OSINT - Reconnaissance - Cartographie de surface d'attaque
Comment les pentesters PIIRATES utilisent Maltego pour cartographier la surface d'attaque d'une cible, relier des entités disparates et construire une intelligence opérationnelle avant toute phase d'exploitation. Un outil, une méthode, des cas concrets.
Qu'est-ce que Maltego ?
Maltego est un outil de renseignement en sources ouvertes (OSINT) et d'analyse de liens développé par la société Paterva, aujourd'hui intégré à l'éditeur Maltego GmbH. Il est présent par défaut dans Kali Linux et reste, en 2026, la référence mondiale pour la cartographie visuelle de relations entre entités numériques.
Là où la plupart des outils OSINT produisent des listes, Maltego produit des graphes. Chaque entité (domaine, adresse IP, email, personne, organisation, certificat TLS, sous-domaine, numéro de téléphone) devient un noeud. Chaque relation découverte devient une arête. Le résultat est une carte interactive de la surface d'exposition d'une cible, construite automatiquement à partir de sources publiques.
Pour un pentester, ce changement de représentation n'est pas cosmétique. Il révèle des patterns invisibles dans une liste : le domaine fantôme non déclaré au RSSI, l'adresse email d'un dirigeant présente dans une fuite de données ancienne, le sous-domaine de staging oublié sur une IP partagée avec d'autres services. C'est précisément ce que Maltego rend visible en quelques minutes.
Maltego dans l'arsenal d'un pentester : à quel moment et pourquoi
Dans une mission de test d'intrusion, la phase de reconnaissance est souvent celle qui détermine la qualité de tout ce qui suit. Un pentester qui démarre directement sur les phases de scan et d'exploitation sans avoir cartographié la surface d'attaque travaille à l'aveugle. Maltego structure et accélère cette phase préliminaire de manière décisive.
Maltego intervient typiquement à deux moments d'une mission :
- Avant le pentest : en phase de reconnaissance passive, pour cartographier la surface d'exposition sans générer de trafic détectable vers la cible. On parle d'OSINT pur : toutes les données collectées proviennent de sources publiques tierces.
- Pendant le pentest : pour pivoter entre des informations découvertes et étendre la carte de la cible au fur et à mesure. Une adresse IP découverte lors d'un scan révèle un certificat TLS. Ce certificat révèle un autre domaine. Ce domaine révèle des emails. Ces emails sont croisés avec Have I Been Pwned. Ce scénario de pivot en chaîne est le flux de travail naturel dans Maltego.
Vos informations exposées publiquement vous surprendraient.
Nos pentesters cartographient votre surface d'attaque avec Maltego avant toute mission. Vous voyez exactement ce qu'un attaquant verrait depuis Internet.
Les concepts clés de Maltego : entités, transforms et graphes
Pour comprendre comment Maltego s'intègre dans une mission de pentest, il faut maîtriser trois concepts fondamentaux.
Les entités (Entities)
Une entité est n'importe quel objet numérique que Maltego peut représenter et analyser. Les entités natives couvrent l'ensemble des objets qu'un pentester manipule en phase de reconnaissance :
- Infrastructure réseau : domaine, sous-domaine, adresse IPv4/IPv6, plage réseau (netblock), système autonome (AS), serveur DNS, enregistrement MX.
- Identités et organisations : personne, organisation, adresse email, numéro de téléphone, alias/pseudo, compte sur un réseau social.
- Fichiers et documents : URL, fichier, document (PDF, DOCX), image avec métadonnées EXIF.
- Renseignement sur les menaces (CTI) : hash de fichier, indicateur de compromission (IoC), vulnérabilité CVE, certificat TLS, clé publique.
Les entités sont extensibles : un pentester peut créer ses propres types d'entités pour des besoins spécifiques à une mission, par exemple pour modéliser des équipements industriels OT dans le cadre d'un pentest industriel.
Les transforms
Un transform est le moteur de Maltego. C'est un module qui prend une entité en entrée, interroge une source de données externe, et retourne de nouvelles entités en sortie. C'est ce mécanisme qui transforme Maltego d'un simple visualisateur en un outil d'investigation actif.
Exemple concret : le transform "To IP Address [DNS]" prend un domaine en entrée, effectue une résolution DNS, et retourne l'adresse IP associée. Le transform "To Domains [Sharing this MX]" prend une adresse IP de serveur mail et retourne tous les domaines qui partagent ce serveur, révélant potentiellement d'autres actifs appartenant à la même organisation.
Les transforms sont regroupés en hubs thématiques. En 2026, le Maltego Transform Hub en référence plusieurs centaines, dont :
- Maltego Standard Transforms (CTAS) : inclus dans toutes les licences, couvrent DNS, WHOIS, email, réseaux sociaux publics.
- Shodan : services exposés sur Internet, bannières, certificats TLS, versions logicielles.
- Have I Been Pwned : fuites de données associées à un email ou un domaine. Indispensable avant tout pentest applicatif.
- Censys : couverture des certificats TLS, alternative et complément à Shodan.
- VirusTotal : réputation de domaines, IPs et hashes. Utilisé en threat intelligence.
- Hunter.io : emails professionnels associés à un domaine. Utile pour les phases de phishing simulé en ingénierie sociale.
- AlienVault OTX, MISP, Recorded Future : plateformes CTI pour enrichir des entités avec le contexte de menaces connues.
Le graphe
L'interface principale de Maltego est un graphe interactif. Chaque noeud est une entité. Chaque arête est une relation découverte par un transform. La puissance du graphe tient à sa capacité à révéler des patterns qui n'apparaissent pas dans une liste : un hub d'infrastructure partagé entre plusieurs domaines d'une même organisation, un cluster d'emails issus d'une même fuite, une arborescence de sous-domaines révélant l'architecture interne d'un SI.
Les graphes Maltego sont sauvegardables au format .mtgx et partageables entre membres d'une équipe de pentest. Cette fonctionnalité est particulièrement utile dans les missions Red Team multi-opérateurs.
Versions et licences de Maltego : laquelle choisir ?
Maltego est disponible en plusieurs éditions qui diffèrent par le nombre de résultats par transform, les hubs accessibles et les fonctionnalités d'équipe.
Maltego Community Edition (CE)
La version gratuite, incluse dans Kali Linux. Limitée à 12 résultats par transform et à certains hubs de base. Suffisante pour l'apprentissage, les CTF et les investigations à petite échelle. C'est la version avec laquelle tout pentester débute sur Maltego. Elle s'installe également sur Windows, macOS et toutes les distributions Linux via apt install maltego sur Kali.
Maltego Pro
Supprime la limitation de 12 résultats, donne accès à l'ensemble des transforms disponibles dans le hub et ajoute des fonctionnalités de collaboration. C'est la version utilisée dans les missions de pentest professionnelles où la couverture de la surface d'attaque doit être exhaustive.
Maltego Enterprise
Version multi-utilisateurs avec gestion des équipes, partage de graphes centralisé, accès à des hubs premium (Recorded Future, DomainTools, RiskIQ PassiveTotal) et capacité de déploiement sur infrastructure privée. Utilisée par les SOC, les unités d'investigation des forces de l'ordre et les grandes équipes Red Team.
Maltego One
La version SaaS lancée récemment, accessible depuis un navigateur sans installation locale. Utile pour les équipes distribuées ou les environnements où l'installation d'outils sur le poste est contrainte.
En mission, nos pentesters utilisent Maltego Pro couplé aux hubs Shodan, Censys, Have I Been Pwned et Hunter.io. Pour les missions de pentest boite blanche, Maltego est utilisé dès la phase de cadrage pour cartographier le périmètre déclaré et identifier les actifs non déclarés. Il arrive régulièrement que cette cartographie révèle des domaines ou des services cloud inconnus du RSSI commanditaire.
Maltego en mission de pentest : cas d'usage concrets
Voici comment nos pentesters utilisent concrètement Maltego dans leurs missions, de la reconnaissance externe au pivot en chaîne.
Cas 1 : Cartographie d'infrastructure avant un pentest externe
Le client fournit un seul point d'entrée : son domaine principal. Le pentester ouvre Maltego, crée une entité Domain, et enchaîne les transforms dans l'ordre suivant :
- Résolution DNS complète : enregistrements A, AAAA, MX, TXT, NS, CNAME. Chaque enregistrement MX révèle l'hébergeur mail. Chaque enregistrement TXT révèle les services SPF, DKIM, DMARC et parfois les fournisseurs SaaS utilisés (Google Workspace, Microsoft 365, Sendgrid, Mailchimp).
- Enumération des sous-domaines via transforms Censys et Certificate Transparency logs. Les CT logs sont une mine : ils indexent tous les certificats TLS émis pour un domaine, y compris les sous-domaines de staging, de développement et les environnements internes exposés par erreur.
- Pour chaque adresse IP découverte, transform Shodan : ports ouverts, services exposés, bannières logicielles, versions détectées. C'est ici qu'apparaissent les panneaux d'administration, les interfaces de monitoring, les APIs exposées sans authentification.
- Pour chaque domaine, transform Hunter.io : emails professionnels publics. Ces emails alimentent directement la phase d'ingénierie sociale ou le test de credential stuffing.
- Croisement des emails avec Have I Been Pwned : identification des comptes présents dans des fuites de données. Un compte dans une fuite ancienne peut avoir un mot de passe réutilisé encore actif.
En 45 minutes, le pentester dispose d'une carte complète de la surface d'attaque externe : domaines déclarés et fantômes, services exposés, emails avec historique de fuites, fournisseurs tiers détectables. Cette carte guide l'ensemble de la mission.
Cas 2 : Identification d'actifs non déclarés via les certificats TLS
Dans un pentest boite blanche, le périmètre est théoriquement connu. Mais Maltego révèle régulièrement des actifs non déclarés dans le scope initial. Le mécanisme est le suivant : à partir d'un domaine principal, le transform Censys retourne tous les certificats TLS émis pour ce domaine ou ses sous-domaines. Ces certificats contiennent un champ Subject Alternative Names (SAN) qui liste tous les domaines couverts par ce certificat. Un seul certificat wildcard mal géré peut révéler plusieurs domaines internes, des environnements de recette ou des services cloud non documentés.
Lors d'un audit PIIRATES sur une plateforme SaaS, cette technique a révélé un sous-domaine de staging exposant une version non patchée de l'application avec des credentials de développement actifs. Ce sous-domaine n'était pas dans le scope déclaré par le client, qui n'en connaissait pas l'existence.
Cas 3 : Pivot email vers infrastructure dans une mission d'ingénierie sociale
Dans le cadre d'une mission de pentest humain (ingénierie sociale), Maltego permet de construire une cartographie précise des cibles et de leurs connexions avant l'envoi de toute communication. Le flux de travail type :
- Entité Organisation : extraction des domaines associés.
- Transforms Hunter.io et Clearbit : emails professionnels et postes associés.
- Transforms LinkedIn (via hubs compatibles) : cartographie de l'organigramme, identification des profils à fort accès (C-level, IT, Finance).
- Croisement des profils avec les réseaux sociaux publics : identification des centres d'intérêt, des conférences récentes, des outils mentionnés. Ces informations alimentent des campagnes de spear phishing crédibles et ciblées.
Cas 4 : Threat intelligence et investigation post-incident
Maltego n'est pas réservé à la phase offensive. Après un incident de sécurité, il permet de cartographier rapidement l'infrastructure d'un attaquant depuis un seul indicateur de compromission (IoC). À partir d'une adresse IP de C2 identifiée dans des logs, Maltego enchaîne les transforms VirusTotal, Shodan et PassiveDNS pour révéler les autres domaines hébergés sur le même serveur, les malwares associés à cette IP, les campagnes connues, et les autres cibles potentielles de la même infrastructure d'attaque.
Maltego et l'OWASP Top 10 : la recon au service de l'exploitation applicative
Maltego identifie les actifs et les emails. L'OWASP Top 10 recense les vulnérabilités qui les exposent. Les deux se complètent : la cartographie Maltego guide le choix des vecteurs d'attaque applicatifs lors d'un pentest web.
Maltego et l'écosystème OSINT : comment il s'intègre avec les autres outils
Maltego n'est pas un outil isolé. Sa valeur réelle vient de sa capacité à agréger et visualiser des données provenant de sources multiples. Voici comment nos pentesters le combinent avec le reste de leur arsenal.
Maltego et Shodan
Shodan est le moteur de recherche des services exposés sur Internet. Seul, Shodan produit des listes de résultats. Combiné à Maltego via le hub Shodan, ces résultats deviennent des noeuds dans un graphe : chaque service exposé est relié à son IP, à son domaine, à ses certificats TLS et aux autres services hébergés sur le même serveur. La relation entre tous ces éléments devient visible d'un coup d'oeil.
Maltego et Nmap
Nmap effectue le scan actif des ports et services. Maltego fait de la reconnaissance passive préalable. Les deux sont complémentaires dans l'ordre : Maltego identifie les IPs et domaines cibles, Nmap les scanne. Les résultats Nmap peuvent ensuite alimenter Maltego via des transforms locaux pour être visualisés dans le graphe global de la mission.
Maltego et Recon-ng
Recon-ng est un framework de reconnaissance en ligne de commande modulaire. Plus adapté à l'automatisation et aux pipelines scriptés, là où Maltego excelle sur la visualisation interactive et le pivot manuel. Les deux peuvent être utilisés en parallèle : Recon-ng pour la collecte de masse, Maltego pour l'analyse et la cartographie des relations.
Maltego et SpiderFoot
SpiderFoot automatise la collecte depuis plus de 200 sources simultanément. Son point fort est l'exhaustivité automatique. Le point fort de Maltego est l'interactivité et la visualisation des relations. Pour une reconnaissance approfondie, certains pentesters lancent SpiderFoot en collecte automatique et importent les résultats dans Maltego pour la phase d'analyse.
Maltego et Burp Suite
Dans un pentest applicatif avec Burp Suite, Maltego intervient en amont pour cartographier les endpoints exposés, les sous-domaines et les APIs. Burp Suite prend le relais pour l'analyse du trafic applicatif et l'exploitation des vulnérabilités identifiées lors de la phase de reconnaissance Maltego. L'OSINT Maltego guide directement les vecteurs testés dans Burp.
Maltego et BloodHound
Dans les missions d'audit Active Directory avec BloodHound, Maltego intervient sur le périmètre externe (surface Internet) tandis que BloodHound cartographie les chemins d'escalade internes. Sur les missions de pentest réseau et infrastructure, les deux graphes se complètent : l'un montre comment entrer, l'autre montre comment progresser une fois à l'intérieur.
Maltego en mission chez PIIRATES : ce que ça révèle réellement
Voici trois situations concrètes issues de nos missions où Maltego a joué un rôle décisif dans l'identification de vulnérabilités critiques.
Cas 1 : Le domaine fantôme d'une ETI industrielle
Lors d'un pentest externe boite noire sur une ETI industrielle, la reconnaissance Maltego a révélé un sous-domaine de supervision (scada.nomclient-old.com) hébergé sur un serveur hors périmètre déclaré. Ce domaine pointait vers une interface HMI accessible sans authentification depuis Internet. Le serveur tournait sur une version de Windows non patchée depuis 4 ans. Ce sous-domaine n'existait dans aucun registre interne du client : il avait été créé par un prestataire pour un accès distant de maintenance et n'avait jamais été supprimé. Maltego l'a identifié via les CT logs en moins de 10 minutes.
Cas 2 : La chaîne email-fuite-credential sur une plateforme SaaS
Pour un pentest applicatif sur une plateforme SaaS B2B, Maltego a cartographié les emails professionnels via Hunter.io puis les a croisés avec Have I Been Pwned. 3 comptes d'administrateurs techniques apparaissaient dans des fuites de données datant de 2019 et 2021. Un test de réutilisation de credentials sur le portail d'administration a confirmé que 2 de ces 3 comptes utilisaient encore un mot de passe issu de ces fuites. Aucune protection anti-brute force n'était en place sur l'endpoint de connexion admin.
Cas 3 : L'infrastructure partagée révélatrice
Sur une mission de pentest boite blanche pour un éditeur de logiciels, la cartographie Maltego des certificats TLS via Censys a révélé que le domaine principal partageait son certificat wildcard avec 8 autres sous-domaines non déclarés dans le scope. Parmi eux : un environnement de développement exposant une API GraphQL avec introspection activée, un Jenkins en version ancienne accessible sans authentification, et un bucket S3 accessible en lecture publique contenant des dumps de base de données de test avec des données client réelles. Ces trois actifs n'étaient pas dans le scope initial fourni par le client.
Ces cas illustrent un principe constant dans nos missions : la surface d'attaque réelle est presque toujours plus étendue que la surface déclarée. Maltego rend cette réalité visible avant même d'avoir interagi avec le moindre système cible.
Limites de Maltego et cadre légal de l'OSINT
Limites techniques
Maltego est dépendant de la qualité et de la disponibilité des transforms connectés. Un transform dont l'API source est dégradée ou qui a changé ses conditions d'utilisation peut retourner des résultats incomplets. En 2026, les transforms liés aux réseaux sociaux (Twitter/X, Instagram, Facebook) sont significativement moins fiables qu'avant 2023, en raison des changements d'API de ces plateformes. Les résultats sur les réseaux sociaux doivent être complétés par des recherches manuelles.
La version Community Edition est limitée à 12 résultats par transform, ce qui la rend insuffisante pour des investigations professionnelles sur des périmètres d'une certaine taille. Pour un usage en mission, la version Pro est le minimum requis.
Cadre légal : OSINT ne veut pas dire sans limite
Maltego collecte exclusivement des données publiques via des sources ouvertes. Cette origine publique ne signifie pas que toute utilisation est libre de contraintes. En France et en Europe, plusieurs règles s'appliquent :
- RGPD : la collecte et le traitement de données personnelles (emails, noms, numéros de téléphone) de personnes physiques sont soumis au RGPD, même si ces données sont publiquement accessibles. La finalité doit être légitime.
- Loi Godfrain (article 323-1 du Code pénal) : utiliser des informations collectées par OSINT pour accéder sans autorisation à des systèmes informatiques est illégal, même si les informations elles-mêmes sont publiques. La reconnaissance est légale ; l'exploitation sans mandat ne l'est pas.
- Autorisation préalable : toute mission de reconnaissance PIIRATES fait l'objet d'un PV d'autorisation signé par le commanditaire avant le démarrage de toute activité, y compris la phase OSINT passive. C'est non négociable.
PIIRATES intervient exclusivement dans un cadre légal et éthique strict. Toutes nos missions sont contractuellement encadrées et géographiquement bornées.
Indépendance totale
Expertise offensive
Professionnalisme
sudo apt update && sudo apt install maltego. Sur Windows et macOS, téléchargez l'installeur depuis le site officiel maltego.com. Une fois lancé, créez un compte gratuit sur le portail Maltego pour activer la Community Edition. Pour les versions Pro et Enterprise, l'activation se fait via votre clé de licence dans les paramètres de l'application.
Nos coordonnées
- 04 28 49 00 25
- contact@piirates.fr
- 6 Rue Denis Papin
07130 Saint Peray
Envoyez nous un ping
Maltego : guide complet de l’outil OSINT pour le pentest. Transforms, entités, cas d’usage réels en mission, comparatif avec Shodan, Recon-ng et Burp Suite. Par les pentesters PIIRATES.
