Glossaire OSINT A→Z

Advertising Intelligence — exploitation des données publicitaires numériques (pixels de tracking, ID publicitaires mobiles) pour géolocaliser ou profiler un individu sans son consentement.

Automatic Dependent Surveillance-Broadcast — protocole de surveillance aérienne diffusant en clair position, altitude et identifiant des aéronefs. Base des outils de tracking aérien comme Flightradar24.

Problème éthique/légal où la combinaison de données publiques individuellement innocentes crée une vue privée intrusive d'une personne. Enjeu central de la vie privée en OSINT.

Automatic Identification System — système de tracking maritime transmettant en temps réel la position, vitesse et identité des navires. Exploitable via MarineTraffic ou VesselFinder.

Service d'archivage Web indépendant créant des snapshots permanents de pages Web. Alternative à la Wayback Machine, souvent utilisé pour archiver des preuves avant suppression.

Autonomous System Number — identifiant unique attribué à un réseau administré par une même entité sur Internet. Utilisé pour router les paquets IP et identifier l'opérateur d'une plage d'adresses IP.

Création artificielle d'une impression de mouvement populaire spontané via des comptes coordonnés ou des bots. Technique clé des opérations d'influence et de désinformation.

Ensemble des points d'entrée potentiels qu'un attaquant peut exploiter sur un système ou une organisation : domaines, APIs, employés, services cloud, applications mobiles.

Processus d'identification de l'acteur responsable d'une cyberattaque ou d'une opération d'influence. Repose sur l'analyse des TTPs, IOCs, infrastructure et métadonnées.

Signal périodique envoyé par un malware vers son serveur C2 pour maintenir la communication. La détection des beacons est une technique clé de threat hunting.

Border Gateway Protocol — protocole de routage inter-domaines d'Internet. Le BGP hijacking permet de rediriger le trafic d'un ASN entier. Outil d'investigation : BGPView.

Investigation sur les blockchains publiques (Bitcoin, Ethereum) pour tracer des flux de fonds, identifier des wallets liés ou désanonymiser des transactions.

Réseau de machines compromises contrôlées à distance via un serveur C2. Utilisé pour des attaques DDoS, spam, cryptomining ou comme infrastructure d'opérations d'influence.

Collecte d'attributs techniques du navigateur (résolution, plugins, polices, timezone) pour identifier un utilisateur sans cookies. Risque OPSEC majeur lors d'investigations.

Basic Service Set Identifier — adresse MAC unique d'un point d'accès Wi-Fi. Exploitée en OSINT pour géolocaliser un réseau sans fil via des bases de données comme WiGLE.

Compte en ligne temporaire et non traçable créé pour une investigation spécifique. Doit être isolé de toute identité réelle : email dédié, VPN/TOR, appareil séparé.

Infrastructure utilisée par un attaquant pour communiquer avec des systèmes compromis (botnets, RAT). L'identification des serveurs C2 est une étape clé de la threat intelligence.

Variante technique du honeytoken : URL, document ou credential piégé qui envoie une alerte à son créateur dès qu'il est accédé. Utilisé pour détecter des infiltrations ou des fuites.

Ensemble de méthodes permettant de contourner les systèmes CAPTCHA lors de scraping ou d'automatisation OSINT. Inclut l'utilisation de services tiers ou de modèles IA.

Content Delivery Network — réseau de serveurs distribuant le contenu web depuis des nœuds proches de l'utilisateur. Peut masquer l'IP d'origine d'un serveur (Cloudflare, Fastly).

Journal public de tous les certificats TLS/SSL émis par les autorités de certification. Permet d'énumérer les sous-domaines et de détecter des certificats frauduleux via des outils comme crt.sh.

Coordinated Inauthentic Behavior — comportement coordonné de comptes qui dissimulent leur nature artificielle pour manipuler le débat public. Terme défini par Meta/Facebook.

Classless Inter-Domain Routing — notation permettant de définir des plages d'adresses IP (ex: 192.168.1.0/24). Utilisé pour cibler des blocs réseau entiers lors de scans.

Partie accessible et indexée de l'Internet standard, par opposition au Dark Web ou aux réseaux overlay. Représente la majorité du trafic Web quotidien.

Canonical Name — enregistrement DNS qui pointe un sous-domaine vers un autre nom de domaine. Les CNAME abandonnés sont une cible courante pour le subdomain takeover.

Collecte et analyse d'informations sur des entreprises : actionnaires, dirigeants, filiales, contrats, litiges, brevets. Sources : registres du commerce, EDGAR, OpenCorporates.

Mise en relation d'informations provenant de sources multiples pour confirmer une hypothèse ou détecter une connexion entre entités. Processus central de l'analyse de renseignement.

Attaque automatisée testant des listes d'identifiants issus de data breaches sur de nombreux services. Exploite la réutilisation des mots de passe.

Continuous Threat Exposure Management — programme continu d'évaluation de la surface d'attaque exposée d'une organisation. Intègre l'OSINT offensif pour prioriser les remédiations.

Compétition de cybersécurité où les participants résolvent des défis techniques pour trouver des 'flags'. Excellente méthode d'apprentissage des techniques OSINT et de forensique.

Common Vulnerabilities and Exposures — référentiel public de vulnérabilités connues. Chaque CVE possède un identifiant unique et une description standardisée.

Technique d'interface trompeuse conçue pour manipuler les utilisateurs : cases pré-cochées, abonnements cachés, opt-out difficile. Pertinent en OSINT pour analyser les pratiques de collecte de données.

Partie d'Internet accessible uniquement via des réseaux overlay chiffrés comme TOR. Héberge des marketplaces illégaux, des forums criminels et des fuites de données sensibles.

Réseau overlay nécessitant des logiciels spécifiques pour y accéder (TOR, I2P, Freenet). Distinct du 'Dark Web', le darknet désigne l'infrastructure technique sous-jacente.

Incident de sécurité où des données confidentielles sont exposées sans autorisation. Les bases de fuites sont des sources OSINT majeures pour identifier des comptes compromis.

Média (image, audio, vidéo) synthétique généré par IA pour faire dire ou faire croire à une personne quelque chose de faux. Outil majeur des opérations de désinformation.

Diffusion délibérée d'informations fausses ou trompeuses pour manipuler l'opinion publique. Distincte de la mésinformation (diffusion non intentionnelle d'erreurs).

Données numériques générées involontairement par les activités en ligne d'un individu : métadonnées, cookies, logs de connexion, traces GPS. Source OSINT non intentionnelle mais exploitable.

Science de la collecte, préservation et analyse de preuves numériques. Comprend l'analyse de disques, mémoire, réseau et logs pour reconstituer des événements.

Domain Name System — protocole qui traduit les noms de domaine en adresses IP. L'analyse DNS révèle l'infrastructure d'un cible : enregistrements A, MX, TXT, NS, etc.

Mécanisme de réplication DNS permettant de transférer l'intégralité des enregistrements d'une zone. Mal configuré, il expose tous les sous-domaines d'un domaine.

DNS Blacklist — liste de serveurs considérés comme sources de spam ou malveillants, consultable via des requêtes DNS. Utilisé pour vérifier la réputation d'une IP ou d'un domaine.

Technique masquant la destination réelle du trafic réseau en passant par un CDN de confiance. Utilisé pour contourner la censure ou dissimuler une infrastructure C2.

Collecte et publication d'informations personnellement identifiables (PII) sur une personne sans son consentement. Pratique illégale dans de nombreux pays.

Processus de vérification approfondie d'une entité (entreprise, personne, investissement) avant une décision. L'OSINT est central pour la due diligence commerciale et juridique.

Métadonnées d'un email contenant le chemin de routage (serveurs SMTP), l'IP d'envoi, l'horodatage et les signatures DKIM/SPF. Outil clé pour détecter le phishing.

Technique falsifiant le champ 'From' d'un email pour usurper l'identité d'un expéditeur légitime. Détectable via l'analyse des headers et des enregistrements SPF/DKIM/DMARC.

Transfert non autorisé de données hors d'un système compromis. Les techniques d'exfiltration incluent DNS tunneling, HTTP covert channels, GRE tunnels et envoi via services cloud légitimes.

Exchangeable Image File Format — métadonnées embarquées dans les images numériques. Peut contenir les coordonnées GPS, le modèle de l'appareil photo, la date et l'heure exactes.

Outil supprimant les métadonnées EXIF d'une image avant publication pour éviter la divulgation involontaire de données GPS, modèle d'appareil ou identité de l'auteur.

Opération conçue pour attribuer une action à une entité tierce. En cybersécurité, certains acteurs étatiques implantent des artefacts pour désorienter les enquêteurs.

Hash unique du fichier favicon.ico d'un site web. Utilisé avec Shodan (query: http.favicon.hash) pour identifier toutes les instances d'un service ou d'un framework.

Financial Intelligence — renseignement tiré de l'analyse de flux financiers, transactions, structures d'entreprises et registres de propriété pour détecter fraude, corruption ou blanchiment.

Fingerprinting Organizations with Collected Archives — outil d'extraction de métadonnées depuis des documents Office, PDF, etc. Révèle noms d'utilisateurs, logiciels et chemins réseau internes.

Phase initiale de reconnaissance visant à collecter un maximum d'informations sur une cible (domaines, IPs, employés, technologies). Peut être actif ou passif.

Délimitation virtuelle d'une zone géographique permettant de filtrer ou déclencher des actions basées sur la localisation. Utilisé en GEOINT pour analyser des mouvements de population.

Geospatial Intelligence — renseignement basé sur l'analyse d'images satellitaires, de cartographie et de données géospatiales pour identifier des localisations et des activités.

Exercice d'identification géographique à partir d'une image sans indications (GeoGuessr, défis Bellingcat). Méthode d'entraînement populaire pour développer les compétences GEOINT.

Analyse et interprétation de données ayant une composante géographique : images satellites, SIG, cartographie des mouvements. Discipline centrale du GEOINT et de l'investigation de conflits.

Requêtes Google avancées utilisant des opérateurs spéciaux (site:, filetype:, inurl:, intitle:) pour trouver des informations sensibles indexées involontairement.

Analyse des relations et connexions entre entités via des graphes orientés. Utilisé pour cartographier des réseaux criminels, d'influence ou d'infrastructure. Outil : Gephi, Maltego.

Generic Routing Encapsulation — protocole d'encapsulation créant un lien point-à-point entre deux réseaux. Utilisé pour masquer l'infrastructure C2 ou exfiltrer des données.

Empreinte numérique unique d'un fichier (MD5, SHA-1, SHA-256). Utilisé pour vérifier l'intégrité d'un fichier, identifier des malwares connus ou comparer des artefacts.

Service en ligne permettant de vérifier si une adresse email ou un numéro de téléphone figure dans des bases de données de fuites connues. Maintenu par Troy Hunt.

Système ou ressource délibérément exposé pour attirer et observer les attaquants. Les honeypots OSINT collectent des TTPs et IOCs sur les techniques adversariales.

Fausses données (credentials, documents, URLs) disséminées pour détecter un accès non autorisé. Quand le token est activé, cela signale une compromission ou une fuite d'informations.

Human Intelligence — renseignement collecté via des interactions humaines directes : entretiens, recrutement de sources, infiltration. Complémentaire des sources numériques.

Invisible Internet Project — réseau anonyme pair-à-pair alternatif à TOR. Optimisé pour les services cachés internes (eepsites). Moins connu mais utilisé sur certains marchés criminels.

Imagery Intelligence — renseignement issu de l'analyse d'images (satellitaires, aériennes, photos terrain). Sous-discipline du GEOINT, centrale en investigation de conflits.

Dispositif simulant une antenne téléphonique pour intercepter les communications mobiles et identifier les IMSI (identifiants SIM) des appareils à proximité. Utilisé par les forces de l'ordre.

IOA — signe comportemental d'une attaque en cours avant qu'un IOC ne soit généré. Permet une détection plus précoce basée sur l'intention plutôt que sur les artefacts.

Processus itératif en 5 phases : orientation, collecte, traitement, analyse, diffusion. Cadre méthodologique universel appliqué aussi bien au renseignement d'État qu'à l'OSINT civil.

Artefact observé sur un réseau ou système indiquant une compromission potentielle : hashes de fichiers, IPs malveillantes, domaines suspects, clés de registre modifiées.

IOC Analyzer — méthodologie d'analyse systématique des indicateurs de compromission pour corréler des incidents, identifier des campagnes et cartographier l'infrastructure d'un acteur malveillant.

Technique d'association d'une adresse IP à une localisation géographique approximative (pays, ville, FAI). La précision varie selon les bases utilisées.

International Traffic in Arms Regulations — réglementation américaine contrôlant l'exportation de matériels et services de défense. Impacte certains outils OSINT à usage dual.

Modèle de Lockheed Martin décrivant les 7 phases d'une cyberattaque : reconnaissance, weaponization, delivery, exploitation, installation, C2, actions. Base du threat hunting défensif.

Technique permettant à un attaquant de progresser au sein d'un réseau compromis après un point d'entrée initial. Comprend pass-the-hash, pivoting, exploitation de confiances.

Méthode d'analyse des relations entre entités (personnes, organisations, événements) pour identifier des connexions cachées et des structures réseaux. Fondement de l'investigation OSINT complexe.

Plateforme de visualisation de liens et d'investigation OSINT permettant de cartographier des relations entre entités (personnes, domaines, IPs, organisations) via des 'transforms'.

Plugin Maltego interrogeant une source de données externe et retournant des entités liées. Les transforms sont le moteur de la cartographie relationnelle automatisée dans Maltego.

Measurement and Signature Intelligence — renseignement basé sur la détection de caractéristiques physiques et techniques d'équipements : émissions radar, signatures chimiques, acoustiques.

Données décrivant d'autres données. En OSINT forensique, les métadonnées de fichiers (images, documents, vidéos) révèlent auteur, date, logiciel utilisé, coordonnées GPS.

Multipurpose Internet Mail Extensions — standard identifiant le type de contenu d'un fichier. Utilisé pour détecter des fichiers malveillants camouflés ou analyser des uploads suspects.

Man-in-the-Middle — attaque interceptant les communications entre deux parties. Permet d'écouter, modifier ou injecter du trafic réseau en se positionnant entre la victime et sa destination.

Framework public de la MITRE Corporation cataloguant les tactiques, techniques et procédures (TTPs) des acteurs malveillants. Référence internationale de la threat intelligence.

Méthode de travail caractéristique d'un acteur malveillant ou d'un criminel. L'analyse du MO permet d'attribuer des actions à un acteur connu et d'anticiper ses prochaines cibles.

Traitement automatique du langage naturel par des modèles IA. Utilisé en OSINT pour analyser des volumes massifs de textes, détecter des sentiments, identifier des auteurs ou des bots.

Représentation visuelle des connexions entre nœuds (personnes, domaines, IPs) dans un réseau. Révèle les hubs, clusters et acteurs centraux invisibles dans des listes tabulaires.

Port réseau acceptant des connexions entrantes sur un système. L'identification des ports ouverts via Shodan, Nmap ou Censys révèle les services exposés et les vecteurs d'attaque potentiels.

Operational Security — ensemble de pratiques visant à protéger les informations sensibles d'une investigation : VPN, comptes dédiés, isolation des appareils, gestion des traces numériques.

Erreur de sécurité opérationnelle révélant l'identité ou les méthodes d'un investigateur ou d'un acteur malveillant. Exemple célèbre : Silk Road — Ross Ulbricht identifié via un post StackOverflow.

Open Source Information — terme désignant les informations brutes collectées avant analyse, par opposition à l'OSINT qui désigne le renseignement produit après traitement analytique.

Open Source Intelligence — collecte et analyse de renseignements à partir de sources publiquement accessibles : web, réseaux sociaux, registres publics, médias, etc.

Open Web Application Security Project — fondation produisant des ressources gratuites sur la sécurité des applications web. Le Top 10 OWASP liste les vulnérabilités web les plus critiques.

Historique des résolutions DNS observées dans le temps pour un domaine ou une IP. Permet de retrouver d'anciens hébergeurs, des domaines partagés et des pivots d'infrastructure.

Collecte d'informations sans interaction directe avec la cible. Utilise des sources publiques, archives DNS, moteurs de recherche et bases de données tiers.

Surveillance des sites de paste (Pastebin, paste.ee, ghostbin) pour détecter des fuites de données, credentials, configs sensibles ou messages de groupes criminels.

Analyse des habitudes comportementales d'un individu ou groupe dans le temps : horaires, lieux fréquentés, contacts réguliers. Technique centrale du renseignement militaire et civil.

Test d'intrusion utilisant exclusivement des sources passives pour évaluer la surface d'attaque d'une cible sans la contacter directement. Légalement moins risqué que le pentest actif.

Identité numérique fictive complète construite pour une investigation sous couverture. Inclut historique de compte, photo, biographie, activité cohérente et séparation totale de l'identité réelle.

Technique d'ingénierie sociale visant à tromper une victime pour obtenir ses identifiants ou installer un malware, via des emails ou sites Web frauduleux.

Investigation OSINT à partir d'un numéro de téléphone : opérateur, pays, propriétaire, comptes associés (WhatsApp, Telegram, Signal), fuites de données.

Personally Identifiable Information — toute information permettant d'identifier directement ou indirectement une personne physique. Protégée par le RGPD en Europe.

Technique OSINT/offensif consistant à partir d'un élément découvert (email, IP, pseudo) pour trouver d'autres informations liées et élargir le périmètre de l'investigation.

Élément clé d'une investigation permettant de passer d'une entité à une autre : une IP partagée entre deux domaines, un email dans plusieurs fuites, un pseudo récurrent sur différentes plateformes.

Technique d'énumération des ports ouverts sur un hôte cible pour identifier les services exposés. En mode passif via Shodan/Censys sans contacter la cible directement.

Registres gouvernementaux publiquement accessibles : registres du commerce, cadastre, état civil, jugements, marchés publics. Source OSINT légale fondamentale pour l'investigation.

Malware chiffrant les données d'une victime et exigeant une rançon pour les déchiffrer. Les sites de leak des groupes ransomware sont des sources OSINT pour identifier des victimes.

Registration Data Access Protocol — successeur modernisé du WHOIS, offrant des réponses structurées en JSON pour les informations d'enregistrement des domaines et IPs.

Reconnaissance — phase préliminaire d'une investigation ou d'une attaque visant à cartographier la surface d'attaque ou le profil d'une cible. Comprend la reconnaissance active et passive.

Utilisation de techniques OSINT dans un contexte offensif de red team pour cartographier la surface d'attaque d'une organisation : employés, emails, technologies, accès physiques.

Résolution inverse d'une adresse IP en nom de domaine (enregistrement PTR). Permet d'identifier le service hébergé sur une IP et de découvrir des domaines associés.

Recherche d'images par similarité visuelle plutôt que par mots-clés. Permet d'identifier l'origine d'une photo, de retrouver d'autres apparitions en ligne ou de détecter des deepfakes.

Radio Frequency Intelligence — renseignement collecté via l'analyse du spectre radioélectrique. En OSINT civil : réseaux SDR pour écouter communications ADS-B, AIS, PMR, météo satellitaire.

Fichier à la racine d'un site indiquant aux robots d'indexation les sections à ne pas crawler. Peut révéler des répertoires sensibles non liés publiquement.

Format de syndication permettant de s'abonner aux mises à jour d'un site sans le visiter. Outil de veille OSINT permettant de monitorer des sources multiples (médias, blogs, forums) automatiquement.

Environnement isolé permettant d'exécuter et analyser des fichiers suspects sans risquer l'infrastructure de production. Outils : ANY.RUN, Cuckoo, Hybrid Analysis.

Restriction discrète appliquée par une plateforme réduisant la visibilité d'un compte sans en informer l'utilisateur. Technique de modération contournant les contestations.

Moteur de recherche d'appareils connectés à Internet indexant IPs, ports, bannières de services. Permet de découvrir webcams, routeurs, serveurs industriels et autres équipements exposés.

Requête Shodan avancée utilisant des filtres spécifiques (product:, port:, org:, favicon.hash:) pour identifier des équipements vulnérables, des infrastructures ou des technologies précises.

Signals Intelligence — renseignement collecté via l'interception de signaux électromagnétiques : communications radio, téléphoniques, numériques. Domaine traditionnellement gouvernemental.

Ratio entre informations pertinentes (signal) et informations non pertinentes (bruit) dans un corpus OSINT. La qualité d'une investigation dépend de la capacité à maximiser ce ratio.

Métadonnées d'un message email révélant le chemin de routage complet, les IPs des serveurs relais et les horodatages. Essentiel pour tracer l'origine d'un email suspect.

Manipulation psychologique d'individus pour obtenir des informations confidentielles ou inciter à des actions non autorisées. Souvent combiné avec de l'OSINT pour personnaliser les attaques.

Analyse mathématique des structures de réseaux sociaux pour identifier les acteurs centraux, les communautés et les flux d'information. Combine théorie des graphes et SOCMINT.

Fausse identité en ligne créée pour infiltrer des communautés, surveiller une cible ou conduire des opérations d'influence. Nécessite une gestion rigoureuse de l'OPSEC.

Social Media Intelligence — renseignement tiré de l'analyse des réseaux sociaux publics. Comprend l'analyse comportementale, la cartographie des réseaux et le suivi des tendances.

Évaluation de la fiabilité d'une source d'information selon des grilles standardisées (NATO STANAG 2511 : A-F pour la source, 1-6 pour l'information). Fondamental en analyse de renseignement.

Variante ciblée du phishing utilisant des informations personnelles collectées via OSINT pour personnaliser l'attaque et augmenter son taux de succès.

Certificat numérique authentifiant l'identité d'un serveur web et chiffrant les communications (HTTPS). L'analyse des certificats révèle domaines, organisation et historique.

Technique de dissimulation de données dans un fichier anodin (image, audio, vidéo) sans modification apparente. Utilisée pour des communications covert ou la dissimulation de preuves.

Analyse forensique de la stéganographie — détection et extraction de données cachées dans des fichiers médias. Outils : StegExpose, zsteg, steghide.

Structured Threat Information eXpression / Trusted Automated eXchange — standards d'échange de données de threat intelligence entre organisations. Base du partage de CTI.

Découverte systématique des sous-domaines d'un domaine cible via brute-force, Certificate Transparency logs, DNS zone transfers ou moteurs spécialisés.

Vulnérabilité où un sous-domaine pointe vers un service tiers désactivé (CNAME dangling), permettant à un attaquant de le revendiquer et d'héberger du contenu malveillant.

Observation systématique d'individus, groupes ou organisations. La surveillance numérique OSINT utilise les traces publiques laissées sur Internet, réseaux sociaux et bases de données ouvertes.

Technical Intelligence — renseignement sur les capacités techniques des équipements militaires, systèmes d'armement et technologies adversariales. Frontière entre OSINT et renseignement d'État.

Exploitation des canaux, groupes et profils Telegram pour l'investigation : messages publics, chaînes de propagande, marchés criminels, coordinations de groupes extrémistes.

Entité (état, groupe criminel, hacktiviste, initié) conduisant des opérations malveillantes. Les threat actors sont catégorisés par TTPs, motivations et attributions géopolitiques.

Flux de données en temps réel listant des IOCs actifs : IPs malveillantes, domaines, hashes de malwares. Intégré dans les SIEM et firewalls pour bloquer automatiquement les menaces connues.

Recherche proactive de menaces non détectées dans un environnement informatique. Combine l'analyse comportementale, les IOCs et les TTPs pour découvrir des compromissions silencieuses.

Collecte, analyse et partage d'informations sur les menaces cyber actuelles et émergentes. Comprend les TTPs des acteurs malveillants, IOCs et vulnérabilités exploitées.

Vue globale de l'ensemble des menaces actives dans un contexte donné : acteurs, TTPs, vecteurs d'attaque et secteurs ciblés. Produit analytique central des rapports de threat intelligence.

Reconstruction chronologique des événements d'une investigation : timestamps de fichiers, logs réseau, activité sur réseaux sociaux. Technique fondamentale de la forensique numérique.

The Onion Router — réseau anonymisant routant le trafic via plusieurs nœuds chiffrés. Utilisé pour l'accès au Dark Web et pour protéger l'identité lors d'investigations sensibles.

Navigateur basé sur Firefox configuré pour router automatiquement le trafic via le réseau TOR. Outil de base pour l'accès anonyme au Dark Web et la protection de l'identité de l'investigateur.

Analyse des métadonnées du trafic réseau (volumes, timing, endpoints) sans déchiffrer le contenu. Permet d'identifier des patterns de communication même chiffrés.

Tactics, Techniques and Procedures — description standardisée des méthodes utilisées par les acteurs malveillants. Formalisé dans le framework MITRE ATT&CK.

Enregistrement de noms de domaine similaires à des sites légitimes (fautes de frappe, homoglyphes) pour intercepter du trafic, du phishing ou surveiller des communications.

Service raccourcissant les URLs (bit.ly, t.co). En OSINT, l'expansion des URLs courtes révèle la destination réelle et peut contenir des paramètres de tracking identifiants.

En-tête HTTP identifiant le navigateur ou le client lors d'une requête web. La modification du User-Agent est une technique d'OPSEC basique pour masquer ses outils de scraping.

Recherche de la présence d'un nom d'utilisateur sur un maximum de plateformes en ligne pour établir une empreinte numérique et relier des comptes entre eux.

Processus continu de surveillance de l'environnement d'une organisation pour détecter menaces et opportunités. Inclut veille concurrentielle, technologique, géopolitique et réputationnelle.

Environnement informatique isolé exécuté à l'intérieur d'un hôte physique. Indispensable en OSINT pour isoler les investigations, analyser des malwares et séparer les identités numériques.

Virtual Private Network — tunnel chiffré masquant l'adresse IP réelle lors d'investigations OSINT. Essentiel pour l'OPSEC de base, mais non suffisant seul pour l'anonymat complet.

Déclaration publique indiquant qu'un service n'a reçu aucune ordonnance judiciaire secrète. Disparue du site, elle signale implicitement une injonction légale. Technique de transparence.

Service d'archivage web d'Internet Archive permettant de consulter des versions historiques de sites web. Indispensable pour retrouver du contenu supprimé.

Point de référence géographique précis utilisé pour documenter et corroborer une géolocalisation. En investigation de conflits, les waypoints permettent de retracer des itinéraires.

Copie temporaire d'une page web stockée par les moteurs de recherche ou des proxies. Permet d'accéder à du contenu supprimé ou modifié récemment via Google Cache ou Bing.

Extraction automatique de données depuis des pages web via des scripts ou outils dédiés. Base technique de nombreuses investigations OSINT. Cadre légal variable selon les juridictions.

Liste d'entités (IPs, domaines, applications) explicitement autorisées à accéder à un système. En OSINT défensif, le whitelisting identifie les sources légitimes vs suspectes.

Protocole d'interrogation des bases de données d'enregistrement de noms de domaine et d'adresses IP. Fournit le propriétaire, les dates d'enregistrement, les serveurs DNS et les contacts.

Service masquant les informations réelles du propriétaire d'un domaine dans les enregistrements WHOIS. Contournable via l'historique WHOIS, Certificate Transparency et passive DNS.

Investigation basée sur les réseaux Wi-Fi : géolocalisation via BSSID sur WiGLE, identification d'infrastructures, analyse des SSID pour profiler une organisation ou un individu.

Analyseur de protocoles réseau open-source capturant et disséquant le trafic réseau en temps réel. Outil incontournable pour l'analyse forensique réseau et la détection d'IOCs.

Architecture de sécurité éliminant la confiance implicite : chaque accès doit être vérifié, chaque utilisateur authentifié, même à l'intérieur du réseau. Principe : 'ne jamais faire confiance, toujours vérifier'.

Vulnérabilité inconnue du fabricant et sans patch disponible. Les zero-days sont des cibles de choix pour les acteurs étatiques et les cybercriminels.

Fichier texte contenant l'ensemble des enregistrements DNS d'un domaine. Les zone files des TLDs (comme .com) sont partiellement accessibles et constituent une source d'énumération massive.