skip to content

Les techniques du cyber-renseignement : Qu'est-ce que l’Open Source Intelligence (OSINT) ?

Nicolas Verlhiac : photo de l'auteur de l'article
Nicolas Verlhiac
Les techniques du cyber-renseignement et découvrez ce que l'Open Source Intelligence (OSINT) peut apporter aux investigations en ligne.

Le flux d’informations a évolué. Il y a quelques décennies, le monde était plus lisible. Les informations étaient diffusées soit par un nombre limité de médias, soit par le bouche-à-oreille. Aujourd’hui, les informations abondent sur tous les sujets - les médias sociaux le permettent en grande partie. Cela nous donne beaucoup plus de liberté quant à l’origine de nos connaissances, mais aussi plus de risques de tomber sur des informations erronées. Nous devons désormais vérifier nous-mêmes ce qui est vrai et ce qui ne l’est pas. Cela vaut également pour les services secrets, la police et les rédactions. Pour ce faire, ils utilisent, entre autres, l’Open Source Intelligence (OSINT).

Qu’est-ce le renseignement de source ouverte (OSINT) ?

OSINT est l’abréviation d’Open Source Intelligence et décrit la collecte systématique d’informations à partir de différentes sources librement disponibles (principalement sur le web) afin d’obtenir, par l’analyse de ces informations, des renseignements exploitables sur une personne ou une entreprise. Il fait partie du cycle du renseignement qui comprend la collecte, l’analyse et la diffusion.

Le renseignement de source ouverte diffère du renseignement traditionnel en ce qu’il est collecté à partir de sources accessibles au public qui ne sont ni secrètes ni classifiées. Cela signifie que toute personne disposant d’une connexion Internet peut accéder à ces informations. Dans le cas des méthodes OSINT, les informations ne sont pas collectées par des moyens illégaux, ce qui signifie qu’en principe, aucune conséquence juridique n’est à craindre de leur utilisation.

L’utilisation de l’OSINT présente de nombreux avantages. Il est souvent plus opportun et plus précis que le renseignement traditionnel car il ne dépend pas d’une seule source. Il est également moins coûteux à collecter et à analyser.

Mais cette utilisation comporte certains défis. Le plus important est que les informations ne sont souvent pas vérifiées et peuvent être inexactes. Cela signifie qu’il est important de vérifier toute information recueillie à partir de sources ouvertes avant de l’utiliser.

Malgré ces difficultés, cette discipline est un outil précieux pour les agences de renseignement et les analystes. Il fournit des informations opportunes et précises qui peuvent être utilisées pour soutenir la prise de décision.

Aux origines, les services de renseignement

Aujourd’hui, les services de renseignement ne doivent pas toujours collecter eux-mêmes activement des informations sur les personnes. Internet est une source inépuisable d’informations. Il n’est donc pas étonnant que les services de renseignement misent de plus en plus sur l’utilisation de sources ouvertes. Outre Internet, la télévision et la presse écrite en font également partie. Ces sources permettent non seulement de collecter des informations sur certaines personnes, mais aussi d’identifier d’éventuels dangers potentiels, par exemple en recherchant certains mots-clés.

Même si le renseignement de source ouverte trouve son origine dans les services de renseignement, ce type de collecte d’informations est également utilisé depuis longtemps par d’autres organisations et entreprises. C’est notamment le cas dans le marketing, les informations sont collectées de manière intensive et font l’objet d’un commerce à grande échelle afin de diffuser des publicités sur mesure auprès du groupe cible.

Quelles sont les données open source utilisées par l’OSINT?

Les données de source ouverte sont toutes les informations qui sont facilement accessibles au public ou qui peuvent être mises à disposition sur demande. Les sources OSINT peuvent inclure :

  • Articles de journaux et de magazines, ainsi que des rapports de médias
  • Articles universitaires et des recherches publiées
  • Livres et autres documents de référence
  • Activité des médias sociaux
  • Données de recensement
  • Annuaires téléphoniques
  • Dossiers des tribunaux
  • Données commerciales publiques
  • Enquêtes publiques
  • Données sur le contexte géographique
  • Informations sur la divulgation de violations ou de compromissions
  • Indicateurs de cyberattaques partagés publiquement, tels que les adresses IP, les hachages de domaines ou de fichiers.
  • Données d’enregistrement de certificats ou de domaines
  • Données sur la vulnérabilité des applications ou des systèmes

Si la plupart des données open source sont accessibles via l’internet ouvert et peuvent être indexées à l’aide d’un moteur de recherche comme Google, elles peuvent également être accessibles via des forums plus fermés qui ne sont pas indexés par les moteurs de recherche. Bien que la plupart des contenus du web profond soient inaccessibles au grand public parce qu’ils se trouvent derrière un mur payant ou nécessitent une connexion pour y accéder, ils sont toujours considérés comme faisant partie du domaine public.

Il est également important de noter qu’il existe souvent une quantité énorme de données secondaires qui peuvent être exploitées à partir de chaque source d’information ouverte. Par exemple, les comptes de médias sociaux peuvent être exploités pour obtenir des informations personnelles, telles que le nom de l’utilisateur, sa date de naissance, les membres de sa famille et son lieu de résidence. Cependant, les métadonnées de fichiers provenant de messages spécifiques peuvent également révéler des informations supplémentaires telles que le lieu où le message a été publié, le dispositif utilisé pour créer le fichier et l’auteur du fichier.

Une photo peut contenir les coordonnées GPS, ainsi que les informations sur l’appareil utilisé, la date, …

Comment les renseignements de source ouverte sont-ils utilisés ?

L’Open Source Intelligence offre de nombreuses possibilités d’utilisation et n’est pas seulement utilisé par des organisations gouvernementales telles que les services de renseignement ou les autorités policières. Les entreprises du secteur privé et d’autres organisations utilisent également OSINT à différentes fins. Ainsi, l’Open Source Intelligence peut être utilisé par exemple pour :

  • Applications de business intelligence
  • Piratage informatique
  • Ingénierie sociale
  • Test d’intrusion
  • Analyses de sécurité (Identifier les menaces externes)
  • Espionnage économique
  • Journalisme
  • Marketing

Piratage et Cybercriminalité

Pour préparer leurs attaques, les cybercriminels utilisent souvent les procédures OSINT lors de la phase de collecte d’informations, par exemple lorsqu’ils préparent des attaques d’hameçonnage ou d’ingénierie sociale, au cours desquelles une victime ignorante est incitée à exécuter, à ne pas exécuter ou à tolérer une certaine action. Souvent, les attaques se font directement par l’intermédiaire de l’homme (Ingénierie sociale). Ainsi, des e-mails sont envoyés à des collaborateurs sous un faux nom d’expéditeur - souvent le CEO - avec un design et une formulation adaptés, afin d’obtenir des données d’accès valables ou l’instruction de virer une somme d’argent sur un compte bancaire mentionné dans l’e-mail. De telles attaques, anciennement appelées escroqueries de type « Man-in-the-Email », ne sont désormais pas rares et causent chaque année, dans les cas connus, des dommages se chiffrant en milliards.

Pen testing et Analyses de sécurité

Les tests d’intrusions externes évaluent vos systèmes tournés vers l’Internet pour déterminer s’il existe des vulnérabilités exploitables qui exposent des données ou un accès non autorisé au monde extérieur. Le test comprend l’identification du système, l’énumération, la découverte des vulnérabilités et l’exploitation.

On retrouve également le Attack Surface Assessment , ou en bon français, l’évaluation de la surface d’attaque, qui consiste à déterminer les parties d’un système qui doivent être examinées et testées pour détecter les vulnérabilités de sécurité. L’objectif de l’analyse de la surface d’attaque est de comprendre les zones à risque d’une application, de sensibiliser les développeurs et les spécialistes de la sécurité aux parties de l’application susceptibles d’être attaquées, de trouver des moyens de minimiser ces risques et de remarquer quand et comment la surface d’attaque change et ce que cela signifie du point de vue du risque.

Utilisation de la technique du Google Dorking pour obtenir des informations.

Le Google Dorking n’est pas un logiciel à proprement parler, mais une méthode de piratage qui consiste à utiliser la recherche Google pour obtenir des informations sur des personnes qu’il est impossible d’obtenir par les fonctions de recherche traditionnelles. “Dork” se traduit d’ailleurs par “abruti” et désigne les utilisateurs / exploitants de sites qui ne protègent pas assez bien leurs informations personnelles. Ces informations peuvent être récupérées via Google avec certains paramètres.

Ces informations peuvent même inclure des mots de passe qui permettent aux pirates d’accéder au réseau domestique. Mais aussi les agendas partagés publiquement, qui font en sorte que les informations de l’agenda soient également accessibles à des étrangers via Google Dorking par le biais de la recherche. Les plugins de sécurité, par exemple pour WordPress, peuvent également représenter un danger. Leurs journaux (logs) permettent d’indiquer à leurs exploitants les points faibles du site. Si le site est mal protégé, ces logs sont accessibles aux autres et leur offrent les meilleurs points d’attaque sur un plateau d’argent.

Le Google Dorking n’est pas punissable en soi. Il ne s’agit pas d’un piratage à proprement parler, mais d’une exploitation des paramètres de recherche existants, même si ceux-ci sont en fait destinés à des fonctions internes à Google. En règle générale, le délit ne commence qu’avec l’utilisation de ces données à des fins criminelles.

La meilleure protection contre le dorking de Google est de pratiquer soi-même le dorking afin de découvrir d’éventuelles failles de sécurité. En règle générale, la prudence est de mise avec ses propres données. Faites attention aux données des services Google (Maps, agenda, Drive) que vous partagez ouvertement, faites en sorte que les données d’accès à vos serveurs ne puissent pas être trouvées facilement et ne stockez de préférence pas de données sensibles sur un serveur. Si vous utilisez un plugin pour détecter des failles de sécurité, fermez-le immédiatement et supprimez ensuite le journal du serveur.

Outils et techniques de collecte OSINT.

Dans le cas de la recherche d’informations via l’Internet public, de nombreux outils d’aide sont disponibles. Il existe aussi bien des outils libres comme les moteurs de recherche que des outils commerciaux comme Maltego pour collecter et analyser les informations. Ces outils sont en mesure d’extraire des informations de différents formats numériques tels que des fichiers audio et vidéo, des textes, des images ou du code de programme. Les fonctions typiques des outils OSINT sont :

  • la recherche automatique d’informations et la mise en relation d’informations dans les médias sociaux
  • interrogation automatisée de serveurs web en tenant compte de certains termes de recherche
  • recherche automatique de métadonnées
  • recherche automatique dans les annuaires de personnes et d’identité
  • recherche et analyse automatisées d’images
  • recherche automatisée d’informations géographiques
  • recherche et vérification d’e-mails
  • détection des réseaux sans fil et analyse des paquets

De manière générale, la collecte de renseignements de source ouverte se divise en deux catégories : la collecte passive et la collecte active.

  1. La collecte passive combine toutes les données disponibles en un seul endroit, facilement accessible. Grâce à l’apprentissage automatique (ML) et à l’intelligence artificielle (AI), les plateformes de renseignement sur les menaces peuvent aider à gérer et à hiérarchiser ces données, ainsi qu’à écarter certains points de données en fonction de règles définies par l’organisation.
  2. La collecte active utilise une variété de techniques d’investigation pour identifier des informations spécifiques. La collecte active de données peut être utilisée de manière ad hoc pour compléter les profils de cybermenaces identifiés par les outils de données passifs ou pour soutenir une enquête spécifique.

L’Open Source Intelligence : Le revers de la médaille

L’utilisation de l’Open Source Intelligence est à la fois une malédiction et une bénédiction. D’un côté, OSINT est un outil standard pour les cybercriminels. Mais ce même outil est également à la disposition de la partie adverse pour lutter contre la cybercriminalité et colmater les fuites de données. C’est également un bon moyen de vérifier des informations. Il aide ainsi les journalistes à confirmer des informations et à empêcher ainsi la propagation de fausses nouvelles.

Pour l’utilisation quotidienne privée, OSINT n’est pas vraiment adapté. Il n’est pas inutile de vérifier soi-même quelles informations nous concernant sont disponibles sur le web ou si notre propre site Internet est suffisamment protégé. Pour Google Dorking ou certains outils, il faut toutefois avoir quelques connaissances pour pouvoir effectuer une recherche correcte et évaluer les résultats en conséquence.