Article étudiant mastère – Open Source INTelligence

Article étudiant mastère – Open Source INTelligence

L’Open Source INTelligence

Qu’est ce que l’OSINT ?

On appelle open source intelligence l’ensemble des techniques et méthodes qui vont permettre le recueil et l’analyse d’informations obtenues à partir de sources d’informations publiques. Il est principalement utilisé aujourd’hui dans le cadre d’activités liées à la sécurité nationale ainsi que pour l’intelligence économique dans le secteur privé. Les sources d’informations peuvent être divisées en 6 catégories:

• Les médias – journaux, magazines, radios et chaînes de télévision
• Internet – sites web, réseaux sociaux, forums et blogs
• Les données gouvernementales – rapports, budgets, auditions, annuaires et discours
• Les publications professionnelles et académiques – revues académiques, conférences et thèses
• Les données commerciales – l’imagerie satellite, les évaluations financières, etc..
• La littérature grise – rapports techniques, pré publications, brevets, etc..

Tout d’abord utilisée par les services de renseignements des différents pays, elle tend désormais à être utilisée par les entreprises pour des objectifs stratégiques et économiques.

Cette méthode est également utilisée par de nombreux black hat, afin d’effectuer des phases de reconnaissances en amont de la réalisation de leurs méfaits tels que du social engineering ou des campagnes de phishing personnalisées.

Comme la matière principale de cette méthode est l’information personnelle, il est très important de faire attention au cadre légal. En l’occurrence, celui-ci ne semble pas être défini précisément pour l’OSINT, mais uniquement basé sur des non interdictions.
Il faut néanmoins tenir compte que la notion de vie privée est toujours bel et bien existante, bien que les informations soient disponibles librement.

Ainsi, des droits tels que le droit à la vie privée, la propriété intellectuelle et toutes autres notions arrivées avec le RGPD sont à prendre en considération. Il faut également prendre en considération les chartes d’utilisation des différentes sources d’informations.
En effet, il est possible que l’utilisation de certains des outils ne soit pas en adéquation avec elles. Leur utilisation doit s’effectuer en toute connaissance de cause et sous l’entière et unique responsabilité de son utilisateur.

Un peu d’histoire

L’origine de l’OSINT remonte à la Seconde Guerre mondiale. C’est à cette époque que le président des États-Unis Franklin D. Roosevelt crée le Foreign Broadcast Monitoring Service (FBMS), qui a pour mission d’écouter, de transcrire et d’analyser les programmes de propagande conçus et diffusés par l’Axe..

Développé à la suite de l’attaque de Pearl Harbor, ce programme deviendra le Foreign Broadcast Intelligence Service, appelé à être placé sous l’autorité de la CIA. 

En 1939, parallèlement à la structure américaine, les Britanniques chargent la British Broadcasting Corporation (BBC) de déployer un service destiné à scruter la presse écrite et les émissions radio pour produire des « Digest of Foreign Broadcasts », qui deviendront les « Summary of World Broadcasts » (SWB) puis le BBC Monitoring.

La guerre froide accentue ces pratiques d’observation des informations ouvertes, faisant rapidement de ces dernières un élément majeur du renseignement, y compris sur les capacités et les intentions politiques adverses. Leur exploitation permet également d’identifier et d’anticiper les menaces et de lancer les premières alertes.

Pour autant, le terme d’OSINT n’apparaît réellement que dans les années 1980 à l’occasion de la réforme des services de renseignement américains, devenue nécessaire pour s’adapter aux nouveaux besoins d’information, notamment en matière tactique sur le champ de bataille. La loi sur la réorganisation du renseignement aboutit en 1992. Elle sera suivie en 1994 par la création, au sein de la CIA, du Community Open Source Program et du Community Open Source Program Office (COSPO).

Les attentats du 11 Septembre sont un « game changer » pour l’OSINT.

En effet, c’est à la suite de la réforme de 2004 portant sur le renseignement et la prévention du terrorisme, l’Intelligence Reform and Terrorism Prevention Act qu’est créé, en 2005, le Centre Open Source (OSC) chargé de filtrer, transcrire, traduire, interpréter et archiver les actualités et les informations de tous types de médias.

Si l’OSINT est née de la nécessité de capter des informations à des fins militaires, le secteur privé n’a pas tardé à s’emparer de ces techniques, notamment dans la sphère de l’intelligence économique.

Cette discipline a connu de nombreuses mutations au fil de son évolution :

dans les premiers temps, il s’agissait d’accéder à des contenus recelant des informations parfois délicates à obtenir, mais l’explosion des nouvelles technologies a orienté davantage l’OSINT vers l’identification des informations pertinentes parmi la multitude de celles disponibles.

C’est ainsi que se sont développés les outils et méthodes à même de trier ces informations et, particulièrement, de discerner celles susceptibles d’être trompeuses ou falsifiées.

Le conflit Ukrainien à eu tendance à démocratiser et à donner de la visibilité à l’OSINT, La communauté essayant de prouver la non véracité des propagandes russes et aider les forces Ukrainiennes en communiquant les positions des forces du Kremlin grâce à des vidéos diffusées sur les réseaux sociaux.

Les différents types d’OSINT :

• HUMINT (renseignement d’origine humaine)
  • rapports diplomatiques
• GEOINT (renseignement géospacial)
  • cartographie, photos aériennes
• SIGINT (renseignements sur les signaux)
  • communication sur les ondes radio
• TECHINT (renseignement sur les techniques)
  • analyse des armes, munitions..
• SOCINT (renseignement sur les réseaux sociaux
  • facebook, instagram, snapshat, twitter…
• FININT (renseignement financier)
  • analyse de transactions monétaires

l’OPSEC dans l’OSINT

L’OPSEC est l’abréviation de OPeration SECurity ou en français Sécurité Opérationnelle, cela sert à protéger son identité en ligne dans le cadre d’une analyse d’OSINT. Et de manière plus générale un processus de protection de données individuelles qui pourraient être regroupées pour donner une agrégation d’une organisation.

C’est aussi la protection des informations critiques jugées essentielles aux missions par les commandants militaires, les hauts responsables, la direction ou tout autre organe décisionnel.

L’objectif est de mettre en oeuvre des contres-mesures techniques et non techniques comme l’utilisation d’un logiciel de chiffrement ou en prenant des précautions contre l’espionnage.

Ce terme fut formalisé par l’armée américaine pendant la guerre du Vietnam.

Modèle de menace

Pour mener cette recherche d’informations, il est essentiel de connaître au préalable le modèle de menace :

– contre qui souhaite-on se prémunir ?

– pourquoi ?

Un modèle de menace est un moyen structuré et systématique permettant aux individus d’identifier les vulnérabilités potentielles, de comprendre les implications de chacune d’entre elles et de réagir en conséquence afin de limiter les dommages.

L’intention derrière la modélisation de la menace, comme le mentionne Wikipedia, est d’offrir une analyse des contrôles ou des défenses à inclure, compte tenu de la nature du système, du profil de l’attaquant probable, des vecteurs d’attaque les plus probables et des actifs les plus recherchés par un attaquant.

En d’autres termes, la conception d’un modèle de menace consiste à effectuer un examen organisé de la situation actuelle et des dangers futurs possibles/prévisibles qu’elle comporte.

L’objectif du déploiement d’un modèle de menace est de déterminer ce qui peut mal tourner dans un ensemble donné de variables, ce qui permet au modélisateur d’obtenir des avantages tactiques qu’il n’aurait peut-être pas pu obtenir autrement.

STRIDE

Introduit à l’origine par Microsoft, STRIDE est un acronyme représentant six types différents de menaces :

– Usurpation / Authenticité                                                 (Spoofing)

– Falsification / Intégrité                                                     (Tampering)

– Répudiation / Non-répudiabilité                                       (Repudiation)

– Divulgation d’informations / Confidentialité                      (Information Disclosure)

– Déni de service / Disponibilité                                          (Denial Of Service)

– Élévation de privilège / Autorisation                                 (Elevation Of Privilege)

Selon Wikipédia, STRIDE est généralement appliqué lorsqu’on tente de trouver des menaces pour un système. Il est utilisé en conjonction avec un modèle du système cible qui peut être construit en parallèle.

Sock puppets

Les socks puppets sont utilisés pour créer des faux comptes sur les médias sociaux

dans le but de faire de la recherche en OSINT.

Ce sont des alias, des profils de personnes fictives créer par quelqu’un avec des objectifs précis à l’esprit. C’est une technique qui fait partie de l’ingénierie sociale.

Les comptes sont utilisés par toute personne comme les enquêteurs, les hackers, la police ou les journalistes qui veulent se faire passer pour quelqu’un d’autre. Mais ce n’est pas si facile que ça, pour créer un sock puppet qui fonctionne il faut qu’il soit crédible et cohérent comme n’importe quel comportement d’une personne réelle en ligne.

Le compte doit posséder certaines caractéristiques :

• un nom réel
• un vrai n° de téléphone
• une adresse
• des photos
• un n° de carte de crédit
• plusieurs comptes sur les réseaux sociaux
• etc.

Par exemple, les enquêteurs peuvent utiliser ce compte pour collecter des données et faire de la recherche sur d’autres cas. Ou un hacker peut l’utiliser pour faire du social engineering afin de récupérer des informations précieuses sur la target, comme l’usurpation du support téléphonique.

Un bon sock puppet ne va jamais être relié à son compte original. Pour anonymiser ce compte, il est donc nécessaire qu’il ne soit pas lié à son adresse IP d’origine ou à sa localisation géographique.

Pour cela, lors de la création du compte il faut utiliser un VPN (attention aux VPN marketing type NordVPN).

Un prestataire de confiance est mullvad, car lors du paiement, ils permettent d’anonymiser le paiement en envoyant de l’arghttps://www.blogger.com/blog/posts/4090838084045390276ent directement dans une enveloppe, sans autre moyen d’identification.

Ce qui est une vrai plus-value au niveau privacy. Un autre moyen est d’utiliser le réseau TOR ou de créer le compte depuis un WI-FI public et veiller à toujours se connecter à ce compte depuis le même réseau.

N’utilisez jamais votre propre adresse IP pour créer un sock puppet.

Outils 

Concernant les outils il en existe plusieurs ayant tous un but précis.

Certains sont utilisables pour récupérer des informations sur une entreprise, d’autres orientés vers les données des internautes.

Les informations peuvent être fournies sous diverses formes, elles peuvent être sous forme de texte, de fichiers, d’images, etc. 

Les renseignements de source ouverte seraient générés à partir d’informations publiques correctement diffusées, collectées et utilisées efficacement.

Afin de mettre ces informations à la disposition des utilisateurs pour répondre à des besoins d’information spécifiques.

Les outils doivent être utilisés en complément de recherches manuelles, Ils sont définis comme « des outils qui rendent le travail possible ». S’ils sont évidemment nécessaires pour trouver des informations, aucun outil n’est nécessaire et ne peut fonctionner sans traitement manuel.

Pour trouver les bons outils à utiliser selon notre volonté, le plus simple est de passer par un framework d’OSINT, il regroupe un nombre d’outils tout en les catégorisant en fonction de leur objectif.

De cette façon, les recherches par mail ou numéro de téléphone uniquement sont possibles.

Le domaine du web est le premier terrain d’investigation, c’est pour cette raison que l’outil « Google Dorks » est très utilisé dans les recherches d’informations.

Google Dorking est également connu sous le nom de Google Hacking permet aux utilisateurs d’accéder à des données difficiles à trouver par de simples recherches. Lorsqu’il est exécuté, Google Dorking renvoie généralement des informations que les propriétaires de sites Web n’avaient pas l’intention de partager avec le public.

Cela est dû souvent à un problème d’indexation de fichiers (lié aux configurations du site internet)

il existe de nombreux opérateurs permettant de filtrer les résultats de recherche google :

• site:”site.com” filtrera les recherches que sur ce domaine
• filetype:”pdf” ne filtrera que les sites ayant des fichiers PDF
• inurl:”admin” ne retournera que les sites ayant le mot admin dans l’url (par exemple un cms)
• intitle:”admin” affichera que les sites ayant dans le titre le mot “admin”
• “mot” affichera tous les sites ayant spécifiquement ce mot
• intext:”mot” retournera tous les sites ayant le mot “mot” dans la description
• * pour remplacer un mot inconnu
• – pour supprimer ce qui précède dans la recherche (exclure le mot de la recherche)
• OR pour chercher un mot spécifique ou un autre
• before: récupérer les résultats d’une recherche avant une date spécifique (before:2022 | before:2022-08 | before:2022-09-01)
• after: récupérer les résultats d’une recherche après une date
• « 0.. » faire une recherche d’un nombre minimum et maximum

il est bien sûr possible de les combiner permettant de faire une recherche spécifique.

la requête suivante : site: »esdacademy.eu » filetype:pdf intitle: »examens »

n’ affichera donc que les PDF du site de l’esdacademy ayant pour titre “examens”.

Les possibilités sont infinies, c’est pour cette raison que le site Google Hacking Database (de exploit-db) regroupe les requêtes sensibles qui amene à des documents et url généralement condifentielles. (caméra ip..) pour s’en protéger, éviter donc de mettre trop d’informations sensibles sur des sites ou applications en ligne quand vous en avez la possibilité, si vous êtes administrateur système et réseau, vérifiez bien vos configurations.

Filtres de recherches sur les réseaux sociaux

Sur les réseaux sociaux tel que Facebook ou Twitter, il est possible de filtrer les recherches afin de cibler une information voulue.

Sur Twitter, le mot clé filter est utilisé pour les contenus multimédias :

• filter:images
• filter:videos
• filter:media (incluant images et videos)
• filter:native_video (fichiers vidéos postés directement depuis Twitter)

il existe aussi, tout comme le Google Dorks une recherche par date.

until:yyyy-mm-dd

Recherche d’information sur les systèmes d’informations

Shodan

Shodan est un site Web qui permet aux utilisateurs de rechercher des objets connectés disposant d’une adresses IP. 

Cela inclut les serveurs Web, les routeurs et de nombreux autres périphériques tels que les imprimantes et les caméra de sécurité.

Cette recherche Shodan montre les informations concernant le site « esdacademy.eu »

pour information, Il existe un site equivalent « ZoomEye » 

Recherche d’information sur une personne

Webmii

Webmii est un outil gratuit en ligne permettant de regrouper toutes les informations d’une personne trouvable via une recherche google.

holehe

holehe est un outil python développé par Megadose (GitHub) permettant de récupérer tous les sites auquel un utilisateur est inscrit à l’aide de son adresse email.

Démonstration Geosint :

Durant le mois de mai 2022 une chaîne Youtube soutenue par le gouvernement Ukrainien prétend que les forces de résistance ont détruites un stock de munitions russe via une frappe d’artillerie.
ССО України б’ють по чутливим місцям росіян

Dans le but de vérifier la véracité de ces propos nous allons dans un premier temps faire une recherche google pour voir si d’autres occurrences de cette vidéo existent et analyser leurs dates de publication.

(La même vidéo publiée par le passé prouverai d’ores et déjà que c’est une réutilisation opportuniste).

Estimation de la date et de l’heure

Le Soleil est une constante, s’il est là nous savons l’heure et la direction. S’il n’est pas là, nous savons qu’il y a des nuages.

Ici, les ombres nous indiquent que la météo semble relativement bonne . Elles sont allongées et doivent faire à peu près deux fois la longueur de leur objet.

https://www.suncalc.org/#/49.779,36.7778,5/2022.05.05/17:30/20/3

En nous positionnant en Ukraine au mois de mai avec cette taille d’ombre on obtient les 2 estimations suivantes:

7h30 à 17h30

La source étant ukrainienne, les véhicules détruits sont probablement Russes et viennent donc de l’Est. De plus, au vu de la luminosité on peut supposer qu’il est 17h00 et non 7h00.

Nous pouvons donc émettre le schéma suivant sur le plan le plus large de la vidéo:

Analyse du terrain:

On observe:

• Une route large qui correspond à une autoroute orienté N-O
• 2 petits bois,
• Une petite route qui va vers l’ouest,
• Des habitations avec probablement une station service,
• Un incendie

La végétation est verdoyante et tend à confirmer que nous sommes en Avril-Mai et le sol est sec donc il n’a pas plu récemment. Les ombres nous montrent que le temps est dégagé et la fumée que le vent souffle vers l’Est.

Pour estimer la localisation, nous allons nous aider du twitter de War Mapper qui retrace les zones de conflits en prenant la carte du 13 mai (date de publication de la vidéo).

Tweets by War_Mapper

Notre vidéo se trouve probablement sur la ligne de front ou un peu derrière les lignes russes. 

Nous cherchons une autoroute qui va du nord-ouest vers le sud-est, sur ou dans les lignes russe.

L’autoroute M03 Kharkiv-Slovyansk paraît être une bonne zone de recherche. La vidéo se trouve donc dans cette zone :

Nous allons maintenant réorienter notre image et la modifier de manière à accentuer les éléments repérables du terrain afin de faciliter la recherche. En effet les saisons peuvent être différentes entre notre capture d’écran et la dernière photo satellite de Google map.

Pour trouver la localisation de l’attaque  nous allons donc partir de la ville de Slovyansk et remonter vers le Nord-Ouest le long de l’Autoroute M03 ( M03/E40 sur google).
Nous observons que durant un long tronçon la route présente 2×1 voie ce qui ne correspond pas à notre photo. Nous serons attentifs  un peu après Izyum où elle passe en 2×2 vois et recherchons des carrefours.

Le premier carrefour que nous rencontrons correspond parfaitement.

Disclaimer: Il se peut parfois que l’image soit inversé ce qui rend plus ardu les recherches 

L’attaque donc eu lieu à Vesele (Веселе)

Nous allons maintenant essayer d’affiner la date.

On observe sur Sentinel-Hub que le 6 mai la forêt avait déjà brûlé. L’attaque a donc eu lieu avant. 

Mais comme le monde est bien fait, on voit déjà que les champs ont la bonne forme et la bonne couleur. Nous ne sommes pas loin du bon jour !

Le 3 mai la zone est intacte, la vidéo a donc lieu entre le 3 et le 6 mai. Recoupons avec la météo en cherchant le sens du vent entre 15 et 18h le 3, 4 et 5 mai (le satellite étant passé dans la matinée)

• Le 5 mai le vent est du mauvais sens :
• Le 4 mai le vent est bon à 14h mais la météo est mauvaise et le vent est du sud à 17h.
• Le 3 mai, le vent est bon et le temps est clair. Le site n’était pas très précis, on peut considérer que cela correspond à notre vidéo.

Bibliographie

https://www.synetis.com/methodologie-dosint-orientee-reseaux-sociaux/
https://en.wikipedia.org/wiki/List_of_intelligence_gathering_disciplines
https://developer.ibm.com/articles/threat-modeling-microservices-openshift-4/

https://www.adbs.fr/sites/default/files/documents/conference_adbs_-serge_courrier_-_osint_en_pratique_2021_0.pdf

https://osintfr.com/fr

https://fr.wikipedia.org/wiki/Renseignement_d%27origine_sources_ouvertes

https://www.latribune.fr/opinions/tribunes/invasion-russe-en-ukraine-l-heure-de-gloire-de-l-open-source-intelligence-926981.html