Une fête d’anniversaire sur Facebook, une promotion partagée sur LinkedIn, le nom d’un chien dans une légende Instagram : autant d’informations anodines qui constituent en réalité des pépites pour les hackers. Les données en libre accès sont exploitées selon une méthode baptisée OSINT, pour open source intelligence, et permettent de cartographier des cibles vulnérables. Le processus, souvent automatisé, est devenu une étape incontournable pour identifier les portes d’entrée d’une entreprise ou d’un organisme. Les pirates peuvent ainsi reconstituer des listes de mots de passe potentiels ou cerner des profils sensibles, comme les nouveaux employés affectés aux ressources humaines, souvent moins aguerris aux enjeux de cybersécurité. Nos confrères de La Tribune ont recueilli des informations précieuses auprès de Nidal Guedouar, hacker éthique chez Orange Cyberdéfense à Bordeaux. Il teste ces systèmes via des missions de pentest : pendant quatre jours, il tente d’infiltrer les dispositifs de ses clients pour en évaluer la solidité. Dans la quasi-totalité des cas, il parvient à ses fins, souvent avec des méthodes d’une simplicité désarmante. Des identifiants composés du nom de l’entreprise, du prénom des enfants ou de celui d’un animal domestique suffisent parfois à ouvrir des brèches. « Il faut cesser de croire que ces détails sont inoffensifs », alerte-t-il.
Des attaques de plus en plus automatisées et un facteur humain encore fragile
Pour Guy Flament, directeur du Campus cyber Nouvelle-Aquitaine, l’OSINT est devenu « une véritable mine d’or », d’autant plus redoutable que l’exploitation de ces données est aujourd’hui massivement automatisée. En quelques clics, il est possible de croiser ces éléments avec des bases issues de fuites antérieures — disponibles en ligne à bas coût — pour identifier les failles. Le Campus a d’ailleurs lancé un outil grand public pour vérifier si ses identifiants figurent dans les fichiers dérobés ces douze derniers mois. Car ces fuites de données ont atteint un niveau record en 2024 en France, tous secteurs confondus. En parallèle, les formes d’attaques les plus courantes ne changent guère : l’hameçonnage reste en tête (21 %), suivi par le piratage de comptes, les rançongiciels et les faux ordres de virement bancaire. Ces derniers sont souvent facilités par l’erreur humaine. À la tête du pôle entreprises Grand Sud-Ouest chez Orange, Olivier Defosse tire la sonnette d’alarme : « Seuls 21 % des dirigeants de PME se sentent concernés par le risque cyber, alors qu’ils sont les premières victimes de certaines attaques. » En 2023, deux PME du Sud-Ouest, Coaxis et Guyamier, ont ainsi été durement frappées par des intrusions aux conséquences durables.
Des clés d’entrées sont multiples et inattendues
Autre cas parlant : celui de l’entreprise Essor, basée au Pays basque, qui a échappé de peu à une escroquerie par faux ordre de virement grâce à la vigilance d’un client. Dans d’autres situations, le scénario est plus sombre. Un employé utilisant son identifiant professionnel sur un site personnel a permis à des pirates d’accéder à l’ensemble du système d’un hébergeur e-commerce. Leur objectif ? Modifier simplement le RIB de l’entreprise, une action discrète mais potentiellement dévastatrice. En Nouvelle-Aquitaine, le Campus cyber prévoit de traiter environ 400 cas de cyberattaques en 2025, un volume équivalent à celui de l’année précédente. Preuve que si les menaces évoluent, les vulnérabilités humaines et techniques, elles, restent bien ancrées.
