Boite à outils  / 2 Novembre 2022

Qu’est-ce que l’OSINT ?

OSINT
Contenu mis à jour le

Alors qu’entreprises et pouvoirs publics ont (enfin) reconnu la cybersécurité comme un enjeu de premier plan, directement lié aux intérêts citoyens et à celui des affaires, il convient de se rappeler qu’il s’agit d’un sujet complexe, multiforme et à évolution rapide : les priorités cyber d’aujourd’hui ne sont pas les mêmes qu’hier et sont appelées à changer à une vitesse éclair, sous le coup du perfectionnement et de l’innovation incessants dont font preuve les pirates informatiques. Dans le contexte actuel, certains champs de la cyberdéfense se révèlent plus stratégiques que d’autres : on note une propension de plus en plus forte à s’entourer de hackers éthiques, dont l’inventivité et la puissance technique est une garantie solide contre les failles les plus indétectables. Un autre terrain suscite cependant le plus grand intérêt des responsables de la cybersécurité : celui de l’open source intelligence ou OSINT. Quels sont les contours et les apports de ce champ d’investigation bien précis ? Comment opèrent les experts de l’OSINT et quelle est l’importance de leur travail dans l’architecture de cyberdéfense ? Nous proposons de faire le point en détail sur toutes les richesses de l’open source intelligence et l’étendue de ses applications.

D’où vient et où va l’OSINT : définition d’un champ d’investigation clé

Derrière les lettres OSINT se cache une vaste étendue de données qui ont un point commun essentiel : elles sont toutes accessibles publiquement. L’OSINT, très précisément, c’est l’Open Source Intelligence : elle désigne la capacité – et le souhait – d’observer de près et d’analyser ces données pour en tirer des prévisions ou une meilleure compréhension d’un phénomène donné. Il est relativement aisé de comprendre l’intérêt stratégique que peut représenter l’analyse des données publiques dans le jeu cyber. Mais l’OSINT trouve des applications bien au-delà de la seule question des attaques informatiques.

Des services de renseignement très spéciaux

En français, la meilleure traduction possible d’« Open Source Intelligence » est, sans le moindre doute, « renseignement de sources ouvertes » ou « renseignement d’origine source ouverte » (on utilisera d’ailleurs, à l’occasion, l’acronyme ROSO dans les échanges en français). On parle ici d’informations accessibles à tous et non classifiées. Et la notion de « renseignement » revêt un aspect tout à fait essentiel. Vous avez du mal à vous faire une image concrète des activités de type OSINT ? Imaginez tout simplement une cellule de renseignement : pensez « services secrets », à la différence prêt que, dans le cas présent, les données traitées n’ont rien de caché ou de confidentiel !

Très souvent, l’OSINT est mise à profit pour avancer dans la lutte contre le terrorisme, les cybermenaces, les pratiques financières frauduleuses et toute une myriade d’activités illégales. Il s’agit donc d’une cellule d’activité aussi précieuse pour les États que pour les entreprises.

Quelles informations recouvre l’OSINT ?

La mise en place et le développement de l’Open Source Intelligence est en lien direct avec la nature de notre époque : c’est bien parce que nous vivons à l’ère de l’information, de la sur-numérisation et du tout digital que l’OSINT trouve matière à exister. Ce sont les milliers d’échanges qui ont lieu entre des milliards d’individus au jour le jour sur Internet qui fait apparaître, dans la sphère numérique, une multitude de données accessibles publiquement. Cet océan de données représente une source de renseignements inouïe. Outre le travail d’analyse et de recherche en soi, le terme d’OSINT désigne aussi directement ce volume d’informations colossal.

Les trois caractéristiques d’une donnée OSINT

Pour être considérée comme relevant de l’Open Source, une information doit avoir été obtenue :

  • Sur une source accessible librement ;
  • De manière légale ;
  • Et gratuitement.

Dès lors, peu importe si la donnée provient d’un carnet papier, d’un réseau social ou d’Internet plus globalement : elle est digne d’être exploitée par l’OSINT.

Une information publique bien spécifique

Il est absolument crucial de préciser que, dans certains cas, l’OSINT ne se penche pas sur n’importe quel type d’information publique. L’OSINT peut en effet porter sur des données :

  • Qui ont été délibérément ouvertes ;
  • Diffusées auprès d’un public choisi et bien déterminé ;
  • Dans le but de répondre à une question bien précise.

En d’autres termes, dans certains cas, la cellule de renseignement ou d’analyse d’une entreprise ou d’une structure publique opère un tri préalable parmi des données non publiques, dans le but de les rendre publiques et de les soumettre à la force d’analyse d’équipes compétentes.

Lorsque les informations sont liées à degré de sécurité particulièrement élevé, nécessitant une plus grande confidentialité, on parle d’OSINT-V ou « Validated OSINT ». Ce type d’information peut être trouvé directement sur une source ouverte ou être produit par un professionnel du renseignement.

Pour une petite histoire rapide de l’OSINT

C’est au cours de la période de la Seconde Guerre mondiale qu’a été évoqué pour la première fois le principe d’Open Source Intelligence. Dans ce contexte précis, les agences de sécurité nationale de divers pays engagés dans le conflit ont entrepris un travail d’exploitation des informations circulant librement, afin d’avoir une meilleure appréhension stratégique de leurs ennemis.

Le terme même d’OSINT a été entériné par le services des armées américaines à la fin des années 1980 : à cette date, elles pointent le besoin de capter un plus grand volume d’informations pour mieux appréhender les champs de bataille et se livrer à un travail d’analyse plus poussé des données disponibles. En 1992, le texte de l’Intelligence Reorganization Act a posé des objectifs clairs pour ce travail réalisé à partir de données publiques. La loi exige notamment l’utilisation exclusive de « renseignements objectifs et dénués de biais », dans l’intérêt direct de la nation. De nombreux États européens se sont directement inspirés de cette ligne directrice.

L’explosion de la bulle Internet en a démultiplié les usages et l’a placé au centre de toutes les stratégies de défense – militaire, économique, cyber. Plus récemment, avec le conflit russo-ukrainien initié début 2022, l’importance de l’OSINT a été réaffirmée : la crainte de cyberattaques de grande ampleur, en parallèle des offensives militaires, a notamment contribué à replacer l’OSINT au centre des stratégies de cyberdéfense.

L’OSINT, nouveau point fort de la cybersécurité

Dans un rapport publié en 2021, les analystes de Global Market Insights estiment que l’Open Source Intelligence devrait représenter pas moins de 12 milliards de dollars en 2026 dans la stratégie des entreprises. Cela correspondrait à une augmentation non négligeable de 17 % par rapport à l’année 2020, selon les chiffres du même cabinet. Il apparaît que cette progression sera liée principalement à l’intensification des recherches de type OSINT dans le champ de la cybersécurité. Mais quels sont réellement les enjeux de cette pratique lorsqu’il est question de hackers et d’offensives informatiques ?

Tout le monde fait de l’OSINT… mais pas de la même façon ! 

On l’aura certainement compris : au quotidien, n’importe quel internaute est susceptible de pratiquer l’OSINT. Le simple fait de poser une question sur un forum, de participer à un débat sur un réseau social ou de poser une question sous une vidéo YouTube entre déjà dans la logique OSINT : l’individu en question participe – de manière plus ou moins consciente – à la progression de la compréhension et de l’analyse d’un sujet donné.

Mais les choses deviennent bien plus intéressantes quand le travail de réflexion est conduit de manière organisée : c’est ce que font de manière de plus en plus fréquente entreprises et grands services de l’État.

Ce travail revêt un intérêt stratégique qui diffère selon la structure observée : certains tireront des données en sources ouvertes des conclusions capitales pour améliorer leurs choix marketing, leur ligne éditoriale ou leur approche commerciale. Mais l’enjeu stratégique majeur lié à l’OSINT est bel et bien celui de la cybersécurité, qui concerne tout autant les entités privées que publiques.

Quelle est l’utilité de l’OSINT pour la cybersécurité ?

Les apports de l’investigation en sources ouvertes à la cybersécurité sont vastes. L’objectif premier est d’identifier des menaces externes potentielles. On associe d’ailleurs très souvent les notions d’OSINT et de threat intelligence.

 L’OSINT peut néanmoins aussi servir, à l’occasion, à mieux comprendre le mode opératoire ou les raisons d’une attaque qui vient d’être subie ou stoppée. Elle remplit donc à la fois des fonctions préventives et curatives.

De fait, un investigateur OSINT peut se plonger dans les sources ouvertes :

  • Pour collecter des renseignements sur un point technique ;
  • Ou pour enquêter sur un cybercriminel

Dans ce dernier cas, on cherche à renforcer ses remparts techniques en s’intéressant d’abord à l’humain – un humain bien précis – et à ses pratiques. Les réseaux sociaux constituent la principale source ouverte pour cerner un cybercriminel, cartographier son réseau, identifier de possibles complices ou obtenir des informations cruciales sur un logiciel malveillant développé ou disséminé par cet individu. En effet, les pirates informatiques partagent eux aussi de nombreuses informations sur les réseaux sociaux. Ces derniers sont d’ailleurs considérés comme la source numéro 1 de données ouvertes à l’heure actuelle. L’OSINT servira aussi à mieux cerner les cibles potentielles d’un malware bien précis ou d’un type d’attaque, de manière plus générale.

Sur le plan purement technique, l’investigation OSINT peut permettre de se prémunir contre une cyberattaque de mille et une façons. Elle peut se révéler tout aussi utile pour :

  • Identifier les vulnérabilités potentielles d’un réseau ;
  • Pointer une faille dans un objet connecté ;
  • Repérer un logiciel non patché ;
  • Affiner des tests d’intrusion ;
  • Faciliter des opérations de footprint réseau ;
  • Optimiser la lutte contre le phishing et le blanchiment d’argent – et de cryptomonnaie plus particulièrement, si importante dans les procédés des pirates informatiques, notamment quand c’est le hameçonnage qui entre en ligne de compte ;
  • Approfondir la connaissance du dark web, repère privilégié des hackers et QG de leurs opérations dans de nombreux cas – terrain que les principes du big data ne permettent de soumettre à investigation ;
  • Et pour mener tout type d’investigation qui sert les objectifs de cyberdéfense d’une structure donnée.

Qui pratique l’OSINT dans le domaine cyber ?

L’Open Source Intelligence est, de fait, pratiquée par ceux que l’on appelle les OSINTER, investigateurs OSINT ou analystes open source. Les hackers éthiques sont, eux aussi, par la force des choses, amenés à décortiquer des données issues de sources ouvertes : pour être assurés de détecter la moindre faille dans un système, ils ne peuvent mettre de côté aucun champ d’information. Ils sont donc eux aussi des spécialistes de l’analyse de type OSINT.

Quels sont les outils OSINT au service de la cybersécurité ?

Les blogs, forums de discussion, moteurs de recherche en tous genres, réseaux sociaux, les plateformes de partage de vidéo ou de photos en mode public, la presse en général, les publications spécialisées, parmi tant d’autres sources ouvertes, sont mis au service des investigateurs OSINT – elles sont, plus précisément, naturellement à leur disposition.

Pour information, on estime qu’à cette heure, 80 à 90 % des informations traitées par les professionnels du renseignement – dont font partie les OSINTER – proviennent de sources ouvertes. 

L’OSINT framework ou comment baliser les recherches

Parmi les notions importantes liées au sujet, on ne peut passer à côté de l’OSINT framework – littéralement « le cadre OSINT ». Il s’agit tout simplement d’un outil d’assistance à la conduite de recherches en sources ouvertes. Il propose de classer les sources utilisées en 32 catégories différentes, allant du réseau social au dark web, en passant par les enregistrements publics, les images, les vidéos ou encore les réseaux sociaux. Des outils spécifiques sont proposés pour chaque catégorie, en version gratuite ou payante, pour affiner la localisation des informations dont a besoin l’enquêteur.

Les défis de l’investigation OSINT

Qui dit collecte d’informations en accès libre et gratuit ne dit pas forcément tâche facile. La réussite d’une enquête de type OSINT dépend des choix opérés en amont : toute recherche ne peut pas être menée sur le même mode. Voici quelques notions à bien avoir en tête avant de se lancer dans le bain des sources ouvertes.

Faire la différence entre OSINT active et OSINT passive

Le travail d’investigation en sources ouvertes sera conduit différemment et sera lié à un niveau de risque différent selon le type de contact avec la cible.

La collecte OSINT active

Lorsque l’OSINT investigator prend soin de contacter la cible afin de collecter des données en temps réel ou de renforcer la certitude quant à leur caractère exact, on parle d’OSINT active. On choisira cette voie, par exemple, pour passer au crible un réseau ou scanner un site web, tous deux liés à une cible d’utilisateurs précise.

Le désavantage principal de cette stratégie est que l’OSINTER peut être possiblement repéré. Si la cible s’aperçoit du travail des enquêteurs, elle peut en effet :

  • Couper l’accès externe aux informations du réseau ou du site ;
  • Voire tenter d’identifier les enquêteurs et de mener contre eux une action de représailles. Ce cas est plus probable lorsque la cible est liée à des activités frauduleuses.

Dans tous les cas, les objectifs d’exhaustivité et d’exactitude de l’enquête OSINT se trouvent compromis.

La collecte OSINT passive

À l’inverse, l’OSINT passive est peu risquée. Les enquêteurs se concentrent sur des données issues d’historiques ou des informations hébergées par des sources tierces, déconnectées de la cible. Le risque, ici, est que les données récupérées manquent d’acuité et de mise à jour. La priorité pour les analystes restent cependant la discrétion et la poursuite de leur enquête.

Par ailleurs, les données historiques sont loin d’être sans valeur, notamment lorsqu’aucune donnée en temps réel n’est disponible. En d’autres termes, une donnée, c’est toujours mieux que zéro donnée ! Lorsqu’un site web soumis à investigation se trouve supprimé par un intervenant mal intentionné, les données en temps n’existent plus ! 

Le travail à partir de données non mises à jour peut certes conduire à des conclusions erronées. Mais la répétition de l’enquête par différents spécialistes peut aider à réduire la marge d’erreur.

Les compétences de l’enquêteur OSINT dans le champ cyber

Pour que l’Open Source Intelligence porte ses fruits en matière de cybersécurité, elle doit être prise en main par des experts techniques combinant :

  • Une maîtrise du développement informatique et des outils de type Python, NodeJS, Typescript ou encore Docker ;
  • Des aptitudes de pentester, c’est-à-dire une parfaite maîtrise des techniques de tests d’intrusion ;
  • Des capacités d’analyse poussées sur des données brutes ;
  • Une aptitude à concevoir, développer et maintenir des scripts permettant d’affiner l’investigation ;
  • Une aisance face aux outils de threat Intelligence, à la gestion de TIP, de référentiels MITRE ATT&CK ou encore de la Kill Chain.

L’OSINTER doit également être un bon chef de projet, organisé et méthodique dans sa façon de procéder sur chaque sujet d’investigation.

Différentes branches de l’OSINT au service de la cybersécurité

L’intelligence en sources ouvertes, c’est tout un monde à explorer. De fait, l’OSINT ne prend pas seulement forme au cœur des entreprises et des structures soucieuses de cybersécurité : on note la pratique particulièrement puissante de l’OSINT par des enquêteurs-journalistes, jusqu’à en faire une forme de journalisme à part entière. Dans ce cas précis, le travail d’enquête s’accompagne d’un geste de révélation auprès du grand public. Indirectement, l’OSINT journalistique intervient donc en appui de l’OSINT cyber dans la mesure où il met en évidence des informations cruciales concernant des pratiques frauduleuses en tous genres, souvent liées à des sujets de cryptomonnaie, d’arnaques en ligne et de piratage informatique. 

En résumé, l’OSINT s’apparente donc à un jeu de croisements à partir d’un océan de données, ayant pour but de faire remonter à la surface des éléments utiles. L’intérêt de ces éléments ? Ce sont eux qui permettront de résister au raz-de-marée des attaques informatiques. L’OSINT, c’est tout simplement une technique de renseignement au service de l’intelligence cyber, destinée à prendre une place de plus en plus importante dans la construction de cyberdéfenses efficaces.

FAQ

Quel est le salaire d’un analyste OSINT ?

En France, en 2021, un OSINT Analyst de niveau junior gagnait en moyenne 5 400 euros bruts mensuels. Pour un profil confirmé, avec plus de 8 ans d’expérience, il était possible de prétendre à un salaire d’environ 8 200 euros bruts par mois. Ces rémunérations sont observées pour des spécialistes directement rattachés à une structure – entreprise ou organisation publique. En indépendant, l’OSINTER peut viser un taux journalier moyen avoisinant les 850 euros minimum pour un profil débutant et 2 200 euros par jour (brut) pour un profil confirmé. Dans le cas du salariant comme du freelancing, les rémunérations peuvent être facilement négociées à la hausse dès lors que l’expert apporte des compétences rares.

Quelle formation pour devenir OSINT Analyst ?

La réussite au poste d’OSINTER suppose une formation technique avancée, faisant une large place aux compétences de scripting et d’analyse. Bien connaître les principes d’algorithmie et de développement web est un autre prérequis, de même que la maîtrise de plusieurs langages informatiques. Il est possible de suivre une formation complète d’expert en cybersécurité, de niveau Bac +5, avec une spécialisation sur le travail en open source. Certaines formations de spécialisation sont directement accessibles à l’université ou dans des écoles spécialisées, à Bac +2 ou Bac +4. Enfin, un certain nombre d’écoles et d’organismes proposent des formations en présentiel ou à distance pour des professionnels déjà aguerris et familiers des sujets techniques liés à la cybersécurité. Une spécialisation OSINT peut être dès lors réalisée en 2,5 à 8 mois.

Quelle évolution de carrière pour un spécialiste OSINT ?

Les analystes OSINT ou OSINT investigators prennent souvent le chemin de postes à responsabilité au sein du CSIRT (Computer Security Incident Response Team) ou du CERT (Computer Emergency Response Team) : leurs compétences en font de bons prétendants pour devenir responsables de ces unités. En raison de la proximité de leur travail avec le SOC (Security Operation Center) et du croisement des compétences, ils peuvent également se positionner pour devenir responsables du SOC.

Qui utilise l’OSINT ?

Lorsque l’OSINT est utilisé à des fins de cybersécurité, il présente un intérêt aussi bien pour les structures privées (entreprises) que pour les structures publiques (administration, hôpitaux et service des armées, notamment). Parmi les grands recruteurs d’OSINTER en France, sur la période 2021-2022, on peut citer Airbus, le CEA (Commissariat à l’énergie atomique et aux énergies alternatives), le ministère de la Défense, EDF ou de nombreux assureurs cyber.

Actualités récentes