p. 06 Panorama du phishing en 2023
p. 23 Introduction au dossier
p. 24 Attrape-moi si tu peux
p. 34 Découvrir sa surface d’attaque : un processus essentiel pour un inventaire cyber pertinent
p. 48 IPFS : OSINT et exploration de données décentralisées
p. 60 Méthodes d’OSINT sur le Ru.net au profit de la CTI stratégique
p. 74 Cartographie et théorie des graphes dans le social engineering
p. 90 GEOINT – Étudier l’intensité de la guerre par l’imagerie satellite ESA/Sentinel-2 : utilisations, enjeux et applications potentielles pour la détection automatisée d’objets
p. 108 Sécuriser un formulaire web
L’OSINT : un phénomène de mode ou une opportunité réelle ?
L’OSINT (Open Source Intelligence), ou ROSO (Renseignement d’Origine Sources Ouvertes) en français est un acronyme qui circule de plus en plus fréquemment dans la presse et les publications spécialisées ces dernières années. Est-ce simplement un nouveau terme à la mode ou représente-t-il une réelle opportunité ?
En réalité, depuis de nombreuses années, les pentesters, les hackers et les responsables de la sécurité des systèmes d’information utilisent activement les techniques de recherche en sources ouvertes pour préparer des tests d’intrusion, traquer des groupes cybercriminels ou simplement évaluer l’exposition de leurs infrastructures sur Internet. Cependant, d’autres termes tels que la reconnaissance passive, la collecte d’informations ou même le « stalking » (bien que ce dernier soit péjoratif) étaient souvent préférés.
Pour de nombreuses personnes, la définition précise importait peu ; l’objectif était de trouver des informations pouvant être analysées pour produire des renseignements, que ce soit en utilisant des techniques de scraping ou en exploitant les fonctionnalités des réseaux sociaux comme le regretté Facebook Graph Search.
La majeure partie des praticiens a découvert cet acronyme grâce aux travaux d’Eliott Higgins, qui a fondé le site Bellingcat en juillet 2014 pour suivre l’évolution du conflit syrien. Par la suite les enquêtes sur la disparition du vol MH17 ou l’affaire Skripal ont confirmé l’intérêt pour cette pratique.
En France, les communautés se sont principalement formées en 2019 avec l’association OpenFacto et la communauté OSINT-FR. Elles visent à réaliser des enquêtes et à rassembler des passionnés de divers horizons, qu’il s’agisse de journalistes, de hackers, de professionnels de l’intelligence économique, de chercheurs en géopolitique, d’enquêteurs privés, d’étudiants ou d’ouvriers.
Initialement, ces passionnés se sont réunis sur des plateformes telles que Slack ou Discord (abandonnant progressivement le bien-aimé IRC) avant d’organiser des rencontres informelles dans des bars. Ces rassemblements leur ont permis d’échanger lors de petites conférences ou simplement de partager leur passion, rappelant les débuts des communautés infosec des années 2000, telles que Hackerzvoice et meetings 2600, dont de nombreuses personnes (dont moi) n’ont peut-être pas fait partie, mais ont envié.
Avec le temps, de nouveaux profils et projets ont vu le jour, avec des acteurs spécialisés dans diverses niches. En réalité, l’OSINT est un domaine extrêmement vaste, utilisé par des pentesters, des avocats, des journalistes, des membres des forces de l’ordre et des chercheurs, chacun ayant des techniques et des objectifs spécifiques.
Malgré ces différences, la France a la chance exceptionnelle de réunir des centaines de passionnés de la recherche et de l’analyse de l’information. Certes, il peut y avoir des querelles entre ceux qui défendent leur point de vue, mais quelle satisfaction de voir des étudiants échanger avec des professionnels de tous horizons dans un seul but, partager la connaissance. Il n’est pas rare de constater que la communauté OSINT internationale met en avant de nouveaux outils, investigations ou initiatives créés par des membres de nos communautés françaises.
L’Open Source Intelligence existe depuis la nuit des temps, mais elle se réinvente chaque jour. Ce nouveau hors-série de MISC est une preuve du talent et de la passion de cette communauté. Nous espérons qu’il suscitera de nouvelles vocations et inspirera de nouveaux projets de recherche.
Bonne lecture ! ;-)
Sylvain HAJRI
sylvain.hajri@epieos.com / @navlys__ / Fondateur epieos.com, co-fondateur de OSINT-FR
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Lorsque l'on évoque l'Open Source Intelligence (OSINT), ou ROSO (Renseignement d'Origine Source Ouverte) dans le domaine de la sécurité informatique, on pense souvent à la Cyber Threat Intelligence, à la recherche de sous-domaines oubliés ou de serveurs mal configurés par les équipes informatiques. Cependant, les opportunités offertes par le renseignement d'origine sources ouvertes sont bien plus vastes, touchant aussi bien le spécialiste matériel en quête de spécifications techniques à extraire que le pentester traquant un site web non mis à jour dans le périmètre de sa cible. De même, le consultant chargé de mener une opération de red team peut trouver dans l'OSINT des informations précieuses sur les badges de l'organisation à infiltrer ou le modèle des serrures des bâtiments ciblés.
Les plus gros réseaux sociaux sont constitués de millions de comptes, de milliards de conversations, follows, likes… Avec des outils manuels, on peut faire du cas par cas… Avec des outils de social listening, on peut observer des tendances, des utilisations de mots clefs… Mais pour comprendre les dynamiques d'un réseau, il faut s’intéresser au fonctionnement des liens dans ce réseau. Il faut des outils basés sur ces liens, savoir les interpréter, les représenter, et en tirer les bonnes conclusions.
Point de départ de toute mission de cyberdéfense ou d'attaque simulée : connaître et comprendre le périmètre. L'époque où il suffisait d'auditer la configuration du pare-feu frontal pour identifier les actifs à défendre, ou à attaquer, est loin derrière nous. La découverte de sa surface d'attaque en utilisant l'OSINT peut permettre à une organisation d'identifier les actifs exposés sur Internet avant ses adversaires.