À l’initiative d’Antoine Violet-Surcouf, directeur général et associé d’Avisa Partners, et avec l’appui des communautés françaises de l’OSINT, les professionnels du secteur se sont réunis à Lille le 7 juin dernier à l’occasion du Forum International de la Cybersécurité (FIC). Outre la présentation des méthodes, les enjeux de cette discipline en pleine mutation et des organisations qui y ont recours dans un environnement de plus en plus numérisé y ont été abordés. Résultat : salle comble et participation des trois principales communautés OSINT, ainsi que de tout l’écosystème : institutions, grandes entreprises, cabinets, éditeurs, etc.

Vous avez dit OSINT ?

L’OSINT (Open Source Intelligence) désigne le renseignement effectué à partir de sources ouvertes dans des contextes variés (maintien de l’ordre, cyber-protection, journalisme et fact checking). Cette expression renferme de nombreuses sous-disciplines telles que le SIGINT qui porte sur les données des ondes électromagnétiques (comme la géolocalisation d’avions ou de navires en temps réel) ou le SOCMINT qui surveille les réseaux sociaux. Ces dernières ayant comme point commun d’étudier des sources d’informations disponibles en ligne, Serge Cholley, Directeur Sécurité Défense chez Eutelsat, a tenu à introduire la journée en considérant qu’il serait plus judicieux de parler de renseignement d’origine cyber (ROC). La suite s’est divisée en trois parties, chacune consacrée à une problématique propre à l’OSINT.

1. Assurer la sécurité des entreprises avec l’OSINT

Pour certains, dont Hugo Benoist et Sylvain Hajri, co-fondateurs de la communauté OSINT-FR, l’OSINT permet de collecter des informations que des cybercriminels peuvent utiliser dans le but de préparer des cyberattaques. Pour y faire face, il est primordial de maîtriser ce qu’ils nomment « la surface d’exposition », c’est-à-dire l’ensemble des informations permettant d’identifier des vulnérabilités informatiques ou organisationnelles. Leurs entreprises respectives (BreacHunt pour Hugo Benoist et Epieos pour Sylvain Hajri) ont justement pour mission de les tracer de manière préventive.

Aussi, la sensibilisation des salariés d’une entreprise est primordiale. En effet, ces derniers sont, comme l’a démontré Artus Huot de Saint-Albin, responsable OSINT chez Axis&Co et coordinateur du club OSINT de l’AEGE, les cibles privilégiées des cybercriminels.

Parallèlement, l’OSINT est utilisée par les analystes pour suivre en temps réel un événement menaçant (attaques terroristes, affrontements…) et in fine alerter, en temps réel, les responsables sûreté d’une organisation pouvant être ciblée. Alexis Pinon, directeur des investigations digitales chez Avisa Partners y a par ailleurs démontré comment, à l’aide de certaines techniques, la discipline permettait d’identifier des témoins potentiels pouvant faciliter le travail des autorités, suivre de possibles attaquants, identifier des vulnérabilités terrain, etc. Méthodes pouvant également être utiles dans la protection de personnalités, comme l’a montré Éric Ruffié, président fondateur de Vigilact.

Quel que soit le contexte, tous s’accordent sur la prudence à adopter. L’OSINT ne consiste pas à reprendre une information trouvée facilement sur le deep web. Elle requiert d’en évaluer la véracité, de la comparer avec d’autres informations avérées et de tracer son origine. Si tout le monde fait de l’OSINT, utilise de nombreux outils, gratuits ou non, tout le monde ne connaît pas parfaitement les codes, les précautions à avoir au moment d’en faire usage.

2. L’OSINT au service de la population

De la protection à l’investigation, la frontière est mince. Hervé Letoqueux, l’un des fondateurs du réseau de fact-checking Open Facto a présenté le travail mené pour identifier les responsables de la livraison d’armes en Libye, en violation de l’embargo qui y avait été décidé. Quant à Éric Marlière-Albrecht, de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), il a montré comment les informations laissées en ligne (tweets, plaques minéralogiques, métadonnées, failles de sécurité) font l’objet d’un traitement pour faciliter le travail des enquêteurs présents sur le terrain, devant confirmer (ou infirmer) les témoignages reçus. Tous les deux ont par ailleurs rappelé que l’OSINT est un travail collectif. Ce qui requiert d’élaborer des règles pour parvenir à une collaboration au moment de la recherche en plus d’un effort de formation pour diffuser les meilleures pratiques.

Margaux Duquesne, ancienne journaliste, fondatrice de l’agence Millenium Investigation, a présenté de son côté les sources utilisées pour la recherche de personnes disparues. Elle a tenu à relativiser la portée de l’OSINT. Ce n’est pas « une baguette magique » mais un complément au travail de terrain qui requiert une certaine culture générale et de bonnes capacités d’analyse. Un constat qu’Éric Emeraux de l’Office central de lutte contre les crimes contre l’humanité et les crimes de haine (OCLCH) a confirmé en prenant pour exemple la traque de criminels internationaux. Selon lui, l’OSINT est un nouveau moyen d’enquêter en s’affranchissant des compétences dans un espace cyber où les seules limites sont de nature technique. Ce qui oblige les enquêteurs à penser « la valeur testimoniale des données collectées ». L’OSINT doit permettre d’amener les auteurs de tels actes devant la justice.

Bilan également partagé par Arie Ben Dayan, directeur des ventes de Cellebrite, entreprise israélienne qui permet la collecte « non-manuelle » de données à mettre en forme pour que les analystes en fassent une présentation intelligible. Selon lui, l’IA y contribue en étudiant les relations entre des groupes distincts de données ou d’individus identifiés. L’importance réside dans la notion d’« intelligence », qui est la compréhension et l’anticipation de phénomènes que le cyber permet de repérer.

Autre aspect essentiel, celui de la transparence de la démarche d’enquête et des sources citées. Pour Open facto ou OCLCH, la priorité est de rendre explicable et justifiable la recherche selon la formule : « Refais l’enquête que j’ai faite, tu tomberas sur les mêmes conclusions que moi ». Cette priorité s’explique par la collaboration des analystes avec des titres de presse ou des tribunaux. Margaux Duquesne et Éric Marlière-Albrecht ont quant à eux préconisé l’invisibilité de l’enquêteur et la protection des sources pour la recherche de personnes disparues ou la surveillance de certains acteurs menaçants.

3. Un rempart contre les tentatives d’ingérence

Cette observation a introduit la troisième et dernière partie, axée sur l’usage de l’OSINT pour la surveillance d’acteurs géopolitiques et de leurs opérations. Alexandre Alaphilippe, de l’ONG EU-Disinfolab, a montré comment l’OSINT a permis de percer à jour une attaque informationnelle menée par un think-tank proche du pouvoir indien pour créer une infox (impliquant le Parlement européen) avec la complicité de la principale agence de presse du pays. Nicolas Quénel, journaliste indépendant ayant collaboré avec EU-Disinfolab a de son côté cité quelques exemples de tentatives de manipulation de l’information et les écueils que risquent les analystes lors d’enquêtes en sources ouvertes s’ils n’utilisent pas leur culture personnelle et leur sens de l’analyse. Mathieu Gaucheler, de l’éditeur Paterva à l’origine du logiciel Maltego, a quant à lui expliqué l’OSINT sous le prisme de la détection d’acteurs proches du média Russia Today tentant de contourner l’interdiction de ce site d’informations décidé au début du conflit en Ukraine pour diffuser la propagande pro-russe en Europe.

Charotte Graire d’Airbus CyberSecurity a ensuite présenté le rôle de l’OSINT dans la stratégie de lutte informatique d’influence (LF2I), adoptée par les dirigeants de l’entreprise contre les attaques informationnelles. Au moyen d’une solution de machine learning, les responsables veille d’Airbus repèrent et ingèrent les attaques d’influence diffusées sous des formats différents (vidéos, réseaux sociaux, blogs) avant de les stocker et de les analyser. Ils disposeront pour cela d’informations utiles au moment d’étudier les contenus : quels sont les hashtags associés à un post relayé sur les réseaux sociaux ? Est-ce qu’une image a été « photoshopée » ? Leur travail présentera les canaux et les tactiques de diffusion ainsi que l’argumentaire utilisé. Ils étudieront enfin les effets cognitifs de ces campagnes : quelles en sont les réactions ? Sont-elles « impactantes » à long terme ?

Gabriel Ferréol, le dirigeant de Viginum a conclu en précisant les caractéristiques des attaques informationnelles : multiformes, évolutives et asymétriques, chacune ayant sa propre « cinétique » (un effet très rapide ou bien opérant sur la durée). Selon la définition retenue par les autorités françaises, il s’agit d’attaques provenant d’acteurs étrangers « ciblant la partie du débat traitant sur les intérêts fondamentaux de la Nation ».

Les membres de cette agence (créée en juillet 2021) utilisent l’OSINT pour repérer et déjouer les ingérences numériques dans le champ informationnel. Ce travail est réalisé avec l’aide de collaborateurs de différents ministères (ministère des Armées, de l’Intérieur, des Affaires étrangères), de la CNIL, de la Commission de de régulation des élections et de ses homologues européens. Vient aussi la collaboration d’experts en disciplines diverses (analyse de données, communication politiques, web marketing), qui s’avère nécessaire pour mener une analyse à plusieurs échelles et ainsi identifier les réactions et les narratives mis en œuvre pendant ces attaques.

À noter que l’OSINT a attiré l’attention depuis le début du conflit russo-ukrainien le 24 février dernier. Ce qui ne doit pas susciter de malentendu. La discipline reste distincte de l’espionnage ou encore de la conduite d’enquêtes par les forces de l’ordre. Elle représente une collecte d’éléments diffus dans les anfractuosités du cyberespace et une interrogation permanente sur leur valeur explicative. Si une information n’est pas authentique, elle n’est pas une non-information, mais une information incitant à la recherche d’autres informations. Qui a créé cette fausse nouvelle, dans quel but ?

La cyber-protection, la lutte contre les fausses nouvelles ou encore la protection de la réputation en ligne d’une personne ou d’une organisation rendent donc nécessaires le perfectionnement de l’OSINT lors des prochaines années. Rendez-vous en 2023 !

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.