DM Digital Monster Standard Pages
Digital Monster // fiche publique

Flowsint — plateforme OSINT par graphes et enrichers

#55 · fiches cybersec créée 2 juin 2026 source fiches cybersec/Flowsint - plateforme OSINT par graphes et enrichers.md

Source principale : GitHub — reconurge/flowsint et documentation officielle. Statut observé le 20260602 : dépôt public actif, licence Apache2.0, dernière release v1.2.9 publiée le 20260531. Flowsint est une plateforme o…

← Retour aux fiches Veille

Source principale : GitHub — reconurge/flowsint et documentation officielle.
Statut observé le 2026-06-02 : dépôt public actif, licence Apache-2.0, dernière release v1.2.9 publiée le 2026-05-31.

Résumé exécutif

Flowsint est une plateforme open source d’investigation OSINT orientée graphe. Son objectif n’est pas seulement de lancer des recherches, mais de centraliser des entités, leurs relations, puis d’exécuter des enrichers pour faire apparaître de nouveaux liens exploitables.

La promesse est claire : au lieu d’empiler des scripts OSINT isolés et vite périssables, Flowsint sert de socle durable d’enquête. Les outils deviennent des extensions remplaçables ; l’enquête, elle, reste structurée dans un graphe.

Lecture courte : c’est un Maltego-like moderne, local-first, open source, avec workflows d’enrichissement et architecture extensible.

Ce que c’est

Flowsint est décrit par ses auteurs comme :

  • une plateforme de reconnaissance et d’Open Source Intelligence ;
  • une interface de visualisation de relations entre entités ;
  • un orchestrateur d’enrichissements automatisés ;
  • un outil local-first : les données d’enquête sont stockées sur la machine de l’utilisateur ;
  • un projet modulaire destiné aux analystes cyber, chercheurs OSINT, journalistes, équipes threat intelligence ou investigation fraude.

L’interface permet de partir d’une entité — domaine, IP, email, username, organisation, wallet crypto, site web, téléphone, individu — puis de pivoter vers d’autres entités grâce à des enrichers.

Exemple logique :

domaine
  └─ DNS resolution → IP
       └─ IP to ASN → ASN / opérateur réseau
            └─ ASN to CIDRs → plages IP

Concept central : le graphe d’enquête

Flowsint part d’une idée simple : en OSINT, l’information importante n’est pas seulement la donnée brute, mais la relation.

Une enquête devient donc un graphe :

[Organisation]
   ├── possède → [Domaine]
   │              ├── résout vers → [IP]
   │              └── expose → [Site web]
   ├── liée à → [Email]
   └── liée à → [Username]

Avantages :

  • visualiser les dépendances et pivots ;
  • éviter de perdre le fil entre 15 outils différents ;
  • garder une mémoire d’enquête ;
  • repérer les nœuds très connectés ;
  • documenter les hypothèses et vérifications.

Enrichers : le moteur OSINT

Un enricher est une opération qui prend une entité source et produit une ou plusieurs entités cibles via un pivot.

Exemple officiel simplifié :

A = my.domain.com
  ↓ pivot = DNS resolution
B = 12.23.34.45

Les enrichers peuvent être :

  • natifs : DNS, WHOIS, résolution réseau ;
  • basés sur des outils Docker : subfinder, asnmap, etc. ;
  • basés sur des outils Python : sherlock, maigret, recontrack, reconcrawl, reconspread, etc. ;
  • connectés à des services externes : Shodan, Whoxy, WhoisXMLAPI, etc. ;
  • branchés à des workflows externes via webhooks ou n8n.

Catégories d’enrichers citées dans le README et la documentation :

  • Domaines : DNS, reverse DNS, subdomains, WHOIS, domaine racine, ASN, historique de domaine.
  • IP : géolocalisation, réseau, ASN.
  • ASN / CIDR : plages réseau et expansion d’adresses.
  • Social media : recherche de usernames via Maigret.
  • Organisations : domaines, ASN, informations société.
  • Crypto : transactions, NFTs associés à un wallet.
  • Websites : crawling, extraction de liens, trackers, texte.
  • Emails : Gravatar, breaches, domaines associés.
  • Phones : recherche dans des breaches.
  • Individuals : affiliations organisationnelles, domaines associés.
  • Intégrations : connecteur n8n.

Flows : automatiser les pivots

Un Flow est une chaîne d’enrichers. Le résultat d’un enrichissement devient l’entrée du suivant.

C’est le passage de :

Je clique manuellement sur chaque pivot.

à :

Je définis une méthode réutilisable, puis je l’applique à d’autres entités.

Exemple de flow utile :

Domaine cible
  → sous-domaines
  → résolution IP
  → ASN
  → technologies / trackers / liens

Intérêt : reproductibilité, scalabilité, comparaison entre cibles, industrialisation de méthodes d’enquête.

Architecture technique

Le projet est découpé en modules autonomes :

flowsint-app        frontend
    ↓
flowsint-api        API FastAPI
    ↓
flowsint-core       orchestration, auth, tâches, vault
    ↓
flowsint-enrichers  enrichers et outils OSINT
    ↓
flowsint-types      modèles Pydantic

Technos observées :

  • frontend majoritairement TypeScript ;
  • backend et enrichers en Python ;
  • API FastAPI ;
  • modèles Pydantic ;
  • graphe Neo4j ;
  • base relationnelle PostgreSQL ;
  • tâches asynchrones via Celery ;
  • cache / broker via Redis ;
  • orchestration par Docker Compose / Make.

Répartition GitHub observée le 2026-06-02 :

  • TypeScript : ~53 % ;
  • Python : ~45 % ;
  • CSS / JavaScript / Makefile / Cypher / Dockerfile : complément minoritaire.

Installation rapide

Prérequis officiels :

  • Docker ;
  • Docker Compose ;
  • Make ;
  • Git.

Commande :

git clone https://github.com/reconurge/flowsint.git
cd flowsint
make prod

Puis ouvrir :

http://localhost:5173/register

Important : il n’y a pas d’identifiant par défaut. Il faut créer un compte manuellement.

Données, confidentialité et exposition

Point positif : Flowsint insiste sur le stockage local. Les enquêtes OSINT peuvent être sensibles ; garder le graphe sur sa machine réduit la fuite d’informations.

Point de vigilance : local-first ne signifie pas sans risque.

Les enrichers exécutent des requêtes réelles : DNS, APIs, services tiers, scanners, crawlers. Une mauvaise configuration peut :

  • générer beaucoup de trafic ;
  • faire bannir une IP ;
  • déclencher des alertes chez des tiers ;
  • exposer une enquête si l’instance est publiée sans protection ;
  • accumuler des données personnelles qui exigent une vraie discipline légale et éthique.

La documentation prévient explicitement : l’utilisateur est responsable, doit respecter les lois applicables, obtenir les autorisations nécessaires et comprendre les implications des outils de reconnaissance.

Lecture critique

Forces :

  • approche graphe pertinente pour l’OSINT ;
  • projet actif et visible ;
  • licence Apache-2.0 ;
  • architecture modulaire ;
  • stockage local ;
  • enrichers nombreux ;
  • possibilité de créer des flows réutilisables ;
  • intégration n8n / webhooks intéressante pour automatisation.

Limites / inconnues :

  • projet encore jeune, README indiquant qu’il est en développement actif ;
  • dépendance à plusieurs services et conteneurs ;
  • qualité variable possible selon les enrichers ;
  • certains enrichers nécessitent des API keys ;
  • automatiser l’OSINT peut faire grossir très vite le périmètre de collecte ;
  • nécessite une hygiène opérationnelle sérieuse avant toute exposition réseau.

Comparaison mentale rapide

  • Maltego : référence historique du graphe OSINT, plus mature, mais propriétaire et plus cadré commercialement.
  • SpiderFoot : automatisation OSINT forte, orientation scan/rapport ; Flowsint semble plus centré graphe visuel et workflows.
  • Recon-ng / scripts maison : puissants mais souvent fragmentés ; Flowsint cherche à centraliser et visualiser.
  • ShadowBroker : agrégation OSINT cartographique temps réel ; Flowsint est plutôt un atelier d’enquête et de corrélation par entités.

Cas d’usage pour Nico / Agent Smith

Pertinent pour :

  • cartographier une infrastructure publique autorisée ;
  • analyser les relations domaine → IP → ASN → organisation ;
  • enrichir des fiches cybersec dans Obsidian ;
  • préparer des graphes d’enquête pour des articles ou notes ;
  • comparer plusieurs outils OSINT open source ;
  • éventuellement intégrer des workflows n8n ou Hermes autour d’un graphe local.

Moins pertinent pour :

  • surveillance massive non bornée ;
  • exposition publique directe ;
  • traitement de données personnelles sans base légale ;
  • “scan magique” sans hypothèses ni validation humaine.

Recommandation opérationnelle

Si test local :

  1. cloner dans un environnement isolé ;
  2. lancer via make prod ;
  3. ne pas exposer publiquement ;
  4. créer un compte local ;
  5. tester avec un domaine neutre contrôlé ou autorisé ;
  6. commencer par DNS / WHOIS / subdomains ;
  7. observer les logs et volumes de requêtes ;
  8. documenter les enrichers réellement utiles ;
  9. si déploiement VPS envisagé : protection Authelia obligatoire, bind local, sauvegarde séparée, limitation de trafic, pas d’accès public brut.

Verdict

Flowsint mérite clairement une veille attentive. C’est un outil OSINT moderne, séduisant et cohérent : un graphe local, des enrichers, des workflows, une architecture extensible.

Le potentiel est réel pour les enquêtes cyber et la cartographie d’infrastructure. Mais le même pouvoir de corrélation impose une discipline : périmètre autorisé, stockage contrôlé, pas d’exposition sauvage, pas de collecte personnelle sans cadre.

En une phrase : Flowsint est une base d’enquête OSINT par graphes, pas un jouet de scan ; à utiliser comme un laboratoire contrôlé.

Sources