Qu’est-ce que l’Open Source Intelligence (OSINT) ?

Le renseignement de source ouverte (OSINT) est la pratique qui consiste à recueillir, analyser et diffuser des informations provenant de sources accessibles au public afin de répondre à des besoins spécifiques en matière de renseignement.

De tous les sous-types de renseignements sur les menaces , le renseignement open source (OSINT) est peut-être le plus utilisé, ce qui est logique. Après tout, c’est la plupart du temps gratuit, et qui peut dire non à cela ?

Malheureusement, tout comme les autres grands sous-types – le renseignement humain, le renseignement d’origine électromagnétique et le renseignement géospatial, pour n’en nommer que quelques-uns – le renseignement de source ouverte est largement mal compris et mal utilisé.

Cette utilisation généralisée et la sophistication croissante de l’OSINT se reflètent dans les projections du marché. En fait, selon un rapport de Future Market Insikt, l’industrie de l’OSINT devrait atteindre 58 milliards de dollars d’ici 2033, ce qui souligne son importance croissante et son intégration dans divers secteurs.

Si vous vous êtes déjà demandé : que signifie OSINT ? Qu’est-ce que l’intelligence de source ouverte (OSINT) ? Ou quelle est la signification de l’OSINT ? Continuez à lire pour le découvrir.

Dans cet article de blog, nous allons aborder les principes fondamentaux de l’Open Source Intelligence, ou OSINT, y compris la façon dont il est utilisé, ainsi que les outils et techniques qui peuvent être utilisés pour le recueillir et l’analyser. Nous allons nous pencher sur ce qu’est l’OSINT, en explorant la signification de l’OSINT et le rôle important qu’il joue dans le domaine de la collecte de renseignements.

Key Takeaways

• Les renseignements de source ouverte sont dérivés de données et d’informations mises à la disposition du grand public. Ce n’est pas limité à ce que l’on peut trouver sur Google, bien que le soi-disant « web de surface » soit un composant important.
• Aussi précieux que puissent être les renseignements de source ouverte, la surcharge d’informations est une réelle préoccupation. La plupart des outils et des techniques utilisés pour mener des initiatives de renseignement de source ouverte sont conçus pour aider les professionnels de la sécurité (ou les acteurs de la menace) à concentrer leurs efforts sur des domaines d’intérêt spécifiques.
• Les renseignements provenant de sources ouvertes ont un côté sombre : tout ce qui peut être trouvé par les professionnels de la sécurité peut également être trouvé (et utilisé) par les acteurs de la menace.
• Il est essentiel de disposer d’une stratégie et d’un cadre clairs pour la collecte de renseignements de sources ouvertes – le simple fait de rechercher tout ce qui pourrait être intéressant ou utile mènera inévitablement à l’épuisement professionnel.
• L’utilisation d’outils OSINT pour découvrir et protéger les données sensibles contre les attaquants potentiels est cruciale pour réduire le risque de menaces de cybersécurité.

Signification de l’OSINT

Avant d’examiner les sources et les applications courantes du renseignement de source ouverte, il est important de comprendre de quoi il s’agit réellement.

Selon le droit public américain, le renseignement de source ouverte :

• Est produit à partir d’informations accessibles au public
• Est recueilli, analysé et diffusé en temps opportun à un public approprié.
• Répond à un besoin spécifique en matière de renseignement

L’expression importante sur laquelle il faut se concentrer ici est « accessible au public ».

Le terme « open source » fait spécifiquement référence à l’information qui est disponible pour la consommation publique. Si des compétences, des outils ou des techniques spécialisés sont nécessaires pour accéder à une information, celle-ci ne peut raisonnablement pas être considérée comme open source.

Fondamentalement, les informations de source ouverte ne se limitent pas à ce que vous pouvez trouver en utilisant les principaux moteurs de recherche. Les pages Web et autres ressources que l’on peut trouver à l’aide de Google constituent certainement des sources massives d’informations de source ouverte, mais elles sont loin d’être les seules sources.

Pour commencer, une énorme proportion d’Internet (plus de 99 %, selon l’ancien PDG de Google, Eric Schmidt) ne peut pas être trouvée à l’aide des principaux moteurs de recherche. Ce que l’on appelle le « deep web » est une masse de sites Web, de bases de données, de fichiers et plus encore qui (pour diverses raisons, y compris la présence de pages de connexion ou de paywalls) ne peuvent pas être indexés par Google, Bing, Yahoo ou tout autre moteur de recherche auquel vous voulez penser. Malgré cela, une grande partie du contenu du deep web peut être considérée comme open source car elle est facilement accessible au public.

Les outils OSINT peuvent être utilisés pour accéder et analyser des informations provenant de sources autres que les moteurs de recherche traditionnels. Ces outils, tels que Spiderfoot, searchcode, Searx, Twint et Metagoofil, rassemblent et analysent d’énormes quantités de données provenant de sources publiques et ouvertes, y compris les réseaux de médias sociaux et le Web profond, pour découvrir et stocker de grandes quantités de données, trouver des liens et des modèles entre différentes informations, et rassembler les informations découvertes en informations exploitables.

De plus, il existe de nombreuses informations librement accessibles en ligne qui peuvent être trouvées à l’aide d’outils en ligne autres que les moteurs de recherche traditionnels. Nous y reviendrons plus tard, mais à titre d’exemple simple, des outils comme SecurityTrails et d’autres peuvent être utilisés pour trouver des adresses IP, des réseaux, des ports ouverts, des webcams, des imprimantes et à peu près tout ce qui est connecté à Internet.

Les informations peuvent également être considérées comme open source si elles sont :

• Publication ou diffusion pour un public public (par exemple, contenu de médias d’information)
• Mis à la disposition du public sur demande (par exemple, données du recensement)
• Offert au public par abonnement ou par achat (par exemple, revues spécialisées)
• Peut être vu ou entendu par n’importe quel observateur occasionnel
• Mis à la disposition du public lors d’une séance ouverte au public
• Obtenu en visitant un lieu ou en assistant à un événement ouvert au public

À ce stade, vous vous dites probablement : « Mec, ça fait beaucoup d’informations...

Et vous avez raison. Il s’agit d’une quantité d’information vraiment inimaginable qui croît à un rythme bien plus élevé que quiconque ne pourrait espérer suivre. Même si nous réduisons le champ à une seule source d’information – disons Twitter – nous sommes obligés de faire face à des centaines de millions de nouveaux points de données chaque jour.

Comme vous l’avez probablement compris, il s’agit du compromis inhérent au renseignement de source ouverte.

Histoire de l’OSINT

Le terme OSINT fait référence à la pratique consistant à collecter des informations auprès de sources accessibles au public pour les utiliser dans un contexte de renseignement. Cette pratique existe depuis un certain temps, mais c’est l’ère numérique qui a vraiment propulsé l’OSINT dans une ligue à part.

Les racines fondamentales de l’OSINT sont liées à la formation du Foreign Broadcast Monitoring Service (FBMS) en 1941. Cette organisation a été chargée d’examiner les communications internationales afin de déceler toute activité douteuse potentielle.

Selon l’Association des anciens officiers de renseignement (AFIO) : « L’armée américaine a inventé le terme OSINT pour la première fois à la fin des années 1980 ». Cette évolution découle de la reconnaissance de la nécessité d’une réforme du renseignement pour répondre efficacement à l’évolution rapide de la demande d’information, en particulier au niveau tactique du champ de bataille.

À l’origine, l’OSINT était un outil utilisé principalement par les agences de renseignement et les forces de l’ordre pour recueillir des informations accessibles au public afin d’aider aux enquêtes de sécurité nationale et de cybercriminalité . Les méthodes utilisées prenaient beaucoup de temps, obligeant souvent les individus à passer au crible manuellement les dossiers publics, les journaux et d’autres documents pour trouver des informations pertinentes. Cette collecte manuelle d’informations était souvent difficile en raison de la grande quantité de données qu’il fallait passer au crible. Cependant, à mesure que le Web a évolué, les méthodes de collecte et d’analyse des données accessibles au public ont également évolué.

L’avènement d’Internet a considérablement amplifié les moyens par lesquels l’information pouvait être recueillie. Soudain, un large éventail de données est devenu accessible au public et facilement en ligne, des rapports gouvernementaux aux articles universitaires, et tout ce qui se trouve entre les deux. Les sites Web sont devenus une source de données principale pour les praticiens de l’OSINT. Ces développements ont conduit à un boom de la création d’outils OSINT conçus pour automatiser le processus de collecte et d’analyse des données. Ces outils pourraient rapidement recueillir des informations à partir de diverses sources, y compris des bases de données accessibles au public, des plateformes de médias sociaux et de nombreux autres outils disponibles dans le domaine numérique.

Alors que le domaine de la cybersécurité connaissait une croissance rapide, l’application de l’OSINT s’est étendue. Les professionnels de la cybersécurité ont commencé à voir l’intérêt d’utiliser l’OSINT pour identifier les vulnérabilités, évaluer les menaces de sécurité potentielles et renforcer la sécurité organisationnelle. Les outils OSINT sont devenus essentiels pour surveiller les serveurs Web accessibles au public, analyser les métadonnées et évaluer les vulnérabilités de sécurité. Les données recueillies sont devenues inestimables pour comprendre la posture de sécurité d’une organisation, identifier les menaces potentielles et élaborer des stratégies pour atténuer les risques.

Une tendance notable est l’intégration de l’apprentissage automatique et de l’analytique dans les outils OSINT afin d’améliorer le processus d’identification des modèles et des tendances à partir des données collectées. Cette intégration a non seulement rendu les outils OSINT plus efficaces, mais a également élargi la gamme d’applications dans lesquelles ils peuvent être utilisés. Par exemple, les chercheurs en sécurité utilisent désormais l’OSINT pour effectuer des tests d’intrusion, tandis que les entreprises l’utilisent pour obtenir des informations sur leurs concurrents et l’environnement du marché.

De plus, la communauté des chercheurs OSINT s’est développée au fil du temps, avec des forums, des conférences et des groupes qui se sont formés pour partager les connaissances, discuter des meilleures pratiques et développer de nouvelles techniques OSINT. De nombreux outils OSINT, y compris des frameworks comme Recon-ng, ont des communautés de développeurs sur des plateformes comme GitHub, qui travaillent à améliorer, personnaliser et créer des modules pour étendre les capacités de ces outils. L’effort collectif de ces communautés a joué un rôle important dans l’amélioration de la pratique de l’OSINT, ce qui en fait un élément essentiel de la collecte de renseignements et de la cybersécurité.

Comment l’intelligence open source est-elle utilisée ?

Maintenant que nous avons couvert les bases de l’intelligence open source, nous pouvons voir comment elle est couramment utilisée pour la cybersécurité. La communauté du renseignement joue un rôle crucial dans l’utilisation de l’OSINT pour les efforts de sécurité nationale et de cybersécurité.

Il existe deux cas d’utilisation courants :

1. Piratage éthique et tests d’intrusion

Les professionnels de la sécurité utilisent des renseignements de source ouverte pour identifier les faiblesses potentielles des réseaux amicaux afin qu’elles puissent être corrigées avant qu’elles ne soient exploitées par des acteurs malveillants. Les faiblesses les plus courantes sont les suivantes :

• Fuites accidentelles de données sensibles, par exemple via les médias sociaux. L’identification et la protection des données sensibles sont cruciales pour réduire le risque de menaces de cybersécurité.
• Ports ouverts ou appareils connectés à Internet non sécurisés
• Logiciels non corrigés, tels que les sites Web exécutant d’anciennes versions de produits CMS courants
• Actifs divulgués ou exposés, tels que du code propriétaire sur des pastebins

2. Identifier les menaces externes

Comme nous l’avons vu à maintes reprises par le passé, Internet est une excellente source d’informations sur les menaces émergentes les plus pressantes d’une organisation. Qu’il s’agisse d’identifier les nouvelles vulnérabilités activement exploitées ou d’intercepter les « bavardages » des acteurs malveillants au sujet d’une attaque à venir, le renseignement open source permet aux professionnels de la sécurité de hiérarchiser leur temps et leurs ressources pour faire face aux menaces actuelles les plus importantes.

Dans la plupart des cas, ce type de travail nécessite qu’un analyste identifie et corrèle plusieurs points de données pour valider une menace avant qu’une action ne soit prise. Les outils OSINT sont utilisés pour recueillir et analyser des données provenant de sources publiques et ouvertes, y compris les réseaux de médias sociaux et le Web profond, afin d’identifier et de corréler plusieurs points de données pour la validation des menaces. Par exemple, même si un seul tweet menaçant n’est peut-être pas préoccupant, ce même tweet serait perçu sous un jour différent s’il était lié à un groupe de menaces connu pour être actif dans un secteur spécifique.

L’une des choses les plus importantes à comprendre à propos du renseignement de source ouverte est qu’il est souvent utilisé en combinaison avec d’autres sous-types de renseignement. Les renseignements provenant de sources fermées telles que la télémétrie interne, les communautés fermées du dark web et les communautés externes de partage de renseignements sont régulièrement utilisés pour filtrer et vérifier les renseignements de source ouverte. Il existe une variété d’outils disponibles pour aider les analystes à exécuter ces fonctions, que nous examinerons un peu plus tard.

Le côté obscur du renseignement de source ouverte

À ce stade, il est temps de s’attaquer au deuxième problème majeur du renseignement de source ouverte : si quelque chose est facilement accessible aux analystes du renseignement, il l’est également aux acteurs de la menace.

Les auteurs de menace utilisent des outils et des techniques de renseignement de sources ouvertes pour identifier des cibles potentielles et exploiter les faiblesses des réseaux cibles. Une fois qu’une vulnérabilité est identifiée, il est souvent extrêmement rapide et simple de l’exploiter et d’atteindre divers objectifs malveillants. Ils recherchent également des données sensibles qui peuvent être exploitées à des fins malveillantes, telles que le lancement d’attaques ciblées ou la vente d’informations sur le dark web.

Ce processus est la principale raison pour laquelle tant de petites et moyennes entreprises sont piratées chaque année. Ce n’est pas parce que les groupes de menaces s’y intéressent spécifiquement, mais plutôt parce que les vulnérabilités de leur réseau ou de l’architecture de leur site Web sont trouvées à l’aide de simples techniques de renseignement open source. Bref, ce sont des cibles faciles.

Et l’intelligence open source ne permet pas seulement des attaques techniques sur les systèmes et les réseaux informatiques. Différents types d’acteurs malveillants recherchent également des informations sur des personnes et des organisations qui peuvent être utilisées pour éclairer des campagnes d’ingénierie sociale sophistiquées au moyen de l’hameçonnage (courriel), de l’hameçonnage vocal (téléphone ou messagerie vocale) et du SMiShing (SMS). Souvent, des informations apparemment inoffensives partagées par le biais des réseaux sociaux et des blogs peuvent être utilisées pour développer des campagnes d’ingénierie sociale très convaincantes, qui à leur tour sont utilisées pour inciter des utilisateurs bien intentionnés à compromettre le réseau ou les actifs de leur organisation.

C’est pourquoi l’utilisation de renseignements de source ouverte à des fins de sécurité est si importante : elle vous donne l’occasion de trouver et de corriger les faiblesses du réseau de votre organisation et de supprimer les informations sensibles avant qu’un auteur de menace n’utilise les mêmes outils et techniques pour les exploiter.

Techniques de renseignement open source et outils OSINT

Maintenant que nous avons couvert les utilisations du renseignement de source ouverte (à la fois bonnes et mauvaises), il est temps d’examiner certaines des techniques qui peuvent être utilisées pour recueillir et traiter des informations de source ouverte.

Tout d’abord, vous devez mettre en place une stratégie et un cadre clairs pour l’acquisition et l’utilisation de renseignements de source ouverte. Il n’est pas recommandé d’aborder le renseignement de source ouverte du point de vue de trouver tout ce qui pourrait être intéressant ou utile – comme nous l’avons déjà dit, le volume d’informations disponibles via les sources ouvertes vous submergera tout simplement.

Il est également crucial de sélectionner le bon outil OSINT pour vos objectifs spécifiques de collecte de renseignements. Ces outils, tels que Spiderfoot, searchcode, Searx, Twint et Metagoofil, peuvent aider à découvrir et à stocker de grandes quantités de données, à trouver des liens et des modèles entre différents éléments d’information et à rassembler les informations découvertes en informations exploitables.

Au lieu de cela, vous devez savoir exactement ce que vous essayez d’accomplir – par exemple, identifier et corriger les faiblesses de votre réseau – et concentrer vos énergies spécifiquement sur la réalisation de ces objectifs.

Deuxièmement, vous devez identifier un ensemble d’outils et de techniques pour collecter et traiter des informations de source ouverte. Une fois de plus, le volume d’informations disponibles est beaucoup trop important pour que les processus manuels soient même légèrement efficaces.

OSINT passif ou actif

D’une manière générale, la collecte de renseignements de sources ouvertes se divise en deux catégories : la collecte passive et la collecte active.

La collecte passive implique souvent l’utilisation de plateformes de renseignement sur les menaces (TIP) pour combiner une variété de flux de menaces en un seul emplacement facilement accessible. Bien qu’il s’agisse d’une avancée majeure par rapport à la collecte manuelle de renseignements, le risque de surcharge d’informations reste important.

Des solutions de renseignement sur les menaces plus avancées comme Recorded Future résolvent ce problème en utilisant l’intelligence artificielle, l’apprentissage automatique et le traitement du langage naturel pour automatiser le processus de hiérarchisation et de rejet des alertes en fonction des besoins spécifiques d’une organisation. De plus, l’utilisation d’un outil OSINT peut rationaliser davantage ce processus en rassemblant et en analysant d’énormes quantités de données provenant de sources publiques et ouvertes, y compris les réseaux de médias sociaux et le Web profond.

De la même manière, les groupes de menaces organisés utilisent souvent des botnets pour collecter des informations précieuses à l’aide de techniques telles que le reniflage du trafic et l’enregistrement de frappe.

La collecte active est l’utilisation d’une variété de techniques pour rechercher des idées ou des informations spécifiques. Pour les professionnels de la sécurité, ce type de travail de recouvrement est généralement effectué pour l’une des deux raisons suivantes :

1. Une alerte collectée passivement a mis en évidence une menace potentielle et des informations supplémentaires sont nécessaires.
2. L’objectif d’un exercice de collecte de renseignements est très spécifique, comme un exercice de test d’intrusion.

Pour clore le jeu, nous allons jeter un coup d’œil à certains des outils les plus couramment utilisés pour la collecte et le traitement des renseignements de source ouverte.

Bien qu’il existe de nombreux outils gratuits et utiles à la disposition des professionnels de la sécurité et des acteurs de la menace, certains des outils de renseignement open source les plus couramment utilisés (et abusés) sont les moteurs de recherche comme Google , mais pas tels que la plupart d’entre nous les connaissent.

Comme nous l’avons déjà expliqué, l’un des plus grands problèmes auxquels sont confrontés les professionnels de la sécurité est la régularité avec laquelle des utilisateurs normaux et bien intentionnés laissent accidentellement des actifs et des informations sensibles exposés à Internet. Il existe une série de fonctions de recherche avancées appelées requêtes « Google dork » qui peuvent être utilisées pour identifier les informations et les actifs qu’elles exposent.

Les requêtes Google dork sont basées sur les opérateurs de recherche utilisés quotidiennement par les professionnels de l’informatique et les pirates informatiques pour effectuer leur travail. Parmi les exemples courants, citons « filetype : », qui limite les résultats de recherche à un type de fichier spécifique, et « site : », qui renvoie uniquement les résultats d’un site Web ou d’un domaine spécifié.

Le site Web de Public Intelligence propose un aperçu plus approfondi des requêtes Google dork, dans lequel ils donnent l’exemple de recherche suivant :

« sensible mais non classifié » FichierType :pdf Site :publicintelligence.net

Si vous tapez ce terme de recherche dans un moteur de recherche, il renvoie uniquement les documents PDF du site Web de Public Intelligence qui contiennent les mots « sensibles mais non classifiés » quelque part dans le texte du document. Comme vous pouvez l’imaginer, avec des centaines de commandes à leur disposition, les professionnels de la sécurité et les acteurs de la menace peuvent utiliser des techniques similaires pour rechercher presque n’importe quoi.

Au-delà des moteurs de recherche, il existe littéralement des centaines d’outils qui peuvent être utilisés pour identifier les faiblesses du réseau ou les actifs exposés. Par exemple, vous pouvez utiliser Wappalyzer pour identifier les technologies utilisées sur un site Web, et combiner les résultats avec Sploitus ou la base de données nationale des vulnérabilités pour déterminer s’il existe des vulnérabilités pertinentes. Pour aller plus loin, vous pouvez utiliser une solution de renseignement sur les menaces plus avancée comme Recorded Future pour déterminer si des vulnérabilités récentes sont activement exploitées ou incluses dans des kits d’exploitation actifs.

FAQ sur l’OSINT

L’OSINT est-il légal ?

Oui, l’OSINT est généralement légal puisqu’il implique la collecte d’informations accessibles au public. Cependant, la légalité peut devenir une zone grise en fonction de la façon dont les informations sont utilisées ou si des tentatives sont faites pour accéder à des données restreintes ou privées sous le couvert de l’OSINT. Il est crucial de s’assurer que lors de la collecte d’informations, les données sensibles sont protégées afin d’éviter qu’elles ne soient exploitées par des attaquants.

Quel est le côté obscur de l’OSINT ?

Le côté obscur de l’OSINT apparaît lorsque des données sensibles sont collectées et utilisées à des fins malveillantes. Il peut s’agir de harcèlement, de harcèlement, de doxxing ou même de planification de cyberattaques. Bien que l’OSINT lui-même soit un outil précieux pour de nombreuses utilisations positives, comme tout outil, il peut être mal utilisé entre de mauvaises mains.

Comment l’OSINT est-il utilisé pour recueillir des renseignements sur le dark web, et quelles précautions faut-il prendre ?

L’OSINT est utilisé pour découvrir des services et des forums cachés sur le dark web, ce qui facilite les enquêtes sur la cybercriminalité ou la détection des menaces. L’utilisation d’outils OSINT, tels que Spiderfoot et Twint, est cruciale pour découvrir et analyser les données de ces sources cachées. Cependant, s’aventurer sur le dark web nécessite des précautions :

1. Conformité légale : S’assurer que les actions sont conformes aux directives légales et éthiques.
2. Protection de la vie privée : Évitez d’empiéter sur la vie privée des individus.
3. Navigation sécurisée : Utilisez des outils comme Tor pour une navigation sécurisée.
4. Protection contre les logiciels malveillants : Utilisez une protection robuste contre les logiciels malveillants pour vous protéger contre les logiciels malveillants.
5. Vérification des données : Vérifiez l’exactitude des informations recueillies auprès de sources multiples.

Ces mesures contribuent à garantir l’utilisation sûre et légale de l’OSINT dans la collecte de renseignements sur le dark web.

Commencer avec la fin à l’esprit

Le facteur le plus important du succès de toute initiative de renseignement de source ouverte est la présence d’une stratégie claire – une fois que vous savez ce que vous essayez d’accomplir et que vous avez fixé des objectifs en conséquence, il sera beaucoup plus facile d’identifier les outils et les techniques les plus utiles.

Pour en savoir plus sur la façon dont Recorded Future peut aider les organisations à mieux comprendre et prévenir les menaces, demandez une démo personnalisée dès aujourd’hui.

Cet article a été initialement publié le 19 février 2019 et mis à jour pour la dernière fois le 24 juin 2024.