L’OSINT : les informations en source ouverte au service des acteurs malveillants

OSINT pour Open Source INTelligence (renseignement en sources ouvertes), désigne un ensemble de techniques permettant de collecter des informations accessibles publiquement. Cet ensemble de techniques est utilisé dans le but d’obtenir des renseignements en analysant et exploitant un ensemble d’informations collectées. Ces informations peuvent par exemple inclure des données provenant de réseaux sociaux, de sites Web, de forums, de bases de données publiques ou de documents légaux. L’OSINT offre la possibilité de recueillir des informations précieuses sans obligatoirement nécessiter des compétences techniques avancées.

Quelles utilisations dans le cadre légal ?

L'OSINT est utilisé dans de multiples domaines tels que :

• Les entreprises : les départements de sécurité utilisent l'OSINT pour surveiller les menaces potentielles, évaluer les risques liés à la réputation et identifier les fuites de données sur Internet. Par exemple, des professionnels peuvent surveiller les mentions de leur marque ou de leurs produits sur les réseaux sociaux pour prévenir ou réagir rapidement à des campagnes de désinformation ou à des critiques. Dans certaines mesures et en fonction des législations locales, l’OSINT peut également être utilisé par les entreprises pour réaliser des contrôles rapides avant embauche, ou pour identifier et suivre leur concurrence.
• La police et le renseignement : les forces de l'ordre utilisent l'OSINT pour surveiller les activités criminelles en ligne, identifier des suspects ou anticiper des actes de violence.  En 2021, le « Center for Strategic & International Studies » a recommandé d’étudier comment l’OSINT doit être intégrée aux activités des différents services de renseignement des Etats-Unis, avec possiblement la création d’une nouvelle agence dédiée.
• Le journalisme : les journalistes d'investigation s'appuient sur l'OSINT pour vérifier des faits, découvrir des informations cachées ou non couvertes par les médias traditionnels, et investiguer sur des sujets d'intérêt public. Par exemple, des enquêtes sur la corruption peuvent s'appuyer sur des données publiques telles que des transactions financières ou des registres fonciers.

Un outil exploité pour le crime

Pour collecter des informations, les cybercriminels s’appuient sur une large gamme d’outils automatisés et accessibles gratuitement. Parmi ces outils, certains automatisent la collecte d’informations en sources ouvertes. Ils facilitent la création d’une base de connaissance sur la cible en récupérant des informations telles que des adresses email, des contacts, des sous domaines ou encore des informations relatives aux adresses IP, aux données sur les propriétaires des domaines, ou encore aux informations géographiques. D’autres permettant de visualiser des terminaux connectés à internet, sont également utilisés par les cybercriminels pour identifier des appareils vulnérables associés à leur cible. C’est grâce à l’utilisation groupée d‘outils et au croisement des informations que l’attaquant pourra obtenir des informations facilitant son attaque.

Un exemple courant d'attaque rendue possible grâce à l'OSINT est l'attaque par spear-phishing : le cybercriminel collecte d'abord des informations personnelles sur sa cible, comme son nom, son poste, ses contacts professionnels et personnels, ainsi que ses habitudes en ligne. Ces informations sont ensuite utilisées pour créer un message de phishing hautement personnalisé, souvent difficile à distinguer d'un message légitime.

Par exemple, une attaque peut cibler un employé, en utilisant une fausse adresse email qui semble provenir de son supérieur hiérarchique, demandant l'envoi urgent de données confidentielles ou l'ouverture d'un document infecté. Ce type d'attaque est en pleine expansion avec l'émergence de technologies telles que l'IA, qui facilite la création de messages ciblés ainsi que la corrélation automatique d’informations. Ainsi, les attaquants n'ont plus besoin de rédiger manuellement leurs emails de phishing ciblés ; des campagnes complètes et personnalisées peuvent désormais être générées et expédiées automatiquement grâce à cette combinaison technologique, et ce, en un temps record.

Quels impacts et comment s’en prémunir ?

L’OSINT est particulièrement utilisé dans les attaques d’ingénierie sociale, visant à pousser une personne à divulguer des informations, fournir un accès à un terminal ou permettre la compromission de la sécurité d’un système d’information via l’exécution d’un logiciel malveillant. Ces attaques peuvent engendrer des impacts financiers, dans le cas d’une arnaque au président visant à réaliser des transferts bancaires, opérationnels dans le cas d’un phishing menant au déploiement d’un rançongiciel ou encore réputationnel.

Pour se prémunir des attaques utilisant l’OSINT, les entreprises doivent adopter une approche proactive de la cybersécurité. Le premier levier exploitable est la sensibilisation des employés afin de leurs donner les clés pour les aider à limiter l’exposition de leurs informations en ligne. La surveillance et le contrôle des informations disponibles en ligne sur l’entreprise réduit également le volume de données exploitable. Il est conseillé d'établir une surveillance continue des informations présentes sur les réseaux sociaux, les forums et d'autres plateformes, y compris les serveurs non indexés par les moteurs de recherche, afin de réduire la quantité d'informations accessibles publiquement sur l'entreprise et ses employés. Il est également crucial de supprimer systématiquement toutes les informations susceptibles de faciliter des attaques d'ingénierie sociale.

La réalisation d’analyses de risques et d’audits permettra d’identifier les acteurs clé ayant accès aux informations d’une entreprise et de mettre en place des mesures adéquates pour leur sécurisation. Ces mesures peuvent porter sur la gestion des identités et des accès ou encore le déploiement de solutions de Data Loss Protection afin de limiter la publication d’information non souhaitée.

Plus globalement, les attaques exploitant l’OSINT étant variées, il est nécessaire pour les entreprises de mettre en place un cadre de gouvernance de la cybersécurité robuste, intégrant aussi bien les aspects organisationnels que techniques de leur activité.