OSINT sans cramer ton identité
Practical Guides & Tutorials

OSINT sans cramer ton identité

Journalistes, enquêteurs et chercheurs laissent des traces à chaque source consultée. Voici comment mener une enquête en sources ouvertes sans que la cible se rende compte qu'on l'observe.

BROWSER.LOL
12.03.2026
Lecture : 20 min
Partager

Une rédaction d'investigation enquêtait sur un prestataire de paiement de taille moyenne mêlé à plusieurs affaires de fraude. Le même après-midi, deux reporters ont consulté tranquillement, depuis le réseau du bureau, le site de l'entreprise, les profils LinkedIn de la direction et les pages « about » des filiales. Trois jours plus tard, la rédactrice en chef recevait un appel de l'agence de communication de la cible, qui demandait où en était l'article. L'enquête était grillée avant qu'une seule ligne ne soit écrite.

Les sources sont ouvertes, leur consultation l'est rarement. Les sites enregistrent les adresses IP, les cookies de session, les referrers, les attributs de fingerprint et souvent le comportement de scroll. LinkedIn indique au propriétaire du profil qui est venu y jeter un œil. Certains sites d'entreprise font tourner Clearbit ou un outil équivalent de lead identification qui remonte de ton IP jusqu'à ton employeur. En OSINT, le vrai boulot commence avant le clic.

Ce que les enquêteurs laissent fuiter sans le savoir

La trace la plus évidente, c'est l'adresse IP. Enquêter depuis un VPN d'entreprise ou une plage d'IP d'un FAI régional révèle ton employeur et ta zone géographique. Pour les cibles qui surveillent leurs logs de visiteurs (grands groupes, acteurs sous le radar, escrocs équipés de leur propre stack de logging), c'est souvent le premier signal d'une enquête en cours.

Viennent ensuite les cookies et les sessions ouvertes. Faire de l'OSINT dans un profil Chrome perso, c'est bosser avec ton vrai compte Google branché en arrière-plan. Une recherche Google sur une personne reste liée à ton email, un clic sur YouTube signale à la plateforme que ce sujet t'intéresse, et il suffit parfois d'un seul rapprochement de cookies pour relier une source ouverte à ta boîte mail.

Le fingerprint vient compléter le tableau. Celui de ton navigateur est assez stable pour qu'une cible qui gère ses propres analytics te reconnaisse d'une visite à l'autre et d'un site à l'autre, même une fois les cookies effacés. Voir Browser Fingerprinting pour les rouages.

Construire des comptes sock puppet correctement

Trois silhouettes de profil empilées verticalement, chacune avec son propre petit contour de browser et un trait pointillé de séparation entre les profils

Un sock puppet, ce n'est pas un mensonge. C'est un compte de travail volontairement coupé de ton identité, pour que tu puisses naviguer sur les plateformes sans qu'on remonte à ton vrai nom. La clé, c'est la cohérence : nom, date de naissance, domaine de l'email, numéro de téléphone et appareil utilisé doivent se tenir. Facebook ou LinkedIn repèrent vite les contradictions dans la signature d'un compte et bloquent les nouvelles inscriptions sans état d'âme.

Deuxième clé : la phase de chauffe. Un compte qui cherche une personne précise dès le premier jour sent le piège. Un compte avec trois semaines d'activité normale au compteur avant la recherche sensible se fond dans le bruit ambiant. Prévois cette chauffe avant d'avoir vraiment besoin du compte.

Troisième clé : chaque sock puppet vit dans son propre profil de navigateur. Les sessions ne doivent jamais se chevaucher, sinon des cookies, des referrers ou des fingerprints partagés finiraient par relier tous les comptes entre eux.

Hygiène du navigateur pour les sessions OSINT

Le navigateur du laptop pro est l'ennemi d'un OSINT propre. Il est rattaché à ton employeur, il contient tes sessions de production et il partage du fingerprint avec tous les sites que tu visites à titre perso. La règle la plus simple et la plus efficace : l'OSINT ne tourne jamais dans le navigateur de tous les jours.

Un environnement propre coche quatre cases. Il démarre sans aucun cookie. Il n'a aucune extension installée, chaque extension ajoutant une dimension de fingerprint en plus. Il utilise une IP qui n'est rattachée ni à ton employeur ni à ton domicile. Et il disparaît à la fin de la session, pour qu'une compromission ultérieure de l'appareil n'expose aucun historique.

Un navigateur distant isolé remplit les quatre conditions tout seul. Il tourne dans le cloud, n'a aucun lien avec tes comptes, affiche une IP hors de ton réseau et est entièrement jeté après usage. Pour les rédactions et les équipes d'investigation, c'est devenu l'infrastructure de base.

Séparation IP, DNS et timing

Une petite carte avec trois nœuds (utilisateur, cloud browser, serveur cible) reliés par des flèches en pointillés indiquant différentes routes

L'hygiène IP, c'est plus qu'un VPN. Les plages d'IP des VPN commerciaux sont connues de la plupart des sites sensibles à l'investigation, qui les bloquent ou les logguent en priorité. Les residential proxies, des IPs de vraies connexions domestiques, paraissent moins suspects, mais ils sont un champ de mines juridique et éthique dès que leur origine est floue. Le juste milieu pragmatique, ce sont des IPs de datacenters sérieux, dans des pays cohérents avec ton enquête.

La séparation DNS est sous-estimée. Si ton appareil interroge le resolver d'entreprise avant que le tunnel VPN ne soit en place, tu te retrouves avec une fuite DNS qui expose précisément les sites que tu comptais visiter anonymement. Un navigateur isolé dans le cloud résout le DNS hors de ton réseau et coupe le problème à la racine.

Le timing compte tout autant. Plusieurs reporters de la même rédaction qui tapent le même domaine en moins d'une heure dessinent un motif qui ressort dans n'importe quelle stack d'analytics un peu sérieuse. Étale les visites, évite les pics localisés.

Un workflow tenable sur la durée

« Je jette juste un coup d'œil rapide », c'est la raison la plus fréquente pour laquelle une enquête finit grillée. Un workflow tenable, c'est un workflow où ouvrir l'environnement de recherche va plus vite qu'ouvrir ton navigateur habituel. Un favori, un raccourci sur le bureau ou une entrée dans le launcher qui démarre directement une session isolée, c'est ce qui sépare une enquête propre d'une enquête cramée.

Documente chaque session, même la plus courte. Les captures d'écran se prennent depuis la session et s'exportent depuis la session. Une capture porte rarement des métadonnées identifiantes ; le profil de navigateur d'où elle vient, en revanche, en porte.

Et si tu avais un vrai bureau, partout, sur n'importe quel appareil ?

Teste Browser.lol gratuitement et retrouve toute la puissance d'un PC, même depuis ton téléphone.

Ouvrir mon bureau virtuel

Rien à installer • Tous les appareils

Adopté par plus de 250 000 pros
Comme un vrai bureau
Prêt en quelques secondes

Derniers articles

Tous les articles
Visiter le dark web en sécurité : Tor depuis un cloud browser
Guides & tutoriels

Visiter le dark web en sécurité : Tor depuis un cloud browser

Lancer Tor sur ta propre machine lie ton IP, ton appareil et ton identité à tout ce que tu regardes. Voici comment naviguer sur .onion en toute sécurité depuis une session cloud jetable.

17.05.2026Lire la suite
Se connecter sur l'ordinateur de quelqu'un d'autre
Guides & tutoriels

Se connecter sur l'ordinateur de quelqu'un d'autre

Bornes d'hôtel, PC de bibliothèque, portable d'un ami. Ce que les keyloggers, les identifiants enregistrés et l'autofill récupèrent vraiment sur un appareil partagé, et comment un cloud browser garde tes comptes hors d'atteinte.

26.03.2026Lire la suite
Tester des liens suspects sans prendre de risque
Guides & tutoriels

Tester des liens suspects sans prendre de risque

Les analystes sécurité doivent pouvoir ouvrir des URLs douteuses sans contaminer le réseau. Voici comment mettre en place un workflow d'investigation fiable, avec des browsers isolés, des checklists reproductibles et un reporting carré.

30.10.2025Lire la suite