Facebook-f Twitter Instagram Youtube Linkedin Tiktok

Se connecter

Article étudiant mastère - Open Source INTelligence

Qu’est-ce que l’OSINT ?
On appelle open source intelligence l’ensemble des techniques et méthodes qui vont permettre le recueil et l’analyse d’informations obtenues à partir de sources d’informations publiques. Il est principalement utilisé aujourd’hui dans le cadre d’activités liées à la sécurité nationale ainsi que pour l’intelligence économique dans le secteur privé. Les sources d’informations peuvent être divisées en 6 catégories :

Les médias – journaux, magazines, radios et chaînes de télévision.
Internet – sites web, réseaux sociaux, forums et blogs.
Les données gouvernementales – rapports, budgets, auditions, annuaires et discours.
Les publications professionnelles et académiques – revues académiques, conférences et thèses.
Les données commerciales – l’imagerie satellite, les évaluations financières, etc.
La littérature grise – rapports techniques, pré-publications, brevets, etc.

Tout d’abord utilisée par les services de renseignements des différents pays, elle tend désormais à être utilisée par les entreprises pour des objectifs stratégiques et économiques.

Un peu d’histoire
L’origine de l’OSINT remonte à la Seconde Guerre mondiale. C’est à cette époque que le président des États-Unis Franklin D. Roosevelt crée le Foreign Broadcast Monitoring Service (FBMS), qui a pour mission d’écouter, de transcrire et d’analyser les programmes de propagande conçus et diffusés par l’Axe. Développé à la suite de l’attaque de Pearl Harbor, ce programme deviendra le Foreign Broadcast Intelligence Service, appelé à être placé sous l’autorité de la CIA.

En 1939, parallèlement à la structure américaine, les Britanniques chargent la British Broadcasting Corporation (BBC) de déployer un service destiné à scruter la presse écrite et les émissions radio pour produire des « Digest of Foreign Broadcasts », qui deviendront les « Summary of World Broadcasts » (SWB) puis le BBC Monitoring.

La guerre froide accentue ces pratiques d’observation des informations ouvertes, faisant rapidement de ces dernières un élément majeur du renseignement, y compris sur les capacités et les intentions politiques adverses. Leur exploitation permet également d’identifier et d’anticiper les menaces et de lancer les premières alertes.

Pour autant, le terme d’OSINT n’apparaît réellement que dans les années 1980 à l’occasion de la réforme des services de renseignement américains, devenue nécessaire pour s’adapter aux nouveaux besoins d’information, notamment en matière tactique sur le champ de bataille. La loi sur la réorganisation du renseignement aboutit en 1992. Elle sera suivie en 1994 par la création, au sein de la CIA, du Community Open Source Program et du Community Open Source Program Office (COSPO).

Les différents types d’OSINT :

  • HUMINT (renseignement d’origine humaine)
  • GEOINT (renseignement géospacial)
  • SIGINT (renseignements sur les signaux)
  • TECHINT (renseignement sur les techniques)
  • SOCINT (renseignement sur les réseaux sociaux)
  • FININT (renseignement financier)

L’OPSEC dans l’OSINT
L’OPSEC est l’abréviation de OPeration SECurity ou en français Sécurité Opérationnelle, cela sert à protéger son identité en ligne dans le cadre d’une analyse d’OSINT. Et de manière plus générale un processus de protection de données individuelles qui pourraient être regroupées pour donner une agrégation d’une organisation. C’est aussi la protection des informations critiques jugées essentielles aux missions par les commandants militaires, les hauts responsables, la direction ou tout autre organe décisionnel.

Modèle de menace
Pour mener cette recherche d’informations, il est essentiel de connaître au préalable le modèle de menace. Un modèle de menace est un moyen structuré et systématique permettant aux individus d’identifier les vulnérabilités potentielles, de comprendre les implications de chacune d’entre elles et de réagir en conséquence afin de limiter les dommages.

STRIDE
Introduit à l’origine par Microsoft, STRIDE est un acronyme représentant six types différents de menaces : Usurpation, Falsification, Répudiation, Divulgation d’informations, Déni de service, Élévation de privilège.

Sock puppets
Les sock puppets sont utilisés pour créer des faux comptes sur les médias sociaux dans le but de faire de la recherche en OSINT. Ce sont des alias, des profils de personnes fictives créer par quelqu’un avec des objectifs précis à l’esprit. C’est une technique qui fait partie de l’ingénierie sociale.

Outils
Concernant les outils, il en existe plusieurs ayant tous un but précis. Certains sont utilisables pour récupérer des informations sur une entreprise, d’autres orientés vers les données des internautes. Les informations peuvent être fournies sous diverses formes, elles peuvent être sous forme de texte, de fichiers, d’images, etc.

Filtres de recherches sur les réseaux sociaux
Sur les réseaux sociaux tel que Facebook ou Twitter, il est possible de filtrer les recherches afin de cibler une information voulue.

Recherche d’information sur les systèmes d’informations
Shodan est un site Web qui permet aux utilisateurs de rechercher des objets connectés disposant d’une adresses IP.

Recherche d’information sur une personne
Webmii est un outil gratuit en ligne permettant de regrouper toutes les informations d’une personne trouvable via une recherche Google. Holehe est un outil Python permettant de récupérer tous les sites auxquels un utilisateur est inscrit à l’aide de son adresse email.

Démonstration Geosint : Durant le mois de mai 2022, une chaîne YouTube soutenue par le gouvernement ukrainien prétend que les forces de résistance ont détruit un stock de munitions russe via une frappe d’artillerie. ССО України б’ють по чутливим місцям росіян.

Dans le but de vérifier la véracité de ces propos, nous allons, dans un premier temps, faire une recherche Google pour voir si d’autres occurrences de cette vidéo existent et analyser leurs dates de publication. (La même vidéo publiée par le passé prouverait d’ores et déjà que c’est une réutilisation opportuniste).

Estimation de la date et de l’heure : Le Soleil est une constante, s’il est là, nous savons l’heure et la direction. S’il n’est pas là, nous savons qu’il y a des nuages. Ici, les ombres nous indiquent que la météo semble relativement bonne. Elles sont allongées et doivent faire à peu près deux fois la longueur de leur objet.

https://www.suncalc.org/#/49.779,36.7778,5/2022.05.05/17:30/20/3

En nous positionnant en Ukraine au mois de mai avec cette taille d’ombre, on obtient les deux estimations suivantes : 7h30 à 17h30. La source étant ukrainienne, les véhicules détruits sont probablement russes et viennent donc de l’Est. De plus, au vu de la luminosité, on peut supposer qu’il est 17h00 et non 7h00.

Nous pouvons donc émettre le schéma suivant sur le plan le plus large de la vidéo :

Analyse du terrain : On observe :

  • Une route large qui correspond à une autoroute orientée N-O
  • 2 petits bois
  • Une petite route qui va vers l’ouest
  • Des habitations avec probablement une station-service
  • Un incendie La végétation est verdoyante et tend à confirmer que nous sommes en avril-mai, et le sol est sec, donc il n’a pas plu récemment. Les ombres nous montrent que le temps est dégagé et que la fumée que le vent souffle vers l’Est.

Pour estimer la localisation, nous allons nous aider du Twitter de War Mapper qui retrace les zones de conflits en prenant la carte du 13 mai (date de publication de la vidéo).

https://twitter.com/War_Mapper Notre vidéo se trouve probablement sur la ligne de front ou un peu derrière les lignes russes. Nous cherchons une autoroute qui va du nord-ouest vers le sud-est, sur ou dans les lignes russes. L’autoroute M03 Kharkiv-Slovyansk paraît être une bonne zone de recherche. La vidéo se trouve donc dans cette zone.

Nous allons maintenant réorienter notre image et la modifier de manière à accentuer les éléments repérables du terrain afin de faciliter la recherche. En effet, les saisons peuvent être différentes entre notre capture d’écran et la dernière photo satellite de Google Maps.

Pour trouver la localisation de l’attaque, nous allons donc partir de la ville de Slovyansk et remonter vers le Nord-Ouest le long de l’Autoroute M03 (M03/E40 sur Google). Nous observons que durant un long tronçon la route présente 2×1 voie, ce qui ne correspond pas à notre photo. Nous serons attentifs un peu après Izyum où elle passe en 2×2 voies et recherchons des carrefours.

Le premier carrefour que nous rencontrons correspond parfaitement.

Disclaimer : Il se peut parfois que l’image soit inversée, ce qui rend plus ardues les recherches. L’attaque a donc eu lieu à Vesele (Веселе).

Nous allons maintenant essayer d’affiner la date. On observe sur Sentinel-Hub que le 6 mai la forêt avait déjà brûlé. L’attaque a donc eu lieu avant. Mais comme le monde est bien fait, on voit déjà que les champs ont la bonne forme et la bonne couleur. Nous ne sommes pas loin du bon jour ! Le 3 mai, la zone est intacte, la vidéo a donc lieu entre le 3 et le 6 mai. Recoupons avec la météo en cherchant le sens du vent entre 15 et 18h les 3, 4 et 5 mai (le satellite étant passé dans la matinée). Le 5 mai, le vent est du mauvais sens. Le 4 mai, le vent est bon à 14h, mais la météo est mauvaise et le vent est du sud à 17h. Le 3 mai, le vent est bon et le temps est clair. Le site n’était pas très précis, on peut considérer que cela correspond à notre vidéo.

Bibliographie :

Suivez-nous

Newsletter

Contact

Chartes

Facebook-f Twitter Instagram Youtube Linkedin Tiktok
Copyright © All Rights Reserved ESD
Taux de satisfaction des clients en 2023
4.3/5
Devenir formateur ESD