Les données publiques permettant de suivre le monde en temps réel sont déjà là : signaux ADS-B des avions, trames AIS des navires, données orbitales des satellites, capteurs sismiques de l'USGS, flux de conflits de GDELT. Le problème, c'est qu'elles sont éparpillées sur des dizaines d'API, de sites et d'outils spécialisés sans interface commune. Un analyste qui veut croiser le trafic aérien militaire sur une zone de conflit avec les mouvements navals et les alertes sismiques doit basculer entre Flightradar24, MarineTraffic, des flux RSS et des terminaux séparés.
ShadowBroker agrège plus de 60 de ces flux dans un tableau de bord cartographique unique, self-hosted, sans compte, sans télémétrie. L'outil ne collecte rien de nouveau : il assemble ce qui traîne déjà en accès libre.
Ce que l'outil agrège
Trafic aérien et maritime
Le suivi aérien repose sur l'ADS-B, le transpondeur que tout aéronef civil émet en permanence. ShadowBroker consomme OpenSky pour le trafic civil et adsb.lol pour les militaires. Air Force One et ses escortes sont mis en évidence dès le décollage ; les tankers, ISR et chasseurs qui émettent sont tracés au même titre.
Côté maritime, le flux AIS couvre plus de 25 000 navires simultanément, avec des couches supplémentaires : activité de pêche via Global Fishing Watch, position des super-yachts, trafic côtier. La clé API aisstream.io est la seule vraiment obligatoire à l'installation ; elle est gratuite.
Domaines critiques et renseignement géopolitique
- Satellites : trajectoires calculées depuis les paramètres orbitaux, codées par mission (reconnaissance, SIGINT, SAR, alerte précoce, stations spatiales), avec les réseaux de stations sol SatNOGS et TinyGS.
- Brouillage GPS : zones détectées par analyse de la dégradation NAC-P des transpondeurs d'avions. Le signal est inféré, pas fourni par une source étatique.
- Lignes de front : conflit ukrainien via DeepState, événements géopolitiques via GDELT.
- Porte-avions américains : position estimée à partir du scraping automatisé de l'actualité publique. Aucun autre outil open source ne propose cette couche.
- CCTV : plus de 11 000 caméras de circulation en direct (Londres, New York, Californie, Espagne, Singapour) positionnées sur la carte.
- Catastrophes naturelles : séismes USGS, incendies NASA FIRMS, alertes météo sévères, qualité de l'air.
- Infrastructure critique : 35 000 centrales électriques, 2 000 datacenters, bases militaires, pannes Internet régionales.
- Trains : Amtrak (US) et DigiTraffic (Europe) en temps réel.
Radio et communications
Un tuner intégré permet de se brancher sur des nœuds KiwiSDR (ondes courtes) directement depuis la carte. Les scanners de police américains sont accessibles en un clic. La couche Meshtastic affiche les nœuds radio mesh et les intègre dans un panneau de chat. Un dongle RTL-SDR local peut être branché en parallèle des flux distants pour capter les signaux à portée d'antenne.
Installation
L'installation tient en quatre commandes :
git clone https://github.com/bigbodycobain/Shadowbroker.git
cd Shadowbroker
docker compose pull
docker compose up -dLe dashboard est accessible sur le port 3000 en local. Le backend publie également le port 8000 pour les diagnostics. La stack repose sur Next.js côté frontend, MapLibre GL pour la cartographie et FastAPI + Python pour le backend. Les images Docker sont pré-buildées ; aucune compilation locale n'est nécessaire.
Compatibilité : Linux, macOS, Windows (Docker Desktop), Raspberry Pi 5. La mémoire recommandée pour le backend est de 4 Go ; sur machines plus petites, les couches lourdes (SAR, GDELT) peuvent être désactivées sélectivement via les variables d'environnement du compose. Ne pas exposer sur Internet sans reverse proxy authentifiant : plusieurs endpoints backend ne sont pas authentifiés par défaut.
Un déploiement Helm est disponible pour les clusters K8s home-lab, basé sur le template bjw-s-labs, avec contextes de sécurité (UID 1001) et support Ingress natif (Traefik, Cert-Manager, Gateway API).
Cas d'usage réels
ShadowBroker n'est pas un jouet de veille passif : c'est une surface de corrélation active. La valeur vient de la superposition des couches, pas de chacune prise isolément.
Analyste SOC et threat intelligence
Un analyste qui suit une campagne d'attaque liée à un État peut superposer plusieurs signaux simultanément : pannes Internet régionales (layer BGP), trafic militaire inhabituel sur la zone, brouillage GPS localisé, activité navale. Aucun de ces signaux pris isolément n'est décisif ; leur corrélation sur une même carte et dans la même fenêtre temporelle change la lecture.
La couche Shodan (optionnelle, clé API opérateur) permet d'afficher les objets connectés exposés d'une région : caméras industrielles, SCADA, bases de données. Croisée avec une alerte géographique, elle fournit un contexte d'exposition immédiat centralisé.
Red team et reconnaissance passive
La reconnaissance passive OSINT reste légale tant qu'elle s'appuie sur des données publiques. ShadowBroker structure ce travail : un clic droit sur n'importe quel point du globe génère un dossier pays (forme de gouvernement, chef d'État depuis Wikidata, résumé Wikipédia, dernière image satellite Sentinel-2 à 10 m de résolution). Pour un pentest avec composante géographique ou une mission de threat modeling sur une infrastructure physique, ce niveau de contexte s'obtient habituellement en plusieurs recherches manuelles.
Le canal agent IA (voir plus bas) ouvre une piste supplémentaire : brancher un agent Claude ou GPT sur ShadowBroker via le canal HMAC signé pour automatiser la corrélation de couches ou déclencher des alertes conditionnelles.
Veille géopolitique et journalisme d'investigation
Suivre les déplacements d'un avion privé (jets de milliardaires, vols gouvernementaux discrets) est une pratique établie dans le journalisme d'investigation, popularisée par des comptes comme @ElonJet. ShadowBroker l'intègre nativement avec la mise en évidence des aéronefs d'intérêt.
La couche « porte-avions » illustre bien la philosophie du projet : une position estimée à partir de scraping presse publique, pas du temps réel opérationnel. La transparence est documentée. Pour un analyste géopolitique, cette distinction est fondamentale : c'est un indicateur de présence probable, pas une donnée de ciblage.
La ligne de front ukrainienne (DeepState) et les événements GDELT permettent de suivre une zone de conflit avec un contexte maritime et aérien superposé. Un journaliste couvrant une crise peut ainsi croiser un communiqué officiel avec les mouvements tracés par les flux publics.
Radioamateur et monitoring local
Pour un opérateur radio, ShadowBroker est une carte d'activité en temps réel. Les nœuds Meshtastic et APRS sont positionnés géographiquement. Le tuner KiwiSDR intégré permet d'écouter des fréquences spécifiques directement depuis la carte sans quitter l'interface.
Avec un dongle RTL-SDR branché localement, l'outil fusionne le flux global distant avec la réception locale : on voit les navires à portée d'antenne en superposition du trafic mondial. Pour un radioamateur en zone côtière, c'est un outil opérationnel réel.
Salle de crise home-lab
Le cas d'usage le plus direct : un écran dédié avec ShadowBroker tournant sur un RPi 5 ou un NUC, accessible uniquement depuis le réseau local ou via VPN. Derrière un reverse proxy authentifiant (Nginx, Caddy, Traefik avec middleware auth), l'outil reste confiné sans friction opérationnelle. La licence AGPL-3.0 couvre l'usage privé sans restriction.
Fonctionnalités avancées
SAR et détection de changement au sol
La couche SAR (Synthetic Aperture Radar) est probablement la plus technique du lot. Elle détecte les changements au sol sous la couverture nuageuse à partir de données NASA OPERA et Copernicus EGMS : déformation millimétrique du sol, étendue des inondations, perturbation de la végétation, évaluation des dégâts post-événement. Des zones de surveillance personnalisées peuvent être définies avec alertes sur anomalie.
L'activation nécessite un compte NASA Earthdata gratuit. Pour un suivi de zone de conflit ou de catastrophe naturelle, cette couche apporte une profondeur d'analyse inaccessible aux outils de veille classiques.
Canal agent IA
ShadowBroker expose un canal de commande agentic signé HMAC, documenté comme compatible avec OpenClaw et tout agent capable de parler le protocole (Claude, GPT, LangChain, custom). L'agent obtient un accès lecture/écriture sur l'ensemble des 35+ couches : placement de marqueurs, contrôle de la carte, déclenchement d'alertes, réception de flux en temps réel.
En pratique, cela ouvre la voie à des workflows comme : alerter automatiquement quand un aéronef d'intérêt entre dans une zone définie, ou corréler une alerte sismique avec les pannes Internet de la région dans les minutes suivantes.
InfoNet : maillage décentralisé (expérimental)
La version v0.9.7 introduit InfoNet, un réseau de communication obfusqué intégré à l'outil. Trois canaux : Gate Chat (obfusqué, pas de chiffrement E2E), Dead Drop (échange pair-à-pair par mailbox à époque, la lane la plus robuste actuellement) et intégration Meshtastic/APRS.
Le projet est explicite sur les limites. Aucun canal n'est confidentiel au sens strict. Le chiffrement E2E n'est pas encore implémenté. Ne rien transmettre de sensible sur ces canaux : c'est un testnet expérimental.
Limites, zones grises et surface d'attaque
- Endpoints non authentifiés : plusieurs routes backend ne nécessitent aucune authentification, dont une qui permet d'envoyer des messages APRS sous n'importe quel indicatif radioamateur (infraction aux règles radio). Usage local uniquement.
- Bypass Cloudflare Turnstile : le scraper de la carte de conflit contourne explicitement la protection Turnstile du site source. Zone grise légale selon le CFAA américain.
- InfoNet : le nom évoque plus de confidentialité que l'implémentation actuelle ne garantit. Les labels sont documentés ; les conserver si le projet est forké.
- Données SAR et Sentinel-2 : l'accès reste soumis aux conditions d'utilisation NASA et Copernicus. Usage personnel et de recherche couvert ; redistribution commerciale, non.
L'outil est sous licence AGPL-3.0. Repo GitHub : BigBodyCobain/Shadowbroker. Miroir GitLab disponible pour les environnements sans accès GitHub.
Sources
BigBodyCobain
Korben
Co11ateral
Alborz Nazari