L’open source intelligence ou OSINT suscite le plus grand intérêt des responsables de la cybersécurité. Quels sont les contours et les apports de ce champ d’investigation bien précis ? Comment opèrent les experts de l’OSINT et quelle est l’importance de leur travail dans l’architecture de cyberdéfense ?
D’où vient et où va l’OSINT ? Définition d’un champ d’investigation clé
Derrière les lettres OSINT se cache une vaste étendue de données qui ont un point commun essentiel : elles sont toutes accessibles publiquement. L’OSINT, très précisément, c’est l’Open Source Intelligence : elle désigne la capacité – et le souhait – d’observer de près et d’analyser ces données pour en tirer des prévisions ou une meilleure compréhension d’un phénomène donné. Il est relativement aisé de comprendre l’intérêt stratégique que peut représenter l’analyse des données publiques dans le jeu cyber. Mais l’OSINT trouve des applications bien au-delà de la seule question des attaques informatiques.
Des services de renseignement très spéciaux
En français, la meilleure traduction possible d’« Open Source Intelligence » est, sans le moindre doute, « renseignement de sources ouvertes » ou « renseignement d’origine source ouverte » (en français l’acronyme correspondant est ROSO, même si en pratique il est très peu utilisé). On parle ici d’informations accessibles à tous et non classifiées. Et la notion de « renseignement » revêt un aspect tout à fait essentiel. Vous avez du mal à vous faire une image concrète des activités de type OSINT ? Imaginez tout simplement une cellule de renseignement : pensez « services secrets », à la différence prêt que, dans le cas présent, les données traitées n’ont rien de caché ou de confidentiel !
Très souvent, l’OSINT est mise à profit pour avancer dans la lutte contre le terrorisme, les cybermenaces, les pratiques financières frauduleuses et toute une myriade d’activités illégales. Il s’agit donc d’une cellule d’activité aussi précieuse pour les États que pour les entreprises.
Quelles informations recouvrent l’OSINT ?
La mise en place et le développement de l’Open Source Intelligence est en lien direct avec la nature de notre époque : c’est bien parce que nous vivons à l’ère de l’information, de la sur-numérisation et du tout digital que l’OSINT trouve matière à exister. Ce sont les milliers d’échanges qui ont lieu entre des milliards d’individus au jour le jour sur Internet qui fait apparaître, dans la sphère numérique, une multitude de données accessibles publiquement. Cet océan de données représente une source de renseignements inouïe. Outre le travail d’analyse et de recherche en soi, le terme d’OSINT désigne aussi directement ce volume d’informations colossal.
Les trois caractéristiques d’une donnée OSINT
Pour être considérée Open Source, une information doit avoir été obtenue :
- Sur une source accessible librement ;
- De manière légale ;
- Et gratuitement.
Une information publique bien spécifique
Il est absolument crucial de préciser que, dans certains cas, l’OSINT ne se penche pas sur n’importe quel type d’information publique. L’OSINT peut en effet porter sur des données :
- Qui ont été délibérément ouvertes ;
- Diffusées auprès d’un public choisi et bien déterminé ;
- Dans le but de répondre à une question bien précise.
En d’autres termes, dans certains cas, la cellule de renseignement ou d’analyse d’une entreprise ou d’une structure publique opère un tri préalable parmi des données non publiques, dans le but de les rendre publiques et de les soumettre à la force d’analyse d’équipes compétentes.
Lorsque les informations sont liées à un degré de sécurité particulièrement élevé, nécessitant une plus grande confidentialité, on parle d’OSINT-V ou « Validated OSINT ». Ce type d’information peut être trouvé directement sur une source ouverte ou être produit par un professionnel du renseignement.
Une petite histoire rapide de l’OSINT
C’est au cours de la période de la Seconde Guerre mondiale qu’a été évoqué pour la première fois le principe d’Open Source Intelligence. Dans ce contexte précis, les agences de sécurité nationale de divers pays engagés dans le conflit ont entrepris un travail d’exploitation des informations circulant librement, afin d’avoir une meilleure appréhension stratégique de leurs ennemis.
Le terme même d’OSINT a été entériné par le service des armées américaines à la fin des années 1980 : à cette date, elles pointent le besoin de capter un plus grand volume d’informations pour mieux appréhender les champs de bataille et se livrer à un travail d’analyse plus poussé des données disponibles. En 1992, le texte de l’Intelligence Reorganization Act a posé des objectifs clairs. La loi exige notamment l’utilisation exclusive de « renseignements objectifs et dénués de biais », dans l’intérêt direct de la nation. De nombreux États européens se sont inspirés de cette ligne directrice.
L’explosion de la bulle Internet en a démultiplié les usages et l’a placé au centre de toutes les stratégies de défense – militaire, économique, cyber. Plus récemment, avec le conflit russo-ukrainien initié début 2022, l’importance de l’OSINT a été réaffirmée. La crainte de cyberattaques de grande ampleur, en parallèle des offensives militaires, a notamment contribué à replacer l’OSINT au centre des stratégies de cyberdéfense.
L’OSINT, nouveau point fort de la cybersécurité
Dans un rapport publié en 2021, les analystes de Global Market Insights estiment que l’Open Source Intelligence devrait représenter pas moins de 12 milliards de dollars en 2026 dans la stratégie des entreprises. Cela correspondrait à une augmentation non négligeable de 17 % par rapport à l’année 2020, selon les chiffres du même cabinet. Il apparaît que cette progression sera liée principalement à l’intensification des recherches de type OSINT dans le champ de la cybersécurité. Mais quels sont réellement les enjeux de cette pratique lorsqu’il est question de hackers et d’offensives informatiques ?
Tout le monde fait de l’OSINT… mais pas de la même façon !
Au quotidien, n’importe quel internaute est susceptible de pratiquer l’OSINT. Le simple fait de chercher une question sur un forum, de lire un débat sur un réseau social ou de lire la réponse à une question sous une vidéo YouTube entre déjà dans la logique OSINT, de prise de renseignement. L’individu en question participe – de manière plus ou moins consciente – à la progression de la compréhension et de l’analyse d’un sujet donné, à des fins d’une future prise de décision.
Mais les choses deviennent bien plus intéressantes quand le travail de réflexion est conduit de manière organisée : c’est ce que font de manière plus fréquente entreprises et grands services de l’État.
Ce travail revêt un intérêt stratégique qui diffère selon la structure observée : certains tireront des conclusions capitales pour améliorer leurs choix marketing, leur ligne éditoriale ou leur approche commerciale. Mais l’enjeu stratégique lié à l’OSINT est bel et bien celui de la cybersécurité, qui concerne tout autant les entités privées que publiques.
Quelle est l’utilité de l’OSINT pour la cybersécurité ?
Les apports de l’investigation en sources ouvertes à la cybersécurité sont vastes. L’objectif premier est d’identifier des menaces externes potentielles. On associe d’ailleurs très souvent les notions d’OSINT et de CTI – Cyber Threat Intelligence.
L’OSINT peut néanmoins aussi servir à mieux comprendre le mode opératoire ou les raisons d’une attaque qui vient d’être subie ou stoppée. Elle remplit donc à la fois des fonctions préventives et curatives.
De fait, un investigateur OSINT peut se plonger dans les sources ouvertes :
- Pour collecter des renseignements sur un point technique ;
- Pour enquêter sur un cybercriminel.
Dans ce dernier cas, on cherche à renforcer ses remparts techniques en s’intéressant d’abord à l’humain – un humain bien précis – et à ses pratiques. Les réseaux sociaux constituent la principale source ouverte pour cerner un cybercriminel, cartographier son réseau, identifier de possibles complices ou obtenir des informations cruciales sur un logiciel malveillant développé ou disséminé par cet individu. En effet, les pirates informatiques partagent eux aussi de nombreuses informations sur les réseaux sociaux. Ces derniers sont d’ailleurs considérés comme la source numéro 1 de données ouvertes à l’heure actuelle. L’OSINT servira aussi à mieux cerner les cibles potentielles d’un malware bien précis ou d’un type d’attaque, de manière plus générale.
Sur le plan purement technique, l’investigation OSINT peut permettre de se prémunir contre une cyberattaque de mille et une façons. A savoir :
- Identifier les vulnérabilités potentielles d’un réseau ;
- Pointer une faille dans un objet connecté ;
- Repérer un logiciel non patché ;
- Affiner des tests d’intrusion ;
- Faciliter des opérations de footprint réseau ;
- Optimiser la lutte contre le phishing et le blanchiment d’argent
- Approfondir la connaissance du dark web, repère privilégié des hackers et QG de leurs opérations dans de nombreux cas – terrain que les principes du big data ne permettent de soumettre à investigation ;
- Et pour mener tout type d’investigation qui sert les objectifs de cyberdéfense d’une structure donnée.
Qui pratique l’OSINT dans le domaine cyber ?
L’Open Source Intelligence est, de fait, pratiquée par ceux que l’on appelle les OSINTER, investigateurs OSINT ou analystes open source. Les hackers éthiques sont, eux aussi, par la force des choses, amenés à décortiquer des données issues de sources ouvertes. Pour être assurés de détecter la moindre faille dans un système, ils ne peuvent mettre de côté un champ d’information. Ils sont donc des spécialistes de l’analyse de type OSINT.
Quels sont les outils OSINT au service de la cybersécurité ?
Les blogs, forums de discussion, moteurs de recherche en tous genres, réseaux sociaux, les plateformes de partage de vidéo ou de photos en mode public, la presse en général, les publications spécialisées… sont mis au service des investigateurs OSINT – elles sont, plus précisément, naturellement à leur disposition.
Pour information, on estime qu’à cette heure, 80 à 90 % des informations traitées par les professionnels du renseignement – dont font partie les OSINTER – proviennent de sources ouvertes.
L’OSINT framework
Parmi les notions importantes liées au sujet, on ne peut passer à côté de l’OSINT framework – littéralement « le cadre OSINT ». Il s’agit tout simplement d’un outil d’assistance à la conduite de recherches en sources ouvertes. Il propose de classer les sources utilisées en 32 catégories différentes, allant du réseau social au dark web, en passant par les enregistrements publics, les images, les vidéos ou encore les réseaux sociaux. Des outils spécifiques sont proposés pour chaque catégorie, en version gratuite ou payante, pour affiner la localisation des informations dont a besoin l’enquêteur.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Les défis de l’investigation OSINT
Qui dit collecte d’informations en accès libre et gratuit ne dit pas forcément qu’il s’agit d’une tâche facile. La réussite d’une enquête de type OSINT dépend des choix opérés en amont : toute recherche ne peut pas être menée selon la même méthode.. Voici quelques notions à bien avoir en tête avant de se lancer dans le bain des sources ouvertes.
Faire la différence entre OSINT active et OSINT passive
Le travail d’investigation en sources ouvertes sera conduit différemment et sera lié à un niveau de risque différent selon le type de contact avec la cible.
La collecte OSINT active
Lorsque l’OSINT investigator prend soin de contacter la cible afin de collecter des données en temps réel ou de renforcer la certitude quant à leur caractère exact, on parle d’OSINT active. On choisira cette voie, par exemple, pour passer au crible un réseau ou scanner un site web, tous deux liés à une cible d’utilisateurs précise.
Le désavantage principal de cette stratégie est que l’OSINTER peut être possiblement repéré. Si la cible s’aperçoit du travail des enquêteurs, elle peut en effet :
- Couper l’accès externe aux informations du réseau ou du site ;
- Voire tenter d’identifier les enquêteurs et de mener contre eux une action de représailles. Ce cas est plus probable lorsque la cible est liée à des activités frauduleuses. C’est pourquoi un analyste cyber doit également faire attention à son OPSEC.
Dans tous les cas, les objectifs d’exhaustivité et d’exactitude de l’enquête OSINT se trouvent compromis.
La collecte OSINT passive
À l’inverse, l’OSINT passive est peu risquée. Les enquêteurs se concentrent sur des données issues d’historiques ou des informations hébergées par des sources tierces, déconnectées de la cible. Le risque, ici, est que les données récupérées manquent d’acuité et de mise à jour. La priorité pour les analystes restent cependant la discrétion et la poursuite de leur enquête.
Par ailleurs, les données historiques sont loin d’être sans valeur, notamment lorsqu’aucune donnée en temps réel n’est disponible. En d’autres termes, une donnée, c’est toujours mieux que zéro donnée ! Lorsqu’un site web soumis à investigation se trouve supprimé par un intervenant mal intentionné, les données en temps n’existent plus !
Le travail à partir de données non mises à jour peut certes conduire à des conclusions erronées. Mais la répétition de l’enquête par différents spécialistes peut aider à réduire la marge d’erreur.
Les compétences de l’enquêteur OSINT dans le champ cyber
Pour que l’Open Source Intelligence porte ses fruits en matière de cybersécurité, elle doit être prise en main par des experts techniques combinant :
- Une maîtrise du développement informatique et des outils de type Python, NodeJS, Typescript ou encore Docker ;
- Des aptitudes de pentester, c’est-à-dire une parfaite maîtrise des techniques de tests d’intrusion ;
- Des capacités d’analyse poussées sur des données brutes ;
- Une aptitude à concevoir, développer et maintenir des scripts permettant d’affiner l’investigation ;
- Une aisance face aux outils de threat Intelligence, à la gestion de TIP, de référentiels MITRE ATT&CK ou encore de la Kill Chain.
L’OSINTER doit également être un bon chef de projet, organisé et méthodique dans sa façon de procéder sur chaque sujet d’investigation.
Différentes branches de l’OSINT au service de la cybersécurité
L’intelligence en sources ouvertes, c’est tout un monde à explorer. De fait, l’OSINT ne prend pas seulement forme au cœur des entreprises et des structures soucieuses de cybersécurité : on note la pratique particulièrement puissante de l’OSINT par des enquêteurs-journalistes, jusqu’à en faire une forme de journalisme à part entière (le fact-checking par exemple). Dans ce cas précis, le travail d’enquête s’accompagne de révélation auprès du grand public. Indirectement, l’OSINT journalistique intervient en appui de l’OSINT cyber dans la mesure où il met en évidence des informations cruciales concernant des pratiques frauduleuses en tous genres, souvent liées à des sujets de cryptomonnaie, d’arnaques en ligne et de piratage informatique.
Les outils d'OSINT
Shodan
Shodan, moteur de recherche pour l’Internet des objets, offre aux utilisateurs un ensemble d’outils puissants pour l’Open-Source Intelligence (OSINT).
Il permet de découvrir des appareils connectés à Internet, identifier des technologies ou des versions obsolètes, trouver le shadow IT d’une entreprise spécifique, des informations sur des personnes et des organisations, ou encore analyser les tendances de l’IoT.
Son utilisation doit se faire de manière responsable et éthique en respectant les conditions d’utilisation et en ne l’utilisant pas à des fins illégales.
Shodan est un outil précieux pour les professionnels de la sécurité, les chercheurs, les journalistes et toute personne souhaitant mieux comprendre l’Internet des objets et ses risques potentiels.
Recon-ng
Recon-ng est un framework de reconnaissance web complet, offrant des outils puissants pour la collecte d’informations OSINT à partir de sources publiques. Sa conception modulaire, son moteur de base de données robuste et ses nombreux modules le rendent précieux pour les professionnels de la sécurité, chercheurs, et journalistes. Il permet d’automatiser des tâches répétitives, identifier des cibles potentielles, enrichir des données et générer des rapports d’analyse, tout en exigeant une utilisation éthique et respectueuse de la vie privée.
Metagoofil
Metagoofil est un outil d’extraction de métadonnées utilisé en OSINT pour collecter des informations sensibles à partir de fichiers publics, comme des adresses IP, des noms d’utilisateurs, et des mots de passe. Il aide à enquêter sur des incidents de cybersécurité et à recueillir des données sur des personnes, des entreprises et des organisations. Son utilisation doit respecter les lois sur la protection des données et la vie privée.
Maltego
Maltego est un outil d’investigation et de cartographie qui permet de visualiser et analyser des liens entre différentes entités dans le cadre de l’OSINT.
Il est particulièrement utile pour identifier des acteurs malveillants, enquêter sur des incidents de cybersécurité, rechercher des personnes et des organisations, et suivre des tendances émergentes.
Maltego fonctionne en utilisant des transformateurs qui collectent des informations à partir de sources accessibles au public et les relient entre elles pour créer un graphique.
Son utilisation doit se faire de manière responsable et éthique en respectant les conditions d’utilisation des sources et la vie privée des individus.
Maltego est un outil puissant qui peut être utilisé à de nombreuses fins pour l’OSINT, permettant de découvrir des liens cachés, comprendre des relations complexes et prendre des décisions éclairées dans le cadre d’enquêtes et d’analyses de renseignements.
SpiderFoot
SpiderFoot est un outil automatisé pour la collecte d’informations en OSINT. Il permet de rassembler des données sur des personnes, entreprises ou organisations, identifier des liens entre entités, découvrir des informations sensibles accidentellement exposées, et surveiller des cibles et tendances. Utilisant des modules spécifiques, SpiderFoot est personnalisable et respecte les conditions d’utilisation des sources et la vie privée. Il est utile pour enrichir des enquêtes, identifier des cibles pour des tests d’intrusion, et suivre les fuites de données.
theHarvester
Searchcode
Searchcode est un moteur de recherche pour le code source, permettant d’explorer des milliards de lignes de code issues de dépôts Git publics. Il est utile en OSINT pour identifier des vulnérabilités, analyser des projets, rechercher des informations propriétaires, réaliser des analyses économiques et mener des investigations numériques. Pour l’utiliser efficacement, il est important de formuler des requêtes précises, utiliser des filtres avancés, visualiser le code et l’intégrer avec d’autres outils OSINT. Par exemple, on peut rechercher des vulnérabilités spécifiques, analyser des projets open-source populaires ou identifier les technologies utilisées dans un site web. Il est crucial de l’utiliser de manière responsable et de respecter les termes de service des plateformes de partage de code.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110
FAQ
En France, en 2021, un OSINT Analyst de niveau junior gagnait en moyenne 5 400 euros bruts mensuels. Pour un profil confirmé, avec plus de 8 ans d’expérience, il était possible de prétendre à un salaire d’environ 8 200 euros bruts par mois. Ces rémunérations sont observées pour des spécialistes directement rattachés à une structure – entreprise ou organisation publique. En indépendant, l’OSINTER peut viser un taux journalier moyen avoisinant les 850 euros minimum pour un profil débutant et 2 200 euros par jour (brut) pour un profil confirmé. Dans le cas du salariat comme du freelancing, les rémunérations peuvent être facilement négociées à la hausse dès lors que l’expert apporte des compétences rares.
La réussite au poste d’OSINTER suppose une formation technique avancée, faisant une large place aux compétences de scripting et d’analyse. Bien connaître les principes d’algorithmie et de développement web est un autre prérequis, de même que la maîtrise de plusieurs langages informatiques. Il est possible de suivre une formation complète d’expert en cybersécurité, de niveau Bac +5, avec une spécialisation sur le travail en open source. Certaines formations de spécialisation sont directement accessibles à l’université ou dans des écoles spécialisées, à Bac +2 ou Bac +4. Enfin, un certain nombre d’écoles et d’organismes proposent des formations en présentiel ou à distance pour des professionnels déjà aguerris et familiers des sujets techniques liés à la cybersécurité. Une spécialisation OSINT peut être dès lors réalisée en 2,5 à 8 mois.
Les analystes OSINT ou OSINT investigators prennent souvent le chemin de postes à responsabilité au sein du CSIRT (Computer Security Incident Response Team) ou du CERT (Computer Emergency Response Team) : leurs compétences en font de bons prétendants pour devenir responsables de ces unités. En raison de la proximité de leur travail avec le SOC (Security Operation Center) et du croisement des compétences, ils peuvent également se positionner pour devenir responsables du SOC.
Lorsque l’OSINT est utilisé à des fins de cybersécurité, il présente un intérêt aussi bien pour les structures privées (entreprises) que pour les structures publiques (administration, hôpitaux et service des armées, notamment). Parmi les grands recruteurs d’OSINTER en France, sur la période 2021-2022, on peut citer Airbus, le CEA (Commissariat à l’énergie atomique et aux énergies alternatives), le ministère de la Défense, EDF ou de nombreux assureurs cyber.
