Un profil GitHub public contient bien plus que des repos : emails exposés dans l'historique des commits, clés GPG, organisations, activité réelle, langages maîtrisés. Vestigo extrait tout automatiquement.
L'API publique de GitHub expose bien plus d'informations que ce qu'on voit sur la page de profil. Vestigo interroge plusieurs endpoints simultanément pour construire une fiche complète :
Nom réel, bio, localisation déclarée, site web, compte Twitter/X lié, email public si renseigné.
Emails exposés dans l'historique des PushEvents publics — souvent l'email professionnel ou personnel réel du développeur.
Nombre de clés SSH enregistrées. Les clés SSH publiques sont accessibles via l'API (/users/{user}/keys).
Clés GPG liées au compte — peuvent contenir des emails supplémentaires non visibles sur le profil.
Liste des organisations GitHub publiques auxquelles appartient l'utilisateur — révèle son employeur potentiel.
Nombre de repos publics, followers, following, gists, date de création du compte, dernière mise à jour.
Les dépôts les plus étoilés (non-forks) : nom, description, langage principal, nombre d'étoiles.
Les 6 langages les plus utilisés dans les repos publics, classés par fréquence d'utilisation.
Le point le plus précieux d'une analyse GitHub OSINT est souvent la récupération d'emails exposés dans l'historique des commits. Lorsqu'un développeur pousse du code sur GitHub, son email de commit est enregistré dans les métadonnées Git et exposé via l'API publique des événements.
Voici comment cela fonctionne :
Vestigo analyse automatiquement les 100 derniers événements publics, extrait tous les emails uniques trouvés dans les commits (en excluant les emails @noreply.github.com générés automatiquement), et les affiche avec le nombre de commits associés à chaque email.
De plus, les clés GPG publiques d'un utilisateur contiennent souvent des emails supplémentaires. Vestigo interroge aussi cet endpoint et croise les résultats pour fournir une liste complète des emails potentiellement associés à l'identité GitHub.
Un développeur utilise son pseudonyme "h4ck3r_pro" sur GitHub mais a configuré son client Git avec son email professionnel "[email protected]". Chaque commit révèle son identité réelle. Vestigo récupère cet email automatiquement.
Les organisations GitHub publiques révèlent souvent l'appartenance d'un développeur à une entreprise, une association ou un projet open-source. Un développeur membre de l'organisation GitHub "google" est probablement (ou a été) employé de Google. Un membre de "ANSSI-FR" travaille pour l'Agence Nationale de la Sécurité des Systèmes d'Information.
Vestigo liste toutes les organisations publiques d'un utilisateur avec leur avatar et leur URL, permettant de contextualiser rapidement l'affiliation professionnelle d'un développeur.
Avant d'embaucher un développeur, analyser son profil GitHub permet de vérifier ses compétences réelles (langages, projets, activité), ses contributions open-source, et la cohérence entre CV et activité réelle. Vestigo automatise cette vérification en quelques secondes.
Les équipes de sécurité utilisent l'OSINT GitHub pour détecter si des développeurs ont accidentellement exposé des secrets dans des commits publics (tokens API, mots de passe, clés privées). Vestigo récupère les emails exposés — une première étape pour évaluer l'empreinte de sécurité d'un développeur.
Pour aller plus loin dans la détection de secrets, des outils spécialisés comme GitLeaks ou TruffleHog permettent de scanner l'intégralité de l'historique Git d'un dépôt.
Identifier l'auteur d'un projet open-source ou d'un outil controversé peut passer par l'analyse OSINT de son profil GitHub. L'email de commit, les organisations et les contributions croisées avec d'autres plateformes permettent souvent de remonter à une identité réelle.
Dans la recherche en cybersécurité, l'attribution d'un malware ou d'un outil à un développeur particulier peut parfois se faire via l'analyse des repos GitHub, des styles de code, des emails exposés et des patterns de commits.
Limite importante : Vestigo n'analyse que les données publiques. Les repos privés, les commits dans des repos privés, et les emails utilisés exclusivement dans des contextes privés ne sont pas accessibles.
Il est techniquement possible de récupérer ces informations manuellement via l'API GitHub. Mais cela nécessite de connaître les bons endpoints, de gérer la pagination, de parser le JSON, et de croiser plusieurs sources de données. Vestigo automatise l'ensemble du processus et présente les résultats dans une interface claire, sans nécessiter de compétences en programmation.