Comment les hameçonneurs exploitent-ils l’OSINT ?

Qu’est-ce que l’OSINT ?

Les renseignements de source ouverte (OSINT, en anglais) sont des données recueillies à partir d’informations accessibles au public. Parmi les sources courantes, citons les moteurs de recherche, les réseaux sociaux, les bases de données publiques, les dossiers d’entreprises et bien d’autres encore. Tout le monde peut accéder librement à ces données en ligne.

L’OSINT est couramment utilisé dans de nombreux domaines notamment la sécurité, le journalisme, l’application de la loi, les procédures judiciaires, les entreprises et la recherche universitaire. Une personne peut avoir de nombreuses raisons valables de vouloir accéder aux données OSINT. Par exemple, une entreprise peut s’en servir pour étudier les différentes démographies ou tendances du marché.

Hélas, les hameçonneurs peuvent quant à eux s’en servir pour mettre au point des systèmes de phishing personnalisés. Gratuits et faciles d’accès, les renseignements de sources ouvertes attirent particulièrement les acteurs malveillants. Les escrocs et les pirates informatiques peuvent utiliser d’autres sources pour effectuer des recherches OSINT, en particulier le dark web.

Comment les hameçonneurs exploitent-ils les données OSINT ?

Le phishing fonctionne mieux lorsque l’hameçonneur dispose de nombreuses informations sur sa cible. Aujourd’hui, la forme la plus courante de phishing consiste à envoyer des SMS ou des e-mails contenant des liens vers des sites web malveillants où l’escroc peut collecter des informations auprès de ses victimes. Les cybercriminels tentent souvent d’accéder à des données financières ou à des identifiants de connexion.

Les renseignements de sources ouvertes sont extrêmement précieux pour les escrocs. Ils peuvent les exploiter pour accéder à une mine d’informations détaillées et personnelles sur pratiquement tout individu ou organisation qu’ils souhaitent cibler. C’est donc la voie ouverte aux attaques et aux violations de données, dont le coût pour les entreprises s’élève en moyenne à 4,24 millions de dollars. La reconnaissance OSINT est encore plus facile avec l’aide d’outils tels que les web scrapers et l’IA. De plus, le dark web contient des données supplémentaires qui ne sont pas forcément disponibles légalement via d’autres canaux.

Les hameçonneurs exploitent toutes ces informations pour élaborer des campagnes de phishing personnalisées. Ils sont capables de reproduire le style de rédaction d’e-mail d’une personne, d’identifier les amis et les collègues d’une cible, de déterminer les sujets probables des messages, et bien plus encore. Grâce à l’OSINT, les cybercriminels peuvent effectivement se faire passer virtuellement pour qui ils veulent.

Cette stratégie de phishing est plus susceptible de piéger les victimes que d’autres méthodes moins poussées. En effet, les internautes sont plus enclins à ouvrir un e-mail provenant d’un nom qu’ils connaissent que d’une adresse aléatoire qu’ils n’ont jamais vue de leur vie. Plus le phishing est personnalisé, plus il est efficace.

Qui est le plus menacé par l’OSINT ?

Les renseignements de source ouverte créent des possibilités de phishing incroyablement personnalisées, pour autant ce n’est pas la panacée pour les pirates informatiques. En effet, analyser les données OSINT demande du temps et de la concentration. L’escroc doit concentrer ses efforts de recherche sur une cible spécifique. L’OSINT n’est donc pas toujours utile dans les cas de phishing de masse.

Il existe deux grands groupes de personnes les plus à risque : les dirigeants et les groupes de collègues d’une même entreprise. Pour ces deux types de cibles, le hacker ne doit rechercher qu’une ou deux personnes.

Par exemple, un hameçonneur peut utiliser l’OSINT pour rechercher le vice-président d’une grande entreprise. Au fil de ses recherches, il va trouver des exemples d’e-mails du dirigeant et identifier un groupe de personnes avec lesquelles il travaille en étroite collaboration. L’hameçonneur peut alors envoyer des messages de phishing très convaincants au vice-président et à ses collègues.

Cette stratégie est efficace du point de vue de l’escroc, qui n’a pas besoin de connaître les informations personnelles de chacun, mais seulement le lien qui les unit. Le hacker peut donc ratisser très large en exploitant un ensemble très ciblé et efficace d’informations gratuites et accessibles au public.

Face à ce type de situation, les utilisateurs doivent savoir détecter les signaux d’alerte d’un message de phishing. Même l’e-mail malveillant le plus convaincant peut contenir des indices laissant penser qu’il n’est pas fiable. Par exemple, les e-mails de phishing demandent souvent des informations personnelles ou proviennent d’un domaine inhabituel. L’OSINT ne fait pas disparaître ces signaux d’alarme.

Par ailleurs, au vu du temps que requièrent les recherches OSINT, les hameçonneurs sont obligés de bien choisir leurs cibles. Ils seront probablement plus sélectifs et privilégieront les personnes les plus susceptibles d’avoir accès à de grosses sommes d’argent ou à des données de grande valeur. L’OSINT n’expose pas nécessairement davantage le citoyen lambda au risque de phishing.

L’OSINT présente-t-il des avantages ?

Les entreprises, les particuliers et les professionnels de la sécurité peuvent mettre à profit les renseignements de sources ouvertes pour se protéger des hackeurs. Les informations accessibles au public que les cybercriminels détournent peuvent également être utilisées contre eux. Les organisations et les autorités chargées de l’application de la loi peuvent utiliser l’OSINT pour mieux comprendre leurs risques et éventuellement détecter les menaces plus tôt.

Interpol surveille d’ailleurs les réseaux sociaux afin d’identifier les menaces et les groupes terroristes potentiels. Les enquêteurs peuvent neutraliser les menaces de violence avant que quiconque ne soit blessé en analysant les communications, les messages affichés publiquement et les contenus suspects. Il s’agit là d’un parfait exemple de bonne utilisation de l’OSINT.

Toute entreprise ou organisation peut exploiter utilement les renseignements de sources ouvertes pour renforcer sa sécurité. Les services de sécurité de l’information peuvent effectuer des recherches OSINT sur leur propre organisation afin de savoir quelles informations sont accessibles au public. Une meilleure visibilité constitue un élément essentiel de la lutte contre les vulnérabilités et de leur réduction au minimum.

De même, les données OSINT sont précieuses pour comprendre les menaces et les modèles de sécurité émergents. Le phishing a évolué de manière significative au cours des dernières années, évolution qui est appelée à se poursuivre. Ce n’est qu’en réalisant des recherches approfondies que les équipes de sécurité peuvent rester informées des nouvelles tendances en matière de phishing et de cybercriminalité en général. Les entreprises et les organisations peuvent utiliser ces informations pour maintenir à jour leurs protocoles de sécurité.

Enfin, les données OSINT peuvent servir à élaborer des programmes de formation à la sécurité. Les organisations peuvent utiliser leurs propres sources de renseignements ouvertes pour concevoir des messages de phishing semblables à ceux d’un véritable hacker. Cela permet de rendre la formation à la détection du phishing plus réaliste, renforçant ainsi le niveau de préparation des collaborateurs.

L’OSINT, un risque ou un outil ?

Compte tenu de tous ces facteurs, les professionnels de la sécurité doivent-ils considérer les renseignements de source ouverte comme un risque ou comme un outil ? Les deux. Les hameçonneurs utilisent ces données pour créer des contenus malveillants plus convaincants. Les organisations peuvent toutefois utiliser les données OSINT contre eux. De nombreuses autorités chargées de l’application de la loi le font déjà.

En fin de compte, le meilleur moyen de minimiser les risques liés aux données OSINT, c’est de sensibiliser les utilisateurs à leur existence et de les mettre au service de mesures de sécurité plus strictes.