  (Excel)
site:example.com filetype:env               (fichiers .env exposés - critique)
site:example.com inurl:admin                (URLs admin)
site:example.com intitle:"index of"         (listings ouverts)
site:example.com intext:"username" intext:"password"  (creds en clair)
site:example.com inurl:wp-content           (WordPress, scope module 14)
"example.com" -site:example.com             (mentions ailleurs sur le web)

Pour automatiser : utilise DorkSearch.com (gratuit, classement par catégorie de dorks), ou Google Hacking Database sur exploit-db.com (~5 000 dorks classifiés).

⚠️ Ne télécharge ni n’utilise les fichiers sensibles trouvés via dorking ; signaler les découvertes au propriétaire (responsible disclosure) si tu n’as pas mandat de pentest.

Étape 5 — Shodan : moteur de recherche des objets connectés

Shodan indexe les services exposés sur Internet (HTTP, SSH, FTP, RDP, IoT, ICS, base de données ouvertes). C’est la mine d’or pour identifier l’infrastructure d’une cible.

# Configuration Shodan CLI (clé API gratuite après inscription)
shodan init <YOUR_API_KEY>

# Recherche par domaine
shodan domain example.com

# Recherche par hôte spécifique (IP ou domaine)
shodan host 93.184.216.34

# Recherche avancée
shodan search 'hostname:"example.com" port:22'
shodan search 'org:"Example Inc" product:"OpenSSH"'
shodan search 'ssl.cert.subject.cn:"*.example.com"'

Les filtres Shodan utiles :
– port: (limiter à un port)
– country:SN (cibles au Sénégal)
– org:"Sonatel" (par fournisseur)
– product:"Apache" (par logiciel détecté)
– vuln:CVE-2021-44228 (par CVE — log4j ici)
– ssl.cert.expired:true (certs expirés — souvent infrastructures abandonnées)

Shodan free permet 100 résultats/recherche, 10 recherches/mois. Shodan Membership à 49 USD à vie (achat unique, fréquent en promo Black Friday) débloque illimité — investissement raisonnable pour un pentester pro.

Étape 6 — Censys : alternative à Shodan

Censys est l’équivalent académique de Shodan, plus exhaustif sur les certificats SSL et plus à jour sur les CVE.

# Censys CLI
censys search "example.com"

# Recherche par certificat
censys search "parsed.names:*.example.com" --index-type certificates

# Hosts par produit
censys search "services.software.product:Apache AND services.tls.certificates.leaf_data.subject_dn:*example.com*" --index-type hosts

Censys free : 250 requêtes/mois. Combiner Shodan + Censys donne une couverture de ~98 % des services exposés.

Étape 7 — theHarvester : énumération d’e-mails et hosts

theHarvester automatise la collecte d’e-mails, sous-domaines, hosts, et noms de personnes à partir de sources publiques (Bing, Google, Yahoo, DuckDuckGo, GitHub, LinkedIn, etc.).

theHarvester -d example.com -b all -l 500 -f harvester-output

Options :
– -d : domaine cible
– -b : sources (all = toutes, ou liste précise comme bing,google,linkedin)
– -l : limite résultats par source
– -f : préfixe fichier output (HTML + XML générés)

L’output HTML est lisible directement dans un navigateur, classé par type. Les e-mails trouvés sont la base d’une campagne de phishing simulé (avec autorisation) ou simplement la cartographie du personnel.

Étape 8 — Hunter.io et autres recherches d’e-mails

Hunter.io spécialise dans la recherche d’e-mails professionnels. 50 recherches/mois gratuites.

1. Aller sur https://hunter.io
2. Saisir "example.com" dans la recherche
3. Récupérer les e-mails publics (format prénom.nom@example.com généralement)
4. Vérifier la délivrabilité de chaque e-mail (intégré)

Alternatives gratuites : RocketReach, Apollo.io (limites mensuelles), Phonebook.cz (sans limite mais moins fiable).

Pour vérifier qu’une adresse e-mail existe vraiment sans envoyer de mail (validation SMTP) :

# Méthode manuelle (peut être bloquée par les serveurs SMTP modernes)
dig MX example.com +short
telnet mail.example.com 25
> HELO test.com
> MAIL FROM:<test@test.com>
> RCPT TO:<jean.dupont@example.com>
# Si "250 OK", l'adresse existe ; "550" elle n'existe pas

Cette technique fonctionne de moins en moins en 2026 (serveurs configurés en mode catch-all ou refusant les RCPT TO sans authentification). Hunter.io reste plus fiable.

Étape 9 — Recon-ng : framework OSINT modulaire

recon-ng est un framework Metasploit-like pour l’OSINT, avec ~80 modules.

recon-ng

[recon-ng][default] > marketplace search
[recon-ng][default] > marketplace install all
[recon-ng][default] > workspaces create example
[recon-ng][example] > db insert domains example.com
[recon-ng][example] > modules load recon/domains-hosts/hackertarget
[recon-ng][example][hackertarget] > run
[recon-ng][example] > modules load recon/domains-hosts/bing_domain_web
[recon-ng][example][bing_domain_web] > run
[recon-ng][example] > show hosts
[recon-ng][example] > modules load reporting/csv
[recon-ng][example][csv] > run

Recon-ng centralise les findings dans une base SQLite par workspace. Tu peux exporter en CSV, HTML, JSON pour rapports.

Étape 10 — Spiderfoot : automatisation totale

Spiderfoot est l’outil OSINT le plus automatisé. Tu lui donnes une cible, il interroge 200+ sources et te livre une carte de la cible en 30-60 minutes.

spiderfoot -l 127.0.0.1:5001
# Ouvrir http://127.0.0.1:5001 dans le navigateur

Interface web :
1. New Scan > nom example_recon
2. Target: example.com
3. Use Case: Footprint (mode complet)
4. Run

Spiderfoot scanne pendant 30-60 min et présente les résultats classés (sous-domaines, e-mails, accounts liés sur réseaux sociaux, leaks possibles, ports ouverts via Shodan, etc.). Pour une recon ample en peu d’efforts, c’est imbattable.

Étape 11 — Maltego : visualisation et croisement

Maltego (Community Edition gratuite) prend les findings de toutes les étapes précédentes et les visualise en graphe interactif. Tu peux ainsi voir les liens entre personnes, domaines, IPs, e-mails — souvent ce qui révèle le vrai pivot d’une attaque.

1. Télécharger Maltego CE depuis https://www.maltego.com/ce-registration
2. Créer compte gratuit
3. New Graph > drag-and-drop "Domain" entity
4. Renommer en "example.com"
5. Right-click > Run Transform > tous les "DNS" et "Public Records"
6. Le graphe se construit automatiquement

Maltego CE permet 12 transforms par graphe. Pour un pentest pro, la version Pro (5 000 USD/an) est nécessaire ; pour la pratique CEH, la CE suffit largement.

Étape 12 — Synthétiser les findings

À la fin du workflow, organise tes résultats dans un fichier structuré pour le rapport :

# Reconnaissance OSINT — example.com — 2026-04-30

## Périmètre
- Cible : example.com
- Type : passif + active légère (httpx)
- Durée : 3 heures

## Sous-domaines actifs (62 trouvés)
- www.example.com
- mail.example.com
- ...

## Stack technique identifiée
- Front-end : nginx 1.21
- Hébergeur : Cloudflare
- CMS : WordPress 6.5

## E-mails publics (8 trouvés)
- jean.dupont@example.com (DRH, source: LinkedIn)
- ...

## Services exposés (Shodan)
- 22/tcp SSH OpenSSH 8.4
- 80/tcp HTTP nginx 1.21
- 443/tcp HTTPS
- 3389/tcp RDP (sous-domaine vpn.example.com — anomalie)

## Anomalies / pivots prioritaires
- AXFR autorisé sur ns2.example.com (faille config)
- Sous-domaine staging.example.com sans authentification
- 3 fichiers .env exposés via Google dorking

Cette synthèse alimente la phase suivante (scanning) avec une vraie liste de cibles prioritaires.

Erreurs fréquentes

Adaptation au contexte ouest-africain

Pour les ESN cybersécurité qui font des audits PME : ce workflow OSINT prend 3-4 heures et constitue le livrable de la phase 1 d’un pentest standard à 1 500 000 – 3 000 000 FCFA. Documenter chaque commande exécutée et chaque source consultée dans un fichier daté pour le rapport final.

Pour les opérateurs qui font de la threat intelligence : Shodan + Censys avec filtre country:SN ou country:CI permet de surveiller l’exposition d’infrastructures critiques nationales. Plusieurs ANSSI ouest-africaines ont des veilles automatisées sur ce principe.

Pour les bug bounty hunters francophones : la phase OSINT est ce qui distingue un chasseur qui trouve 1 vulnérabilité par mois d’un qui en trouve 10. Outil supplémentaire à ajouter pour bounty : chaos (de ProjectDiscovery), qui agrège les sous-domaines de millions de programmes bug bounty.

Pour les centres de formation cybersécurité : ce TP est idéal pour un atelier de 4 heures en groupe. Faire travailler chaque étudiant sur un site web public légalement scrappable (sites gouvernementaux open data, leur propre école), puis croiser les findings en groupe.

FAQ

OSINT est-il toujours légal ?

Pour la recherche pure dans des sources publiques, oui, dans tous les pays CEDEAO. La grise zone commence quand on agrège massivement des données personnelles (RGPD, loi 2008-12 Sénégal art. 431-30) — un OSINT qui collecterait sans but légitime tous les e-mails de 50 000 employés est un traitement de données personnelles régi par les lois nationales de protection des données. Pour un pentest avec mandat, ces collections sont couvertes par le contrat.

Peut-on faire OSINT sans Internet ?

Limitée. La majorité des outils interrogent des sources cloud. Tu peux faire de l’OSINT offline sur des dumps locaux (archives Common Crawl, leaks téléchargés) mais c’est marginal. La connexion Internet est de facto obligatoire.

Combien de temps pour un OSINT pro ?

Pour un site web standard (PME 50 employés) : 3-5 heures. Pour une grande entreprise : 10-20 heures. Pour un État : 100+ heures et c’est rarement exhaustif.

Quelle est la différence entre OSINT et recon active ?

OSINT = consultation de sources publiques sans interaction avec la cible. Recon active = interaction directe (DNS résolution, ping, scan). Les deux sont nécessaires en pentest mais OSINT vient en premier pour minimiser le bruit.

Les outils OSINT laissent-ils des traces ?

OSINT passif : ne laisse pas de trace côté cible (la cible ne voit que des requêtes vers Google, Shodan, etc., pas vers elle). OSINT actif (même un simple dig ou un httpx) génère du trafic visible dans les logs du serveur cible. Toujours réfléchir à ce qui est passif vs actif avant chaque commande.

Faut-il un VPN pour OSINT ?

Recommandé pour la recon active (ne pas exposer ton IP réelle dans les logs cibles), pas indispensable pour la recon passive. Mullvad, ProtonVPN, ou un VPS personnel sur Hetzner avec WireGuard font l’affaire pour 5 USD/mois.

Pour aller plus loin

• 🔝 Article cadre : Passer le CEH v13 depuis l’Afrique de l’Ouest — Guide complet 2026
• ⬅️ Prérequis : Lab CEH avec Kali Linux + DVWA + HTB Academy
• ➡️ Suite logique : Scan réseau avancé avec Nmap (à venir).
• ➡️ Application : Exploitation web avec Burp Suite Community (à venir).
• Documentation officielle : OSINT Framework — répertoire visuel de 1 000+ outils OSINT par catégorie, Bellingcat Toolkit — outils utilisés par les enquêteurs OSINT pro.
• Plateformes pratique : TryHackMe — OSINT path, HTB Academy — OSINT modules.
• Suggestion d’entraînement : refais ce workflow sur ton propre site web personnel ou celui d’un ami qui t’autorise. Compare le temps et l’exhaustivité avec un audit professionnel — tu verras vite où tu peux progresser.

Mots-clés secondaires : OSINT pentesting, énumération sous-domaines, Shodan Censys recherche, Google dorking, theHarvester recon-ng, Spiderfoot Maltego, reconnaissance passive active, footprinting CEH.