FIC 2023 L'OSINT a le vent en poupe

À l’initiative d’Antoine Violet-Surcouf, directeur général et associé d’Avisa Partners, les professionnels du secteur se sont à nouveau réunis à Lille, le 5 avril dernier, à l’occasion du Forum International de la Cybersécurité (FIC). Après une première édition très suivie en 2022, les organisateurs de la Journée OSINT ont voulu mettre en lumière cette année le caractère collégial et communautaire du travail de renseignement auprès de sources ouvertes.

Piqûre de rappel : l’OSINT (Open Source Intelligence) désigne les enquêtes effectuées à partir de sources ouvertes dans divers contextes : maintien de l’ordre, cyber-protection, journalisme et fact checking. Cette expression comprend d’autres disciplines telles que le GEOINT qui porte sur l’analyse des données géographiques, ou le SOCMINT qui analyse les réseaux sociaux.

L’OSINT et la guerre en Ukraine

La journée a débuté avec le témoignage d’un responsable du service ukrainien « State Bureau of Investigation (SBI) ». Créé en 2015, les activités de ce bureau ont connu une recrudescence depuis le début du conflit en février 2022 pour compter actuellement près de 1 600 collaborateurs. Dans le contexte exceptionnel de l’invasion russe, ce service a notamment pour objectif de lutter contre la corruption, d’identifier les citoyens ukrainiens qui collaborent avec les forces russes et de collecter des preuves sur les crimes de guerre commis en Ukraine, tout en cherchant à en identifier les auteurs.

Pour cela, les membres de l’agence peuvent s’appuyer sur le SBI Recognition System, un outil de reconnaissance faciale, ainsi que sur les images prises par les forces ukrainiennes, les membres du réseau du SBI et parfois les publications des soldats du camp adverse. Un travail de reconstitution de la réalité du théâtre d’opérations à partir de traces digitales pour disposer d’une connaissance stratégique résumé ainsi par un intervenant : « OSINT works best as a collaborative tool » (l’OSINT fonctionne mieux en mode collaboratif).

L’OSINT, une méthode utile pour les entreprises

Les pratiques de l’OSINT se révèlent aussi être un outil d’aide utile à la décision au sein des entreprises. Au cours d’une table ronde animée par François Jeanne-Beylot, président du Synfie (Syndicat français de l’intelligence économique), Hortense Grelier, cheffe du service veille et innovation de SEB, explique que le renseignement en sources ouvertes permet de fournir un soutien opérationnel grâce aux informations transmis aux différents services du Groupe.

L’approche apparaît différente pour d’autres entreprises. Selon Henri de Banizette, coordinateur en charge de la sûreté économique pour Auchan Retail International, l’enjeu principal consiste à assurer la pérennité de l’activité, parfois dans des environnements à risques, comme pour l’évaluation de tiers lors d’opérations de fusion / acquisition ou l’appui aux services enquêtant sur des cas de fraudes ou de contentieux.

Sylvain Hajri, fondateur de la communauté OSINT-FR et de la société Epieos, a voulu proposer de son côté une approche différente de l’OSINT avec une méthode « red team ». Il s’agit de prendre la place d’une « partie adverse » pour identifier des failles et obtenir des feedbacks qui serviront, in fine, à renforcer les mesures de défense physique ou numérique de l’organisation observée.

Travail d’analyse et cadre légal

Alexis Pinon, directeur des investigations digitales d’Avisa Partners, a rappelé l’importance du travail d’analyse en OSINT. L’existence d’informations disponibles en grande quantité et les outils disponibles pour les approfondir (reconnaissance faciale, renseignements sur un pseudo ou une adresse IP…) permettent notamment de trouver des informations personnelles. Il est donc nécessaire d’utiliser à bon escient les outils disponibles, et de se méfier des biais et des « faux-positifs ».

Sous l’angle juridique, Marc-Antoine Ledieu, avocat et RSSI, a rappelé le cadre légal à connaître pour pratiquer l’OSINT. Il faut selon lui se poser les questions suivantes : le système d’information qui héberge la data est-il destiné à être accessible à tous les internautes ? A-t-on le droit de copier les données recueillies ? De les utiliser ? Il a également insisté sur la distinction entre les notions d’open data (données détenues par les pouvoirs publics pour être réutilisables) et de leaks (informations privées telles que le secret des affaires, les données personnelles ou encore les informations relevant de la propriété intellectuelle).

OSINT : quels outils et quelles méthodes ?

L’analyste connu sous le pseudonyme de « Palenath » a fait une démonstration de sa méthode pour localiser des personnes recherchées par Interpol à partir de leurs activités sur les réseaux sociaux. Pierre-Antonin Rousseau, Coordinateur du club OSINT & Veille de l’AEGE, est parvenu à remonter aux auteurs présumés d’un scam, par rebonds successifs sur les différentes sources en ligne.

Emmanuel Kessler, chef d’équipe partenariat et sensibilisation d’Europol, est revenu sur le travail de l’équipe d’OSINT du European Cybercrime Centre, pour appuyer les investigations numériques menées par ses enquêteurs. Ce travail prend notamment la forme de bulletins d’informations hebdomadaires sur les cyber-incidents les plus récents, les évolutions de malware repérées ou encore les questions juridiques touchant au domaine cyber ainsi que des rapports thématiques ciblés pouvant aider les enquêteurs au cours de leurs missions.

Julien Métayer, co-fondateur de la plateforme OZINT, a voulu changer de perspective lors de sa présentation en adoptant le point de vue des « cibles ». Selon lui, les personnes qui pratiquent l’OSINT n’ont pas la même vision d’une information en ligne qu’un internaute lambda ; et par conséquent, toutes les informations mises en ligne, même les plus anodines, peuvent par exemple contribuer à une tentative d’intrusion via un hameçonnage.

Djihad, Ukraine et sites de rencontre

Qu’est-ce qui peut bien réunir le djihad, l’Ukraine et les sites de rencontre ? L’OSINT évidemment. Damien Ferré, le fondateur de Jihad Analytics, a présenté son travail d’analyse des propagandes d’Al-Qaïda et de l’État islamique (EI). Sa présentation a été l’occasion de distinguer la communication très centralisée de l’EI de celle décentralisée des différentes cellules d’Al-Qaïda réparties à travers le monde, ayant leurs propres modalités de communication et susceptibles d’échanger entre elles.

Deux des fondateurs du projet Fox ont présenté leurs méthodes de recherche pour fournir des renseignements sur la présence de troupes russes en Biélorussie. La première étape consistait à identifier les blindés russes acheminés jusqu’à la ville de Smolensk, et la seconde de géolocaliser les soldats russes à l’aide de leur propre outil de SOCMINT développé par l’équipe.

Emmanuelle Welch, détective privée, a qualifié les applications de rencontre d’outils de recherche alternatifs. Au moyen d’un logiciel permettant de modifier la géolocalisation du propriétaire d’un compte, l’enquêtrice dispose d’un outil supplémentaire pour géolocaliser des personnes recherchées. Cela lui permet également de réaliser des audits de sécurité opérationnelle pour les organisations sensibles, en vérifiant les informations que peuvent divulguer certains de leurs membres inscrits sur ces sites.

Toutes ces interventions, qui se sont déroulées dans une salle comble, donnent une idée des nombreux sujets que cette discipline traite et des possibilités qu’elle offre pour les spécialistes de la sûreté, de la veille stratégique et de la cybersécurité. L’importance de fédérer le travail des « OSINTers » a régulièrement été rappelée tout au long de la journée. Rendez-vous est d’ores et déjà pris en mars 2024 pour la prochaine édition de la Journée OSINT.