JunkMail
Retour au blog
OSINT : Comment les enquêteurs utilisent les emails oubliés pour vous retrouver

OSINT : Comment les enquêteurs utilisent les emails oubliés pour vous retrouver

Vous pensez être anonyme ? Une vieille adresse email sur un forum de 2012 peut suffire à remonter toute votre vie. Plongée dans les techniques de l'Open Source Intelligence.

Par L'Expert Sécurité21/01/2026

Imaginez un scénario. Vous êtes un expert en cybersécurité, ou peut-être un journaliste d'investigation. Vous voulez rester discret. Mais un jour, quelqu'un sonne à votre porte. Il connaît votre vrai nom, votre employeur, et même le nom de votre chien.

Comment a-t-il fait ? Il n'a pas piraté la NSA. Il a juste utilisé Google et un vieux compte "Skyrock" que vous avez créé quand vous aviez 14 ans.

Bienvenue dans le monde de l'OSINT (Open Source Intelligence).

La faille : La réutilisation du pseudonyme

L'erreur la plus courante, c'est l'attachement à un pseudonyme. Disons que vous utilisez DarkVador99 sur Twitter. Un enquêteur va chercher DarkVador99 partout. Il va trouver un compte GitHub. Sur ce GitHub, dans un vieux commit de 2018, il y a une adresse email : darkvador99@gmail.com.

Bingo. Maintenant, il a votre email Gmail.

L'outil redoutable : La récupération de compte

L'enquêteur va sur Google, Facebook, PayPal, Amazon. Il tape votre email et clique sur "Mot de passe oublié". Il ne veut pas pirater votre compte. Il veut juste voir ce que le site affiche.

"Un code a été envoyé au +33 6 ** ** 45 12". Il a les 4 derniers chiffres de votre numéro.

Il recommence sur un autre site moins sécurisé qui affiche parfois : "Email de récupération : p.dupont@entreprise.com". Bingo. Il a votre initiale, votre nom de famille, et votre employeur.

Le croisement des données (Data Cross-Referencing)

Avec p.dupont@entreprise.com, il va sur LinkedIn. Il trouve "Pierre Dupont". Il regarde vos posts. Vous avez posté une photo de votre bureau. On voit le logo de l'entreprise. On voit la vue par la fenêtre. Avec Google Street View, il géolocalise votre bureau.

En partant d'un pseudo sur Twitter, on est arrivé à votre adresse physique en moins de 20 minutes. Sans aucun outil illégal.

La parade : La compartimentation totale

Pour se protéger de l'OSINT, il faut briser la chaîne des liens. Il ne faut aucun lien entre votre identité A (Twitter) et votre identité B (LinkedIn).

La solution n'est pas d'avoir 50 comptes Gmail (trop dur à gérer). La solution est l'email unique par service.

Si votre compte Twitter est lié à twitter.access@junkmail.site :

  1. L'enquêteur ne peut pas deviner cette adresse (elle n'est pas publique).
  2. Même s'il la trouve (via une fuite de données), elle ne mène nulle part. Elle n'est liée à aucun autre compte.
  3. Si vous la supprimez, c'est une impasse (Dead End).

Conclusion

Sur Internet, votre passé est votre pire ennemi. Les miettes de pain que vous avez laissées il y a 10 ans mènent tout droit à votre porte d'aujourd'hui.

Arrêtez de laisser des traces. Commencez à utiliser des chaussures qui ne marquent pas le sol. Utilisez des emails jetables pour tout ce qui ne nécessite pas votre identité légale.

Devenez un fantôme. Sécurisez votre empreinte numérique avec JunkMail.