La cyber-sécurité est une thématique de plus en plus présente dans nos vies quotidiennes. Qu’il s’agisse des problématiques de ransomwares ou de « Big Game Hunting » (BGH) auxquelles sont confrontées les entreprises ou de la protection contre les campagnes de phishing et autre ingénierie sociale auxquelles sont confrontés les particuliers, il est nécessaire pour tout un chacun d’être conscient de la menace et d’être vigilent afin d’éviter de tomber dans les pièges qui se présentent à nous.
Afin de connaitre son niveau d’exposition, et donc d’être en mesure d’anticiper les menaces, il convient d’identifier les informations qui nous sont liées et disponibles publiquement sur Internet (ou toute autres sources d’information ouverte). Cela est aussi bien valable pour les personnes physiques que morales.
Cette démarche consistant à aller chercher des informations (appelées renseignement une fois qu’elles sont qualifiées et contextualisées) au sein de sources accessibles publiquement est connue sous les appellations de ROSO (Renseignement d’Origine Source Ouverte), ou pour les anglophones, d’OSINT (Open Source Intelligence).
OSINT : une méthode de recherche adaptée à de nombreux besoins
Initialement utilisée par les services de renseignements, cette technique d’investigation s’est popularisée avec l’avènement de la sécurité informatique. Elle tend désormais à être utilisée par les entreprises pour répondre à des objectifs stratégiques et économiques. Cette méthode est également utilisée par de nombreux professionnels de la cyber-sécurité ou par des internautes moins scrupuleux, qui l’utilisent lors de la phase de reconnaissance de leur cible, avant la réalisation de leurs attaques (techniques ou de social engineering).
Le renseignement en sources ouvertes se définit notamment par le recueil et l’analyse des informations obtenues à partir de sources d’informations publiques. Il est principalement utilisé dans le cadre d’activités liées à la sécurité nationale, la recherche journalistique et l’intelligence économique.
Cette pratique d’investigation se base sur la recherche, la collecte et l’analyse d’informations disponibles en accès libre. L’accès à ces données n’étant pas classifié, leur acquisition est parfaitement légale et n’est pas assimilable à un vol.
Son intérêt majeur repose dans le faible niveau d’interaction avec les entités faisant l’objet de l’investigation, puisque l’analyste adopte le même comportement qu’un utilisateur légitime.
A noter, le renseignement d’origine sources ouvertes est différent de la simple recherche car il applique le processus associé au cycle du renseignement dans un but de recherche d’informations. Il a donc pour but de répondre à des besoins spécifiques ou d’accompagner la prise de décision, et non l’acquisition de connaissances.
La collecte d’information dans ce cadre n’est donc pas une finalité en soit. Les phases de collecte et d’analyse d’une démarche de type OSINT doivent répondre à une question préliminaire, et doivent donner lieu à une diffusion des résultats vers les bons interlocuteurs. Enfin, cette diffusion doit prendre en compte les besoins associés aux rôles et aux responsabilités des personnes à qui le renseignement est destiné.
L’utilisation de l’OSINT :
Au-delà de son utilisation dans le domaine de l’intelligence économique, ce type de méthodologie d’investigation peut également être adaptée à d’autres cas d’usage pour répondre à d’autres besoins tout aussi importants pour les entreprises. Ainsi dans le domaine de la cyber-sécurité, l’OSINT est régulièrement utilisée dans le cadre d’activités telles que la Veille Stratégique, la Sureté, ou encore de Cyber Threat Intelligence (CTI). A titre d’exemple, l’OSINT est également utilisée dans un cadre professionnel par les pentesteurs lors de la réalisation de certains types d’audit, ou par les « bounty hunters », des chercheurs en sécurité participant aux programmes de Bug Bounty.
L’OSINT peut aussi être utilisé pour identifier d’éventuelles fuites de données au travers de recherches via des moteurs de recherche type Google, d’investigations sur des sites de partage de documents ou encore sur le darkweb.
Au-delà de la recherche en elle-même, la technique OSINT permet d’adresser des cas concrets, qui pourront répondre à des besoins spécifiques en fonction d’interlocuteurs ciblés.
L’identification des sources : une étape primordiale pour collecter l’information souhaitée
Il n’existe malheureusement pas de référentiel unique de sources pertinentes à interroger pour obtenir une information et générer du renseignement. La pertinence de ces sources dépend grandement du problème initial pour lequel cette démarche a été mise en place et de sa finalité.
Généralement, lorsque l’on parle de « sources ouvertes » on peut penser aux éléments suivants :
- Les médias : les journaux papier, les magazines, les radios, les chaînes de télévision accessibles dans les différents pays que l’on souhaite couvrir ;
- Internet : les publications en ligne, les blogs, les groupes de discussion, les médias citoyens, YouTube et autres réseaux sociaux ;
- Les données institutionnelles : les rapports, les budgets, les auditions, les annuaires, les conférences de presse, les sites web officiels ou encore les discours ;
- Les publications professionnelles et académiques : les revues académiques, les conférences, les publications et autres thèses ;
- Les données propriétaires : l’imagerie satellite, les évaluations financières et industrielles ou encore les bases de données en tout genre ;
- La littérature grise : les rapports techniques, les prépublications, les brevets, les documents de travail, les documents commerciaux, les travaux non publiés ou encore les lettres d’information.
Les sources exploitées sont donc nombreuses et variées, puisque toutes les sources, de par leur nature, peuvent entrer dans le périmètre d’une démarche OSINT.
Cette démarche s’appuie également sur d’autres types de sources ou méthodes de collecte de renseignements. Dans un document de référence intitulé « NATO Open Source Intelligence Handbook » présentant la méthodologie OSINT, l’OTAN établit les liens suivants entre l’OSINT et les approches plus spécifiques telles que l’« HUMINT » (renseignement d’origine humaine), le SIGINT (renseignement d’origine électromagnétique), ou encore l’IMINT (renseignement d’origine image).
Trouver les bons outils en fonction de ses besoins de recherche
Comme le rappelle communauté Osint-FR, l’OSINT n’est pas qu’une question d’outils, mais également d’état d’esprit, de méthodologies utilisées et de réflexion.
Les éléments suivants ne sont donc volontairement pas exhaustifs.
On peut néanmoins retenir plusieurs sources intéressantes :
– Le framework « OSINT Framework » qui présente un grand nombre de sources et d’outils accessibles publiquement et pouvant être utilisés pour analyser un sujet donné sous un angle donné.
On y retrouve notamment une liste des sites utilisés pour identifier des personnes physiques ou morales ainsi que les informations en lien avec elles :
- Identification d’une personne via son adresse email
- Identification des ports ouverts sur un périmètre donné
- Identification des outils et sources permettant un suivi des médias sociaux
- Etc.
Parmi ces sources, réparties sur une trentaine de catégories, une grande partie est dédiée à l’information en lien avec les menaces.
– La commuauté Osint-FR propose également une sélection d’outils “incontournables” pour la pratique de l’OSINT. En autre, des outils et sites permettant de chercher des informations en liens avec des entreprises, organisations et personnes physiques. Ce site répertorie notamment de nombreux outils développés en open source pour suivre les activités d’une cible donnée sur les réseaux sociaux.
– Enfin, et dans le même esprit, le projet Awesome OSINT qui référence un (très) grand nombre d’outils par cas d’usage. Plusieurs centaines d’outils sont listés et peuvent être utilisés par tous types de profils : responsable marketing, managers RH, consultant en intelligence économique ou encore journalistes.
Dans un cadre plus orienté cyber, certains permettent notamment de trouver des morceaux code via des recherche par mots-clés ou encore des outils de protection et de chiffrement de données.
Une fois le cadre posé ainsi que les ressources, outils et méthodologies identifiées, les phases de recherche, de collecte et d’analyse peuvent ensuite commencer. La spécificité de la cybersécurité nécessite cependant de s’intéresser à l’approche OSINT dans le cadre plus particulier de la CTI. Comment appliquer cette méthode pour effectuer une recherche des menaces ? Quelles sources utiliser ? Pour quelles types d’informations pertinentes ?
Nous vous proposons de répondre à toutes ces questions au travers de notre prochain article « Comment utiliser l’OSINT dans un contexte de CTI ? ».