Quelle est la première vraie compétence OSINT à apprendre ?

La prise de notes et la discipline des sources, pas les outils. Si vous ne pouvez pas reconstruire d'où vient un fait et quand vous l'avez capturé, vous n'avez pas une enquête, vous avez un tas de captures d'écran. Installez une habitude de notes structurées avant de toucher au moindre outil de recon.

L'OSINT est-il légal ?

Collecter de l'information publique est généralement légal dans la plupart des juridictions, mais ce n'est pas inconditionnel. Créer de faux comptes pour accéder à du contenu non public, scraper en violation des conditions d'utilisation, et certaines formes de harcèlement franchissent vite la ligne. Connaissez votre droit local, et pour du travail rémunéré, faites écrire le périmètre.

Faut-il des outils payants pour faire de l'OSINT ?

Non, et commencer par des outils payants vous rend généralement moins bon. La stack gratuite (un navigateur, des sock puppets que vous entretenez vraiment, archive.org et de bonnes notes) couvre l'écrasante majorité du travail réel. Achetez des outils quand vous butez sur un mur précis, pas avant.

L'OSINT pour débuter, sans le cosplay

La scène OSINT a un problème de déguisement. Il y a toute une esthétique maintenant, terminal sombre, un mur de logos d'outils, "je l'ai trouvé en 4 minutes", et presque rien de tout ça n'est le vrai travail. Le vrai travail est ennuyeux, minutieux, et consiste surtout à ne pas se mentir à soi-même.

La collecte, c'est les 20% faciles. N'importe qui peut passer un pseudo dans un checker et obtenir 50 résultats verts. Les 80% qui comptent, c'est de décider lequel de ces résultats est le même humain, ce que vous pouvez défendre, et ce que vous supposez en silence. C'est la partie que les tutos sautent, parce que regarder quelqu'un se torturer pour savoir si deux comptes appartiennent vraiment à la même personne, ça ne fait pas une bonne miniature.

L'attribution, c'est tout le jeu

L'erreur de débutant la plus fréquente, c'est le faux positif. Vous trouvez "j_martin" sur GitHub, "j_martin" sur Reddit, "j_martin" dans un dump de forum leaké, et votre cerveau agrafe le tout en une seule personne. Parfois c'est le cas. Souvent ce sont trois personnes sans rapport qui voulaient toutes un pseudo courant en 2014.

Traitez chaque lien comme une hypothèse jusqu'à corroboration. Un pseudo partagé, c'est faible. Un pseudo partagé plus une photo de profil réutilisée plus un tic d'écriture qui revient aux deux endroits, ça commence à être quelque chose. Un signal, c'est une supposition. Des signaux indépendants qui concordent, c'est une enquête. Notez lequel vous avez, parce que sous pression vous oublierez la différence et présenterez une supposition comme un fait établi.

Ça compte sur le plan opérationnel, parce qu'une fausse attribution a des conséquences. Dans une enquête en entreprise, elle fait virer le mauvais employé. En journalisme, elle vaut un rectificatif et un procès. La discipline de marquer une déduction comme une déduction n'est pas du pédantisme, c'est ce qui vous empêche de faire de vrais dégâts.

Votre propre opsec passe en premier

Si vous regardez quelqu'un, partez du principe qu'il peut regarder en retour. Le nombre de débutants qui font de la recon sur une cible tout en étant connectés à leur Instagram personnel est franchement alarmant. LinkedIn dira à la cible que vous avez vu son profil. Une fonction "qui a consulté mon profil" sur une plateforme va vous griller. Rejoindre un petit groupe Telegram pour le lire met votre compte dans la liste des membres.

Donc avant tout le côté amusant : un profil de navigateur propre, sans extensions liées à votre identité, un sock puppet que vous avez vieilli et rendu crédible (un compte d'un jour, sans amis, avec une photo de stock ne trompe personne), et l'habitude de ne jamais, au grand jamais, approcher une cible depuis un vrai compte. L'enquête qui compromet l'enquêteur est un échec, même si elle trouve la réponse.

Archivez comme si la page allait disparaître

Parce qu'elle va disparaître. Les profils sont supprimés, les tweets retirés, le seul post qui compte est édité le lendemain de votre lecture. Si votre preuve est une capture sans URL et sans horodatage, elle ne vaut rien à la seconde où quelqu'un la conteste.

Capturez dans la Wayback Machine quand vous pouvez, enregistrez en local avec une date quand vous ne pouvez pas, et notez l'URL à chaque fois. "Je l'ai vu, faites-moi confiance" n'est pas de l'OSINT. La capture, avec sa provenance, c'est le livrable. Le reste, c'est juste de la navigation.

Les outils comptent le moins

Les gens veulent une liste d'outils. D'accord : un navigateur, des sock puppets entretenus, la Wayback Machine et un fichier de notes horodatées vous porteront à travers la plupart du travail réel. Les frameworks de recon spécialisés et les agrégateurs payants sont réels et utiles, mais ce sont des multiplicateurs de force sur une méthode que vous n'avez pas encore. Acheter SpiderFoot avant de savoir mener une chaîne d'attribution propre, c'est comme acheter une voiture plus rapide avant de savoir conduire. Vous atteindrez juste le mur plus vite.

Si vous voulez voir la méthode bien faite plutôt que jouée pour les vues, les gens à regarder sont ceux qui montrent leur raisonnement, pas seulement leurs résultats. Ils s'arrêtent sur la question "est-ce vraiment la même personne" au lieu de la traverser en speedrun. Cet instinct, accepter d'être lent et de dire "je ne suis pas encore sûr", c'est toute la compétence. Les outils viennent après.

L'attribution, c'est tout le jeu

Votre propre opsec passe en premier

Archivez comme si la page allait disparaître

Les outils comptent le moins

Articles liés