Image illustrant le titre de l'article et représentant un œil constitué de données numériques

Le renseignement obtenu sur la base d’informations issues de sources ouvertes a un impact indéniable sur la conduite de cyberattaques. Il modifie l’équilibre entre les grandes et petites entreprises et les sites gouvernementaux.

L’OSINT, QU'EST-CE QUE C'EST ?

Tout le monde a déjà entendu parler d’OSINT, mais peu de personnes savent réellement ce que cache cette technique de renseignement.

« OSINT » peut se traduire par « Renseignement d’origine source ouverte », soit « ROSO ». Cela se résume en l’utilisation des informations disponibles gratuitement et légalement dans le cyberspace. En somme, toute information partagée et disponible publiquement peut être exploitable et exploitée par n’importe qui.

En cybersécurité offensive, les pentesters utilisent la kill chain qui s’appuie sur un concept militaire visant à identifier la structure d’une attaque. L’OSINT entre alors dans la catégorie de la « reconnaissance ». Son utilité n’est pas négligeable car elle contribue à la bonne préparation d’une attaque contre une personne ou une organisation.

Dans le cas d’une attaque informatique, la récolte d’informations (intel gathering ou recon) est une étape qui peut durer 6 mois à quelques années. Son but est de collecter des « empreintes numériques » afin de comprendre l’architecture du réseau cible, connaître le système des appareils connectés, lister les droits / permissions d’une ou plusieurs machines.

Toute information partagée et disponible publiquement peut être exploitable et exploitée par n'importe qui.

Si ces résultats sont avant tout obtenus par le biais de méthodes techniques, le social engineering (ou l’ingénierie sociale) permet également de jouer avec des leviers psychologiques et sociaux dans le but de récupérer des informations très spécifiques.

L’OSINT est un élément fondamental des opérations de renseignements, reposant sur la consultation des sources en accès libre. Aujourd’hui, il regroupe un ensemble de disciplines ayant toutes une spécificité.

On y retrouve alors :

  • Le SOCMINT, ou le Social Media Intelligence, qui consiste à recueillir des informations à partir des contenus publiquement disponibles sur les réseaux sociaux, comme des photos, des vidéos, des données de localisation, etc.
  • L’IMINT, l’Imagery Intelligence, qui se focalise sur l’analyse d’images.
    On y distingue les photographies classiques, des images satellites, infrarouges, radars, etc. À travers elles, il est possible d’obtenir une géolocalisation, le type d’appareil ayant saisi l’image et tout un tas de métadonnées.
  • Le GEOINT, le Geospatial Intelligence, qui analyse de manière combinée des informations de géolocalisation, géologiques et météorologiques. Cette technique est étroitement liée à l’IMINT.
  • Le SIGINT, le Signals Intelligence, qui est décrit comme l’analyse des signaux électromagnétiques et de communication radio.
  • Enfin, le MASINT, le Measurement and Signature Intelligence, qui utilise et analyse des informations issues de tout type de capteur (onde radio, nucléaire, acoustique, etc.).

En définitive, le renseignement de source ouverte est une pratique légale n’utilisant que des informations disponibles en libre-accès. Ses outils principaux sont, eux aussi, autorisés et pour la plupart, utilisables sans compétences particulières.

Attention, l’OSINT est considéré comme légal dans la mesure où sa pratique repose sur la consultation de sources libres, mais l’accès à un référencement public non consenti par son propriétaire devient, dès lors, illicite. Par exemple, le Google dorking consiste à utiliser des combinaisons de mots-clefs reconnues par Google dans le but de trouver des informations « cachées » mais disponibles car indexées par le moteur de recherche. Les propriétaires de ces pages ne souhaitaient pas les rendre accessibles et ignorent tout de leur indexation.

L’OSINT sert à des fins d’enquête et permet à certaines communautés de trouver des éléments-clés dans le traitement ou l’élucidation d’affaires sensibles. Néanmoins, il peut aussi être utile à des fins personnelles. Enseigner et démocratiser cette méthode pourrait amener plus d’utilisateurs à s’en rendre compte. Mais également, à mettre en perspective la quantité exceptionnelle d’informations personnelles tout à fait exploitables que chacun laisse derrière lui…

A QUOI SERT L’OSINT SUR UN THEATRE D'OPERATION ?

L’OSINT, sur le terrain militaire, ne date pas d’hier. Cette technique a déjà été mise en œuvre, notamment dans des actions politico-militaires d’influence et d’espionnage, bien avant l’arrivée d’Internet. Si nous reprenons l’exemple de l’Armée, une connaissance du terrain en amont est nécessaire : repérer les points de hauteur, le biome dans lequel progresseront les troupes, etc. Par exemple, en Ukraine, des militaires ukrainiens ont publié des vidéos TikTok ayant permis aux renseignements russes de connaître leur position, mais surtout leurs équipements. C’est ainsi que les médias ont su que l’Ukraine avait entreposé de l’armement et des caisses médicales dans des bâtiments publics tels que des écoles ou des résidences. Et vice-versa, les Ukrainiens ont pu découvrir l’identité des généraux russes sur le terrain.

Aujourd’hui, la propagande et la désinformation étant de plus en plus courantes, chacun se met à la recherche d’informations par ses propres moyens, en usant des techniques de l’OSINT.

Il en va de même pour les attaques informatiques contre les entreprises. Les équipes du SOC (Security Operations Center) s’efforcent de collecter le plus d’informations possible sur une attaque. En cas d’attaque, il n’est pas rare, pour une équipe de sécurité informatique, d’isoler le ou les équipements infectés afin d’étudier et comprendre la méthode employée par les assaillants. Il faut alors récupérer l’adresse de la machine compromise, celle de l’attaquant, les commandes et outils qu’il a utilisés, lister les processus employés, etc. Ce minutieux travail d’analyse et de documentation permettra, par la suite, de reconnaître les attaques similaires et d’élaborer un plan d’action pour les contrer.

Aujourd'hui, la propagande et la désinformation étant de plus en plus courantes, chacun se met à la recherche d'informations par ses propres moyens, en usant des techniques de l'OSINT.

D’un point de vue offensif, l’OSINT est une étape de préparation indispensable. On parle ainsi de reconnaissance « passive », englobant des techniques de reconnaissance ne laissant aucune trace sur le système d’information (SI) ciblé. Ainsi, les attaquants vont, par exemple, utiliser le social engineering pour obtenir des renseignements très précis par le biais d’appels téléphoniques. Ils peuvent aussi prendre contact directement avec des salariés triés sur le volet, susceptibles de leur révéler involontairement des informations sur l’entreprise.

Il est même possible, grâce à un faux CV et une lettre de motivation, de passer par les Ressources Humaines et d’obtenir un entretien. Il suffira, ensuite, d’organiser un second rendez-vous avec une personne issue des équipes techniques afin d’en savoir plus sur le fonctionnement du SI, les différents appareils et systèmes déployés…

COMMENT SE PROTEGER DE L'OSINT ?

Malheureusement, la solution miracle n’existe pas, et la meilleure façon de s’en protéger, c’est… de pratiquer l’OSINT vous-même.
Tout d’abord, il vous faut élaborer une stratégie en interne à l’aide des mêmes outils que ceux employés par les attaquants. La pratique se rapproche, en ce sens, à celle du hacking éthique qui peut s’appuyer sur les ressources de pirates malveillants dans le but de mener des tests d’intrusion et de repérer les surfaces d’attaque.

Pour ce faire, il faut commencer par lister les collaborateurs « critiques », c’est-à-dire ceux qui, au sein d’une entreprise, possèdent des connaissances sur votre cœur de métier. Le plus souvent, il s’agit des responsables financiers, RH ou techniques disposant de certains droits ou informations qui, si usurpés, peuvent permettre de mettre en place des campagnes de phishing très ciblées. Rappelons que dans nos sociétés modernes, beaucoup d’autorité leur est conférée, rendant difficile pour un salarié de s’opposer à leur ordre. Il est donc essentiel de former et de sensibiliser l’ensemble des collaborateurs à ces sujets. Dans le cas d’une fraude au président, notamment, il faut désamorcer toute crainte liée à la subordination et oser vérifier l’authenticité d’une requête, même si celle-ci émane d’un supérieur ou d’un collègue.

Il convient également de revoir les protocoles rattachés au traitement et à la validation des requêtes « critiques » (demande de virement, ajout ou modification d’un compte bancaire, obtention d’un code d’accès, etc.)

Enfin, il faut mettre en place un système de surveillance des données recueillies et croiser la liste des collaborateurs critiques avec leur utilisation des plateformes en libre-accès ou des médias sociaux. Il ne faut pas y voir un moyen d’espionner les salariés, mais plutôt un outil de vérification permettant de calculer les probabilités de fuites ou de connaître les surfaces d’attaques possibles.

Dans le cas d'une fraude au président, notamment,
il faut désamorcer toute crainte liée
à la subordination et oser vérifier l'authenticité d'une requête, même si celle-ci émane d'un supérieur ou d'un collègue.

FINALEMENT, OÙ EN SOMMES-NOUS ?

L’OSINT est une technique de renseignement dont tout le monde a déjà entendu parler et dont les procédés n’ont pas tellement changé, même avec l’avènement d’Internet. Tout comme le hacking, il a montré plusieurs fois son efficacité.

Aujourd’hui pourtant, les solutions OSINT peinent à se déployer au sein des entreprises qui doivent alors y consacrer diverses ressources : du temps, du matériel et du personnel. Lorsque toutes se seront munies d’un département dédié à la cybersécurité pleinement fonctionnel, elles pourront collecter des données issues de sources ouvertes. Et pour celles qui ne souhaitent pas se doter d’un service interne, elles pourront encore faire appel à un cabinet de conseil ou à un prestataire de service. Quoiqu’il en soit, il est essentiel que tous, nous prenions conscience de la quantité d’informations que nous rendons (volontairement ou involontairement) disponibles dans le domaine public… et de leur dangerosité si celles-ci venaient à tomber entre de mauvaises mains.