L’OSINT est un terme qui commence à s’imposer au sein des entreprises. Issus du monde du renseignement, ces outils et méthodes se démocratisent à grande vitesse. Serge Courrier nous explique pourquoi il est temps de se pencher sur cette pratique.

SVP Intelligence. Quelle définition donnez-vous de l’OSINT ? Quelle différence faîtes-vous entre l’OSINT et la veille ?

Serge Courrier. L’OSINT (Open Source Intelligence) est une activité, un ensemble de techniques, d’outils et de méthodes… pas vraiment un métier donc. La traduction française est peut-être un peu plus claire : renseignement d’origine source ouverte (Roso). Nous sommes donc dans un domaine qui s’attache traditionnellement à recueillir et analyser un maximum d’informations utiles sur une « cible » (personne, entreprise, organisation, etc.) à partir de sources directement et légalement accessibles, via Internet. En ce sens, la recherche et l’exploitation de données issues de « fuites » (leaks) ou de piratages ne devraient pas entrer dans le champ de l’OSINT.

Mais alors ? Une personne qui sait exploiter les opérateurs de recherche avancée de Google et qui sélectionne, valide et capitalise des sites et bases de données Web, qui lui serviront à obtenir les informations sur sa cible, fait-elle de l’OSINT ? Oui, sans conteste ! Mais les spécialistes ont du mal à considérer cette activité comme de l’OSINT. Cela reste néanmoins sa base. Son premier niveau. On progresse un peu lorsque l’on arrive, patiemment, à savoir exploiter les informations facilement accessibles sur les réseaux et médias sociaux : Twitter, Facebook, Linkedin, Instagram, Snapchat, etc. Analyser par exemple les abonnés et abonnements d’une personne, ainsi que ses publications. On grimpe encore un peu face à des plateformes moins connues du grand public comme Reddit ou Discord qui regorgent potentiellement d’informations utiles.

On commence vraiment à parler d’OSINT lorsque l’on utilise des outils externes à ces plateformes et capables d’extraire et analyser des agrégats de données. Inférer la liste des Amis cachés d’un compte Facebook avec Facebook Friends List Generator par exemple. OSINT encore lorsque l’on parvient à extraire des données structurées à partir de simples sites Web ou de base de données. C’est le scraping qui s’effectue désormais avec des outils de plus en plus simples à utiliser comme Data Scraper ou Dataminer.io, pour ne parler que des plus simples.

Extraire, analyser et représenter les relations entre les personnes/entités rajoute un niveau de complexité. On parle alors d’analyse de réseau et notamment de Social Network Analysis (SNA). Maîtriser des outils comme NodeXL ou Gephi solidifie la compétence du spécialiste de l’OSINT.

Progressivement, on se rapproche d’activités plus techniques où des connaissances en informatique deviennent nécessaires. Exploiter, voire programmer des scripts (en langage Python notamment) signe une certaine maitrise du domaine et permet d’obtenir des informations élaborées. Ils permettent par exemple d’extraire puis de géolocaliser toutes les images d’un compte Instagram. Pour des investigations d’envergure, des outils comme Maltego, Lampyre ou Analyst’s Notebook (Anacrim) permettent de croiser des informations issues des sites Web, adresses mail, comptes sociaux, numéros de téléphone et représenter graphiquement les relations entre les entités.

La différence avec la veille ? On entend souvent par « veille », une activité qui automatise sur le long terme l’extraction de données simples… mais conduit aussi à son analyse et à sa rediffusion. L’OSINT est plus perçue comme une recherche puis une analyse d’informations sur une cible. Mais les deux activités se recouvrent en partie.

L’OSINT n’est-elle pas aussi l’apanage d’informaticien spécialisé dans des enquêtes très techniques sur des serveurs par exemple ?

En effet ! On y associe souvent le terme de RECON (pour « reconnaissance », au sens militaire du terme). Aller détecter les forces et faiblesses d’une cible avant de mener une opération. Que cette cible soit sa propre entreprise, une entreprise cliente (pour voir si elle protège bien ses données) ou une structure extérieure pour lui soutirer des informations. La RECON fait certes appel à des outils et méthodes OSINT mais peu aussi fleurter avec le piratage, avec tous les risques juridiques que cela comporte.

On parle aussi d’IMINT, de GEOINT et d’analyse d’images. Quel rapport avec l’OSINT ?

L’Imagery Intelligence et la Geospatial Intelligence sont deux domaines issus des pratiques du renseignement militaire. La doctrine militaire américaine définit l’IMINT comme une discipline visant à analyser des informations géolocalisées provenant d’imageries (photographies traditionnelles, images infrarouges, radar, etc.) obtenues par des satellites, avions, drones, etc. La GEOINT est un domaine plus large, qui ajoute à l’IMINT les dispositifs d’acquisition d’images, les données météorologiques et océanographiques, les caractéristiques géodésiques d’un terrain, etc. Puisque de plus en plus d’images satellitaires sont devenues librement accessibles via Google Maps ou Google Earth par exemple, l’IMINT a fait son incursion dans l’OSINT.

L’analyse d’image est plutôt venue de l’imagerie judiciaire. Il s’agissait à l’origine de trouver des preuves de malversations dans des images, soit en analysant ce qu’elles contiennent, soit en analysant ce qu’elles sont (images trafiquées). La profusion d’images disponibles via Internet, leur utilisation croissante à des fins de désinformation, le nombre grandissant d’outils permettant d’analyser des images (Forensically par exemple) a donné toutes les raisons pour que cette pratique pénètre dans l’OSINT.

Serge Courrier. Formateur et consultant indépendant, ex-journaliste, il intervient notamment sur des sujets liés à l’OSINT et à la veille au sein de l’Ecole européenne d’intelligence économique (EEIE), des rédactions de France Télévisions et de différents organismes, privés ou publics. A voir : son webinar IMINT, GEOINT et analyse d’images, ainsi que celui sur les Investigations sur Facebook.

@secou et @RSSCircus sur Twitter