Networking

OSINT — Reconnaissance en Sources Ouvertes

Techniques de collecte d'informations passives : Google Dorking, WHOIS, DNS Lookup et énumération de sous-domaines.

14 février 2026@loucas5 min de lecture

#osint#reconnaissance#google-dork#whois#dns

Introduction

L'OSINT (Open Source Intelligence) est la première phase de tout test de pénétration. Elle consiste à collecter un maximum d'informations sur la cible sans interaction directe avec ses systèmes. Ces données, accessibles publiquement, permettent de cartographier la surface d'attaque avant même de lancer le moindre scan.

Google Dorking

Le Google Dorking exploite les opérateurs avancés du moteur de recherche pour révéler des informations sensibles indexées involontairement.

Opérateurs de Base

Opérateur	Description
site:	Restreint la recherche à un domaine
intitle:	Recherche dans le titre de la page
inurl:	Recherche dans l'URL
filetype:	Filtre par type de fichier
intext:	Recherche dans le corps de la page
cache:	Affiche la version en cache de Google

Dorks Classiques pour le Pentest

google-dorks.txttext

# Trouver des pages de login
site:target.com intitle:"login" OR intitle:"admin"
 
# Fichiers de configuration exposés
 
site:target.com filetype:env OR filetype:xml OR filetype:conf
 
# Répertoires ouverts (Directory Listing)
 
site:target.com intitle:"index of" "parent directory"
 
# Fichiers sensibles
 
site:target.com filetype:sql OR filetype:bak OR filetype:log
 
# Mots de passe exposés
 
site:target.com intext:"password" filetype:txt OR filetype:log
 
# Caméras et IoT accessibles
 
inurl:"/view.shtml" intitle:"Live View"
 
# Documents internes
 
site:target.com filetype:pdf OR filetype:docx confidential

Google Hacking Database (GHDB)

La base GHDB d'Exploit-DB centralise des milliers de Dorks organisés par catégories : fichiers sensibles, pages vulnérables, informations réseau, etc. C'est une ressource incontournable pour automatiser la phase de reconnaissance passive.

WHOIS — Informations de Domaine

Le protocole WHOIS permet d'interroger les registrars pour obtenir les informations d'enregistrement d'un nom de domaine : propriétaire, dates, serveurs DNS, etc.

whois-commands.shbash

# Requête WHOIS classique
whois target.com
 
# WHOIS sur une adresse IP
whois 93.184.216.34
 
# Extraire uniquement le registrar et les dates
whois target.com | grep -iE "registrar|creation|expir"
 
# WHOIS via un serveur spécifique
whois -h whois.ripe.net 93.184.216.34

Informations Clés Récupérées

Champ	Utilité en Pentest
Registrant Name	Identification du propriétaire
Registrant Email	Cible pour le phishing / social engineering
Name Servers	Identification de l'infrastructure DNS
Creation Date	Ancienneté du domaine
Admin Contact	Informations sur l'administrateur

Note : De nombreux domaines utilisent désormais des services de protection WHOIS (privacy guard). Dans ce cas, les informations personnelles sont masquées par le registrar.

DNS Lookup — Énumération DNS

L'énumération DNS est essentielle pour découvrir l'infrastructure complète d'une cible : sous-domaines, serveurs mail, enregistrements de service, etc.

Commandes de Base

dns-lookup.shbash

# Résolution simple
nslookup target.com
dig target.com
 
# Requête sur un type d'enregistrement spécifique
 
dig target.com MX # Serveurs mail
dig target.com NS # Serveurs DNS
dig target.com TXT # Enregistrements texte (SPF, DKIM)
dig target.com AAAA # Adresses IPv6
dig target.com CNAME # Alias
 
# Résolution inverse (IP → domaine)
 
dig -x 93.184.216.34
 
# Transfert de zone (si autorisé)
 
dig axfr @ns1.target.com target.com

Types d'Enregistrements DNS

Type	Description
A	Adresse IPv4
AAAA	Adresse IPv6
MX	Serveur mail
NS	Serveur DNS autoritaire
CNAME	Alias de domaine
TXT	Données texte (SPF, DKIM, DMARC)
SOA	Start of Authority
SRV	Service (protocole, port)
PTR	Résolution inverse

Énumération de Sous-domaines

subdomain-enum.shbash

# Avec Sublist3r
sublist3r -d target.com
 
# Avec Amass (passif)
amass enum -passive -d target.com
 
# Avec ffuf (bruteforce)
ffuf -u https://FUZZ.target.com -w /usr/share/wordlists/subdomains.txt
 
# Avec dnsenum
dnsenum target.com
 
# Avec fierce
fierce --domain target.com

Outils Complémentaires

theHarvester — Collecte d'Emails et Sous-domaines

theharvester.shbash

# Recherche complète sur un domaine
theHarvester -d target.com -b all
 
# Sources spécifiques
 
theHarvester -d target.com -b google,bing,linkedin
 
# Exporter les résultats en XML
 
theHarvester -d target.com -b all -f results.xml

Shodan — Moteur de Recherche IoT

shodan-cli.shbash

# Rechercher les services d'une IP
shodan host 93.184.216.34
 
# Rechercher des services spécifiques
shodan search "apache country:FR"
 
# Compter les résultats
shodan count "port:22 country:FR"
 
# Scan d'une IP
shodan scan submit 93.184.216.34

Workflow de Reconnaissance OSINT

Live

[Target Domain]
     │
     ├── WHOIS ────────> [Owner, Registrar, NS]
     │
     ├── DNS Enum ─────> [Subdomains, MX, A Records]
     │
     ├── Google Dorks ──> [Exposed Files, Login Pages]
     │
     ├── theHarvester ──> [Emails, Hostnames]
     │
     └── Shodan ────────> [Open Ports, Services, Banners]

Résumé

La phase OSINT est critique car elle conditionne la qualité de tout le pentest. Plus la surface d'attaque est cartographiée en amont, plus les phases suivantes (scanning, exploitation) seront efficaces. Toujours documenter minutieusement les résultats dans un rapport structuré.