Qu’est ce que l’OSINT et comment est-il utilisé en cybersécurité ?

Qu’est ce que l’OSINT et comment est-il utilisé en cybersécurité ?

Hossam M.
Calendar picto
30/3/2022
Clock picto
5 min

L'Open Source Intelligence (OSINT) désigne toutes les informations qui peuvent être trouvées publiquement - principalement via Internet - sans enfreindre les lois sur le droit d'auteur ou la vie privée. Selon cette définition, un large éventail de sources peut être considéré comme faisant partie de l'OSINT. Par exemple, les informations publiées sur les sites de médias sociaux, les messages sur les forums de discussion et les chats de groupe, les répertoires de sites Web non protégés et tout élément d'information pouvant être trouvé par une recherche en ligne. Gardez à l'esprit que la plupart des ressources OSINT ne peuvent être trouvées à l'aide de moteurs de recherche ordinaires tels que Google ou Yahoo!, car de nombreuses ressources sont enfouies dans les profondeurs du darknet et ces ressources constituent plus de 96 % du contenu du Web.

Quels sont les différents types d'OSINT ?

Les OSINT peuvent être classés - en fonction de l'endroit où se trouvent les données publiques - dans les catégories suivantes :

  1. Internet est le principal endroit où l'on trouve des ressources OSINT (blogs, sites Web de médias sociaux, fichiers numériques (photos, vidéos, sons) et leurs métadonnées, empreinte technique des sites Web, webcams, Web profond (dossiers gouvernementaux, dossiers météorologiques, dossiers d'état civil, dossiers criminels, dossiers fiscaux et de propriété), ressources du darknet, sites Web de fuite de données, adresses IP et tout ce qui est publié publiquement en ligne).
  2. Les médias traditionnels tels que la télévision, la radio, les journaux et les magazines.
  3. Les publications universitaires telles que les mémoires, les documents de recherche, les revues spécialisées et les livres.
  4. Les documents d'entreprise tels que les profils d'entreprise, les comptes rendus de conférence, les rapports annuels, les actualités de l'entreprise, les profils des employés et les curriculum vitae.
  5. Les informations géospatiales telles que les cartes en ligne, les images satellites commerciales, les informations de géolocalisation associées aux messages sur les médias sociaux, le suivi des transports (aérien, maritime, véhicules et ferroviaire).

Comment utiliser l’OSINT afin d’obtenir des renseignements nécessaires ?

  • Organismes chargés de l'application de la loi: Les techniques OSINT aident les responsables de l'application de la loi à améliorer leurs activités de collecte de renseignements afin de protéger les citoyens et les entreprises des cybercriminels. 
  • Agences gouvernementales: Les gouvernements sont les plus grands consommateurs de renseignements OSINT ; ils ont besoin de ces informations pour prédire les tendances futures au niveau mondial.
  • Particuliers: Les gens ordinaires utilisent l'OSINT pour vérifier la quantité d'informations personnelles exposées à leur sujet en ligne. 
  • Cybercriminels et organisations terroristes: Dans le mauvais côté, les cybercriminels et les terroristes utilisent les techniques OSINT de la même manière que les bonnes personnes pour trouver des informations sur leurs cibles. 

Comment l'OSINT est-il utilisé dans la cybersécurité ?

Comme toute chose a ses avantages et ses inconvénients, l'OSINT peut être utilisé de deux manières.

  1. Ethical hacking

Dans le cadre du piratage éthique, l'OSINT permet de découvrir les empreintes numériques dans diverses évaluations de cybersécurité telles que les tests de pénétration, le red teaming, l'ingénierie sociale, le renseignement sur les menaces, etc. En utilisant les informations accessibles au public, les professionnels de la sécurité et les organisations identifient les informations sensibles et exposées qui pourraient permettre à tout pirate mal intentionné d'utiliser et de lancer une attaque sur les actifs critiques.

  1. Black-hat hacking

Dans le cadre du black-hat hacking, les attaquants malveillants utilisent des renseignements de source ouverte (OSINT) pour récupérer des informations sur leur cible afin de sélectionner des points d'accès potentiels vulnérables ou bénéfiques qui pourraient les aider à obtenir des données, des informations ou à identifier une feuille de route pour développer un plan d'attaque. Par exemple, les identifiants volés jouent un rôle important dans le suivi des fuites de données des entreprises et des plateformes qu'elles utilisent. Elles aident également les attaquants à trouver des informations pertinentes pour préparer une attaque.

Parallèlement, les sites de réseaux sociaux peuvent être d'une grande aide pour un attaquant afin d'identifier les employés potentiels de la personne ou de l'organisation qu'il vise. En recueillant des informations sur les employés, telles que leur adresse électronique, leur numéro de contact, leur titre, etc., il peut lancer une attaque de phishing ou de smishing pour piéger les individus avec des informations trompeuses, des liens falsifiés, et accéder au système ou voler les informations d'identification.

Comment identifier la surface d'attaque ?

L'OSINT joue un rôle important dans l'identification des menaces internes et externes et des vulnérabilités de l'environnement numérique d'une organisation et de ses actifs. En matière de sécurité de l'information, pour la plupart des évaluations (par exemple, les tests de pénétration, l'évaluation de l'équipe rouge), la collecte d'informations est la première étape des tests de sécurité. Cette étape est généralement appelée "reconnaissance" dans le secteur de l'information et de la cybersécurité.

Lors de la reconnaissance, le hacker éthique/l'expert en sécurité recueille des informations sur la cible, telles que le domaine, le sous-domaine, la personne, l'organisation et les informations d'identification sensibles de l'employé, les dispositifs interconnectés, les ports ouverts, les logiciels, les dossiers commerciaux publics, les répertoires répertoriés sur le site Web et d'autres actifs exposés, ainsi que les informations divulguées, par exemple les informations d'identification des employés, les secrets et dossiers commerciaux, etc. dans toute violation antérieure ou disponibles sur le dark web, afin d'identifier les données sensibles et exposées, les points d'accès vulnérables et les failles de sécurité pour les atténuer.

Les renseignements provenant de sources ouvertes permettent de recueillir toutes ces informations de la manière la plus rapide et la plus simple qui soit. La même reconnaissance permet de créer des empreintes numériques contre la cible ; selon l'approche, elle peut être active ou passive. De nombreux chercheurs et professionnels de la sécurité suivent généralement le processus passif, car il ne permet pas à la cible d'être informée de l'activité. C'est là que tous les chercheurs et experts en sécurité utilisent les renseignements de source ouverte (OSINT) dans le domaine de l'InfoSec.

Dans une approche défensive, l'équipe de renseignement sur les menaces de l'organisation ou des individus peut suivre leurs données et leurs secrets en utilisant des renseignements de source ouverte pour savoir s'ils ont été divulgués ou exposés. Si les employés ou tout autre identifiant sensible ont été volés ou divulgués dans une cyberattaque ou une fuite de données, ils peuvent rapidement réinitialiser le mot de passe et déployer les contrôles de sécurité.

Pour conclure, les organisations utilisent les méthodologies OSINT pour collecter toutes les informations accessibles au public afin d'analyser les données et d'obtenir des renseignements sur les menaces. En utilisant la bonne approche de l'OSINT, les organisations peuvent avoir une compréhension contextuelle des informations exposées et utilisables qui aident à analyser les dommages et le risque d'être attaqué par le biais des données. Les sociétés et les entreprises peuvent accumuler une quantité massive de données sensibles ou accessibles au public, et donc planifier le modèle de sécurité ou de protection des données en conséquence.