Marc n’est pas une célébrité. Il travaille dans la construction à Québec, n’a jamais fait la une des journaux et pense avoir une vie privée normale. Pourtant, en tapant son nom complet dans Google et en y passant cinq minutes, on peut trouver son employeur actuel, son quartier, une liste d’amis de Facebook, un vieux compte forum où il a mentionné son véhicule — et son adresse email dans une fuite de données de 2019. Avec ça, n’importe qui peut construire un profil détaillé sur lui sans jamais le connaître.
C’est ça, l’OSINT.
Qu’est-ce que l’OSINT ?
L’OSINT (Open Source Intelligence) désigne la collecte et l’analyse d’informations provenant de sources publiques et accessibles : moteurs de recherche, réseaux sociaux, registres publics, forums, sites web. À l’origine une pratique des services de renseignement et des journalistes d’enquête, l’OSINT est aujourd’hui à la portée de tout le monde — grâce à des outils gratuits et des tutoriels accessibles.
Le problème : la plupart des gens ne réalisent pas à quel point ils sont exposés.
Ce qu’un inconnu peut trouver avec ton nom seul
1. Ton réseau professionnel et personnel
LinkedIn est souvent la première source. Même avec un profil “semi-public”, ton poste actuel, ton historique professionnel et tes connexions sont souvent visibles. Un employeur, une ville, un secteur d’activité — c’est déjà beaucoup.
Facebook, même avec des paramètres “amis seulement”, laisse souvent filtrer la liste de tes amis, tes photos de profil et de couverture, et tes mentions “J’aime” publiques.
2. Tes vieilles traces numériques
Les forums des années 2000-2010 sont une mine d’or pour l’OSINT. Des pseudonymes utilisés autrefois, des publications avec une adresse email personnelle, des discussions où tu mentionnais ta ville ou ta profession — tout ça reste indexé des années après.
Un outil comme Sherlock (open source, disponible sur GitHub) permet de chercher un pseudo sur des centaines de plateformes en quelques secondes. Si tu as utilisé le même pseudo partout, la liaison entre tes profils est triviale.
3. Tes photos — et ce qu’elles révèlent
Google Images et TinEye permettent de faire une recherche inversée à partir d’une photo. Si tu utilises la même photo de profil sur LinkedIn, Instagram et un forum de vélo, ces profils peuvent être reliés entre eux.
L’outil PimEyes va encore plus loin : il fait de la reconnaissance faciale sur des photos publiques du web. C’est légal dans plusieurs juridictions et terrifiant dans ses résultats.
4. Tes données dans des fuites
HaveIBeenPwned (haveibeenpwned.com) répertorie des centaines de brèches de données. Si ton adresse email est dedans, tu sais dans quelle fuite elle a été compromise. Mais des bases de données plus complètes (non publiques, disponibles sur des forums du dark web) contiennent parfois des mots de passe en clair, des numéros de téléphone et des adresses physiques.
5. Les data brokers
Des sites comme Spokeo, Pipl, Radaris et Whitepages agrègent automatiquement des informations provenant de registres publics, réseaux sociaux et historiques d’achat pour créer des profils détaillés sur des particuliers. Certains vendent même ces profils.
Pour en savoir plus sur comment supprimer tes données de ces plateformes, consulte notre guide sur les data brokers au Canada.
Les outils OSINT gratuits utilisés contre toi
| Outil | Ce qu’il fait | Accessible à |
|---|---|---|
| Google Dorks | Recherches avancées (filetype:, site:, inurl:) | Tout le monde |
| Sherlock | Recherche un pseudo sur 300+ plateformes | Tout le monde |
| HaveIBeenPwned | Vérifie si un email est dans une fuite | Tout le monde |
| PimEyes | Reconnaissance faciale sur photos web | Tout le monde (freemium) |
| Maltego | Cartographie visuelle des connexions | Professionnels |
| theHarvester | Collecte d’emails, sous-domaines, noms | Techniques |
Google Dorks — exemples concrets
Une “Google Dork” est une requête de recherche avancée qui filtre les résultats. Par exemple :
"prénom nom" site:linkedin.com→ profil LinkedIn direct"prénom nom" filetype:pdf→ CVs, listes de participants, publications"prénom nom" "@gmail.com"→ adresse email mentionnée publiquement"prénom nom" "téléphone" OR "phone" site:*.ca→ numéros sur sites québécois
Ces requêtes ne sont pas des hacks. Elles utilisent simplement le moteur de recherche de façon ciblée.
Comment minimiser ton empreinte numérique
Étape 1 : Auditer ce qui existe déjà
Fais une recherche Google sur toi-même (en navigation privée pour éviter la personnalisation). Cherche ton nom complet, ton nom + ville, ton nom + employeur. Note ce que tu trouves.
Ensuite, cherche tes vieux pseudonymes sur Sherlock. Et vérifie tes emails sur HaveIBeenPwned.
Étape 2 : Nettoyer les profils inutilisés
Un compte forum que tu n’as pas utilisé depuis 2012 représente quand même un vecteur d’exposition. Supprime les comptes inutilisés — la plupart des plateformes ont une option de suppression dans les paramètres du compte.
Étape 3 : Restreindre les paramètres de confidentialité
Sur Facebook : rends ta liste d’amis visible uniquement par toi, configure les publications passées en “Amis seulement”, et désactive l’indexation par les moteurs de recherche (Paramètres → Confidentialité → Autoriser les moteurs de recherche).
Sur LinkedIn : tu peux masquer ton réseau de connexions et contrôler ce que voient les membres hors réseau.
Étape 4 : Varier tes photos de profil
Utilise des photos différentes selon les plateformes. Ça rend le reverse image search moins efficace pour relier tes profils entre eux.
Étape 5 : Demander la suppression chez les data brokers
C’est fastidieux, mais faisable. La plupart des data brokers ont un formulaire de suppression. Ton droit de retrait est reconnu par la Loi 25 au Québec et la LPRPDE fédérale. Des services comme DeleteMe automatisent ce processus (payant).
Étape 6 : Utiliser des alias pour les inscriptions en ligne
Plutôt que de donner ton vrai nom et email partout, utilise un alias pour les services non critiques. Des outils comme SimpleLogin ou AnonAddy te permettent de créer des adresses email jetables qui redirigent vers ta vraie boîte.
Ce que tu ne peux pas contrôler
Il faut être honnête : certaines informations sont difficiles à supprimer. Les registres publics (propriété foncière, permis de conduire, certains actes notariés) sont accessibles par définition. Les archives de presse et les captures Wayback Machine peuvent conserver des informations indéfiniment.
L’objectif n’est pas la perfection, c’est de rendre la collecte suffisamment coûteuse en temps pour décourager les acteurs opportunistes.
Recommandations pratiques
- Fais un audit OSINT sur toi-même maintenant — Google + Sherlock + HaveIBeenPwned en 20 minutes
- Supprime les comptes dormants — chaque compte inutilisé est une surface d’attaque
- Restreins Facebook et LinkedIn — la liste d’amis publique est un vecteur sous-estimé
- Change les mots de passe des comptes trouvés dans des fuites — immédiatement
- Utilise un gestionnaire de mots de passe avec des mots de passe uniques pour chaque service
- Varie tes photos de profil entre les plateformes importantes
L’OSINT n’est pas une menace abstraite réservée aux journalistes et aux politiciens. C’est un ensemble d’outils gratuits, accessibles, et utilisés quotidiennement par des harceleurs, des arnaqueurs et des personnes mal intentionnées. Savoir ce qu’on peut trouver sur toi est la première étape pour te protéger.
