Les sites web d’OSINT sont des services, pas des outils

Facilité d’accès, interface soignée, promesse de résultats immédiats — les services web d’OSINT semblent tout avoir pour eux. Sauf l’essentiel : ce sont des services, pas des outils, donc quoi que vous fassiez dessus, il y a quelqu’un derrière votre épaule qui peut récupérer toutes vos données de recherche.

Il existe, dans l’écosystème OSINT, une confusion que l’on rencontre de plus en plus souvent. Elle oppose deux réalités que tout sépare, mais que l’apparence rapproche : les outils — installés, exécutés et maîtrisés en local — et les services — des interfaces web accessibles depuis n’importe quel navigateur, sans aucune installation. Les premiers vous appartiennent. Les seconds, non.

Cette distinction n’est pas un détail technique réservé aux experts. Elle touche à quelque chose de fondamental : qui contrôle vos données et ce que vous faites en OSINT lorsque vous faites de la recherche en sources ouvertes ?

Lorsque vous installez un outil d’OSINT sur votre machine — qu’il s’agisse de GHunt, de Sherlock, de Maigret ou de n’importe quel autre projet open source — vous devenez le seul maître de son exécution. Les requêtes partent de chez vous. Les résultats s’affichent dans votre terminal ou votre interface web locale. Les données ne transitent par aucun serveur intermédiaire. Vous décidez de ce que vous en faites, comment vous les stockez, combien de temps vous les conservez.

La situation est radicalement différente avec un service web, même si son interface est belle. Dès que vous soumettez une information — une adresse e-mail, un nom d’utilisateur, un numéro de téléphone — à un formulaire en ligne, cette information est transmise à un tiers. Ce tiers la reçoit, la traite, et selon ses pratiques, la conserve. Vous obtenez peut-être un résultat. Lui, il obtient vos données de recherche.

On pense souvent que la responsabilité incombe uniquement au gestionnaire du service. C’est inexact. Dès lors que vous utilisez un service tiers pour traiter des données à caractère personnel dans un cadre professionnel ou associatif, votre propre conformité est en jeu. L’opérateur du site est responsable de ce qu’il fait des données qu’il reçoit — mais vous êtes responsable de les lui avoir transmises.

Rappel réglementaire
Soumettre des données personnelles à un service web d’OSINT, c’est les confier à un responsable de traitement dont vous ne connaissez ni les finalités exactes, ni les durées de conservation, ni les éventuels destinataires. Cette situation est difficile à défendre dans le cadre d’un traitement soumis au RGPD — pour l’opérateur autant que pour vous.

Une autre dérive, plus insidieuse, vient compliquer le tableau. Des acteurs mal intentionnés créent régulièrement des sites web qui imitent l’identité visuelle de projets open source reconnus. Même logo, nom de domaine très proche, discours calqué sur la documentation officielle — tout est fait pour que l’utilisateur pense accéder à l’outil légitime, alors qu’il utilise en réalité un service tiers dont les intentions sont inconnues.

Les motivations derrière ces imposteurs varient : collecte de données de recherche, diffusion de malwares, monétisation du trafic généré par la réputation du projet d’origine. Le résultat est toujours le même : l’utilisateur, croyant bien faire, expose ses données et celles de ses cibles à un tiers non identifié.

« La légitimité d’un projet open source se vérifie à une seule adresse : son dépôt de code (appelé « repository » ou « repo »). Pas son site de présentation. »

La règle de vigilance est simple : un projet open source vit sur son dépôt — GitHub, GitLab, Gitea, peu importe la plateforme. C’est là que se trouvent les releases officielles, les instructions d’installation vérifiées, la communauté de contributeurs. Un site web de présentation peut être légitime, mais il peut aussi être une façade. Le doute doit toujours vous ramener au dépôt.

L’argument le plus souvent avancé pour justifier l’usage d’un service web est la complexité d’installation des outils. Et il faut admettre que cet argument n’est pas sans fondement : configurer un environnement Python, gérer des dépendances, lire une documentation en anglais demande un certain niveau de compétence technique.

Mais c’est précisément dans cet effort que réside une partie de la valeur. Installer un outil, c’est aussi le comprendre. C’est savoir ce qu’il fait, à quelles API il se connecte, quelles données il traite. C’est construire une compétence réelle, pas simplement consommer un résultat.

La commodité a un prix. Dans l’OSINT, ce prix se paye en maîtrise des données — et donc en crédibilité, en responsabilité, et parfois en conformité légale.

• Privilégiez les outils installés en local

  Même si l’installation demande du temps, c’est la seule façon de garantir que vos données restent sous votre contrôle.

• Partez toujours du dépôt officiel

  Pour tout projet open source, la référence légitime est son dépôt de code. C’est là que vous trouverez les instructions officielles et les releases vérifiées.

• Méfiez-vous des interfaces trop accessibles

  Un service qui vous promet les capacités d’un outil complexe sans aucune installation doit éveiller votre vigilance.

• Limitez l’usage des services web au strict nécessaire

  Si vous devez y recourir, ayez conscience de ce que vous transmettez, à qui, et dans quel cadre légal.

La pratique de l’OSINT ne doit pas se faire au prix de l’éthique, cela ne s’arrête pas aux raisons qui motivent une recherche, mais également à l’outillage qui va être utilisé pour cela.