Open Source Intelligence (OSINT)
Introduction
Exploiter l’OSINT, ou open source intelligence (renseignements de source ouverte en français),peut être un atout majeur dans le renforcement de votre cybersécurité. L’ information de source ouverte est une information ayant été délibérément rendue publique. Dans le monde de l’Internet,ces données sont nombreuses. Comment ce type de renseignement peut être utile pour anticiper et limiter les cyber risques ? Comment exploiter l’OSINT en cybersécurité ? Cet article répond à toutes vos questions.
I) Définition
L'OSINT est la pratique consistant à collecter des informations accessibles au public, de source ouverte, sur Internet, les médias sociaux, les forums, les ouvrages publiés, les archives ouvertes, votre mairie locale, les livres, les vidéos, les films, les images, les journaux, les rapports, etc. Bien que le Deep Web ne soit pas facilement accessible, une bonne partie de celui-ci peut être consultée par toute personne disposant des outils adéquats, il peut donc également être inclus dans le champ d'une recherche OSINT.
II) Qui utilise OSINT ?
Les enquêtes OSINT peuvent être menées par des gouvernements, des agences du secteur privé, la police et d'autres entités chargées de l'application de la loi, des journalistes, des enquêteurs privés, des spécialistes et des chercheurs en cybersécurité, mais aussi des acteurs malveillants tels que des menaces persistantes avancées (APT) sanctionnées par l'État ou des casquettes noires. Et, bien sûr, l'utilisateur moyen ou débutant. Par exemple, avez-vous déjà fait des recherches sur vous-même ? Cherché une personne que vous connaissez en ligne ? Cherché quelqu'un ou quelque chose sur lequel vous vouliez en savoir plus ? Avez-vous trouvé quelque chose ? Je parie que oui.
Félicitations ! Vous avez déjà mené une enquête OSINT de base.
III) Qu'est-ce qu'une APT ?
Une menace persistante avancée (APT) est une cyberattaque ciblée et prolongée au cours de laquelle une personne non autorisée accède au réseau et passe inaperçue pendant une période importante. L'objectif d'une attaque APT est généralement de surveiller l'activité du réseau et de voler des données plutôt que d'endommager le réseau ou l'organisation.
a) Comment une APT attaque-t-elle ?
Les pirates qui commettent des attaques APT prennent les mesures importantes suivantes pour obtenir un accès permanent au réseau cible:
Accès au réseau : pour atteindre la cible, les systèmes cibles APT sont regroupés sur Internet, soit en envoyant un message de phishing ciblé, soit en utilisant une faille de sécurité qui leur permet d'introduire des logiciels malveillants.
Établir un point d'ancrage : une fois que l'accès à la cible est établi, les pirates peuvent approfondir leur enquête et commencer à utiliser les logiciels malveillants qu'ils ont installés pour créer des réseaux de portes dérobées et des tunnels qui leur permettent de passer inaperçus. Ils peuvent compter sur des techniques malveillantes avancées telles que la réécriture de code pour couvrir leurs traces.
Propagez l'attaque : après avoir pénétré dans le réseau cible, les acteurs de l'APT peuvent, entre autres, pirater le mot de passe des privilèges administratifs, ce qui leur permet de mieux contrôler le système et d'accéder à d'autres niveaux.
Se déplacer dans le système : après avoir violé les systèmes cibles et obtenu des privilèges administratifs, ils peuvent se déplacer dans le réseau d'entreprise comme ils le souhaitent. En outre, ils peuvent tenter d'accéder à d'autres serveurs ou à d'autres zones protégées du réseau.
Déployer l'attaque : à ce stade, les pirates centralisent, cryptent et compriment les données pour les filtrer.
Filtrage des données : les pirates informatiques collectent les données et les transmettent à leur propre système.
L'accès n'est pas détecté : les cybercriminels peuvent répéter ce processus pendant longtemps tout en restant invisibles, ou ils peuvent créer une porte dérobée pour accéder au système s'ils le souhaitent.
Contrairement à la plupart des cyberattaques courantes, les campagnes d'APT utilisent des méthodes ciblées plutôt que des outils plus généraux conçus pour maximiser le nombre de victimes. Les campagnes d'APT ont tendance à durer plus longtemps que les attaques ordinaires car elles sont plus claires et donc plus faciles à arrêter.
b) Caractéristiques des menaces persistantes modernes
Les attaques APT ont souvent des caractéristiques communes qui symbolisent le haut niveau de planification et de coordination requis pour perturber des cibles coûteuses. Par exemple, la plupart des attaques APT sont menées en différentes phases : accès au réseau, création et extension de l'accès, puis tout effort pour rester aussi discret que possible jusqu'à ce que la cible soit atteinte.
c) Détection de l'APT
Il existe certains signes d'alerte bien que difficiles à détecter qui peuvent être des symptômes de l'APT. Une fois qu'un réseau est ciblé, une organisation peut remarquer plusieurs symptômes :
une activité inhabituelle sur les comptes d'utilisateurs ;
utilisation involontaire d'un cheval de Troie détourné, une méthode utilisée par les APT pour faciliter l'accès au réseau ;
activité variable ou étrange sur les bases de données, comme une augmentation soudaine des transactions impliquant de grandes quantités de données ;
présence de fichiers de données inhabituels, suggérant que les données ont été fusionnées dans des fichiers pour faciliter l'exfiltration de celles-ci.• la détection d'anomalies dans les données de sortie est probablement le meilleur outil dont disposent les professionnels de la cybersécurité pour déterminer si le réseau a fait l'objet d'une attaque d'APT.
IV) Qu'est-ce que les données open source ?
Les données de source ouverte sont toutes les informations qui sont facilement accessibles au public ou qui peuvent être mises à disposition sur demande. Les sources OSINT peuvent inclure :
Articles de journaux et de magazines, ainsi que rapports des médias
Articles académiques et recherches publiées
Livres et autres documents de références
Activité des médias sociaux
Données de recensement
Annuaires téléphoniques
Dossiers des tribunaux
Dossiers d'arrestation
Données commerciales publiques
Enquêtes publiques
Données sur le contexte géographique
Informations sur la divulgation de violations ou de compromissions
Indicateurs de cyberattaques partagés publiquement, tels que les adresses IP, les hachages de domaines ou de fichiers.
Données d'enregistrement de certificats ou de domaines
Données sur la vulnérabilité des applications ou des systèmes
Si la plupart des données open source sont accessibles via l'internet ouvert et peuvent être indexées à l'aide d'un moteur de recherche comme Google, elles peuvent également être accessibles via des forums plus fermés qui ne sont pas indexés par les moteurs de recherche. Bien que la plupart des contenus du web profond soient inaccessibles au grand public parce qu'ils se trouvent derrière un mur payant ou nécessitent une connexion pour y accéder, ils sont toujours considérés comme faisant partie du domaine public.
Il est également important de noter qu'il existe souvent une quantité énorme de données secondaires qui peuvent être exploitées à partir de chaque source d'information ouverte. Par exemple, les comptes de médias sociaux peuvent être exploités pour obtenir des informations personnelles, telles que le nom de l'utilisateur, sa date de naissance, les membres de sa famille et son lieu de résidence.
Cependant, les métadonnées de fichiers provenant de messages spécifiques peuvent également révéler des informations supplémentaires, telles que le lieu où le message a été publié, l'appareil utilisé pour créer le fichier et l'auteur du fichier.
V) Comment les données open source sont-elles utilisées ?
Dans le contexte de l'OSINT, le renseignement fait référence à l'extraction et à l'analyse de données publiques afin d'obtenir des informations, qui sont ensuite utilisées pour améliorer la prise de décision et informer l'activité. Traditionnellement, l'OSINT était une technique utilisée par les communautés de sécurité nationale et d'application de la loi. Cependant, ces dernières années, elle est également devenue une capacité fondamentale de la cybersécurité.a) OSINT et cybersécurité
Dans le domaine de la cybersécurité, les chercheurs et les analystes du renseignement exploitent les données de sources ouvertes pour mieux comprendre le paysage des menaces et aider à défendre les organisations et les individus contre les risques connus dans leur environnement informatique.
b) Cas d'utilisation de l'OSINT dans la cybersécurité
(1) Mesurer le risque pour votre propre organisation
Le test de pénétration (également appelé "pen testing", validation de la sécurité, évaluation de la surface des menaces ou piratage éthique) consiste à simuler une cyberattaque réelle afin de tester les capacités de cybersécurité d'une organisation et d'exposer ses vulnérabilités. L'objectif des tests de pénétration est d'identifier les faiblesses et les vulnérabilités de l'environnement informatique et d'y remédier avant qu'elles ne soient découvertes et exploitées par un acteur menaçant. Il existe de nombreux types de tests de pénétration, mais les deux plus courants dans le contexte de l'OSINT sont les suivants :
Test d'intrusion externe : évalue vos systèmes tournés vers l'Internet pour déterminer s'il existe des vulnérabilités exploitables qui exposent des données ou un accès non autorisé au monde extérieur. Le test comprend l'identification du système, l'énumération, la découverte des vulnérabilités et l'exploitation.
Évaluation de la surface de la menace : également connue sous le nom d'analyse de la surface d'attaque, elle consiste à déterminer les parties d'un système qui doivent être examinées et testées pour détecter les vulnérabilités de sécurité. L'objectif de l'analyse de la surface d'attaque est de comprendre les zones à risque d'une application, de sensibiliser les développeurs et les spécialistes de la sécurité aux parties de l'application susceptibles d'être attaquées, de trouver des moyens de minimiser ces risques et de remarquer quand et comment la surface d'attaque change et ce que cela signifie du point de vue du risque.
Test d'intrusion d'application Web : évalue votre application Web à l'aide d'un processus en trois phases : la reconnaissance, au cours de laquelle l'équipe de sécurité découvre des informations telles que le système d'exploitation, les services et les ressources utilisés ; la découverte, au cours de laquelle les analystes de sécurité tentent d'identifier les vulnérabilités, telles que les informations d'identification faibles, les ports ouverts ou les logiciels non corrigés ; et l'exploitation, au cours de laquelle l'équipe exploite les vulnérabilités découvertes pour obtenir un accès non autorisé aux données sensibles.
(2) Comprendre l'acteur, la tactique et la cible
Les données de sources ouvertes sont l'un des nombreux types de données exploitées par les équipes de cybersécurité dans le cadre d'une capacité globale de renseignement sur les menaces afin de comprendre l'acteur à l'origine de l'attaque.
VI) Techniques OSINT
Le plus grand défi associé à l'OSINT est peut-être la gestion de la quantité stupéfiante de données publiques, qui augmente chaque jour. Parce que les humains ne peuvent pas gérer une telle quantité d'informations, les organisations doivent automatiser la collecte et l'analyse des données et utiliser des outils de cartographie pour aider à visualiser et à relier plus clairement les points de données.Grâce à l'apprentissage automatique et à l'intelligence artificielle, un outil OSINT peut aider les praticiens de l'OSINT à recueillir et à stocker de grandes quantités de données. Ces outils peuvent également trouver des liens et des modèles significatifs entre différents éléments d'information.
En outre, les organisations doivent élaborer une stratégie sous-jacente claire pour définir les sources de données qu'elles souhaitent recueillir. Cela permettra d'éviter de submerger le système avec des informations de valeur limitée ou de fiabilité douteuse. À cette fin, les organisations doivent définir clairement leurs buts et objectifs en matière de renseignement de source ouverte.
a) Techniques de collecte OSINT
De manière générale, la collecte de renseignements de source ouverte se divise en deux catégories : la collecte passive et la collecte active.
Collecte passive : combine toutes les données disponibles en un seul endroit, facilement accessible. Grâce à l'apprentissage automatique (ML) et à l'intelligence artificielle (AI), les plateformes de renseignement sur les menaces peuvent aider à gérer et à hiérarchiser ces données, ainsi qu'à écarter certains points de données en fonction de règles définies par l'organisation.
Collecte active : utilise une variété de techniques d'investigation pour identifier des informations spécifiques. La collecte de données actives peut être utilisée de manière ad hoc pour compléter les profils de cybermenaces identifiés par les outils de données passives ou pour soutenir une enquête spécifique. Les outils de collecte OSINT les plus connus comprennent la recherche de domaines ou de certificats pour identifier le propriétaire de certains domaines. Le sandboxing public de logiciels malveillants pour analyser les applications est un autre exemple de collecte de données OSINT.
b) Cycle OSINT
Pour être un bon enquêteur OSINT, nous devons suivre un certain cadre pour notre enquête OSINT, nous pouvons l'appeler le cycle OSINT. Le diagramme ci-dessous donne une idée du cycle OSINT.

Étape 1 : Collecte des besoins
La collecte des besoins signifie que nous devons définir un champ d'application et réfléchir aux différentes techniques que nous pouvons utiliser. Cette étape comprend également une limite de temps, c'est-à-dire le temps que je peux accorder à un objectif particulier pour collecter les informations et le résultat attendu.
Étape 2 : Récupération des données
Maintenant que nous avons une cible claire, nous pouvons faire des recherches sur Internet.
Discutons de cette étape à l'aide d'un exemple ; supposons que notre cible se trouve en Russie, que pouvons-nous faire ? Notre méthodologie est différente ; nous pouvons utiliser "Yandex" comme moteur de recherche prioritaire et les cartes Yandex plutôt que les cartes Google. La morale de l'histoire est donc que nous devons utiliser les ressources pour maximiser nos résultats à venir.
Étape 3 : Analyse des informations
Jusqu'à cette étape, nous disposons de suffisamment de données sur notre cible, maintenant, nous devons affiner ces données en les évaluant et en les transformant en informations grâce à l'analyse. Nous pouvons affiner ces données en vérifiant leur exactitude, leur crédibilité, leur pertinence et leur objectif.
Étape 4 : pivotement vers une nouvelle perspective ou analyse de rapports
La personne qui n'a jamais fait d'OSINT professionnel doit rassembler les données et essayer de faire le lien entre elles. Yoga OSINT [https://yoga.osint.ninja ] est une excellente ressource pour marquer les points de pivotement. Pour réaliser un bon rapport OSINT, nous devons marquer certains points pivots et les analyser afin de déterminer si nous disposons de suffisamment d'informations pour poursuivre notre rapport. Ces points pivots peuvent être des adresses IP, des noms de domaine ou le dark web, et nous devons essayer encore et encore tout au long de l'évaluation jusqu'à ce que nous arrivions au point où nous manquons de temps ou d'argent.
VII) Problèmes liés au renseignement de source ouverte
L'OSINT est régulièrement utilisé par les communautés du renseignement, ainsi que par les équipes de sécurité nationale et les forces de l'ordre pour protéger les organisations et la société contre les menaces de toutes sortes. Cependant, comme nous l'avons vu plus haut, l'OSINT peut être utilisé tout aussi facilement à des fins malveillantes par des cybercriminels et d'autres acteurs de la menace. En outre, ces dernières années, l'OSINT a suscité un débat sur la façon dont les informations du domaine public peuvent être utilisées de manière sûre et responsable. Les questions les plus courantes sont les suivantes :
a) Légalité
L'accès, l'analyse et la distribution des informations publiques sont parfaitement légaux. N'oubliez pas qu'elles peuvent être utilisées par des attaquants pour soutenir ou faire progresser des activités illégales en diffusant des données trompeuses ou malveillantes dans certaines communautés. Les hacktivistes, en particulier, sont connus pour distribuer des données publiquement afin d'influencer l'opinion publique.
b) Éthique
Bien qu'une grande quantité d'informations soit disponible en ligne, les personnes et les entreprises doivent utiliser ces informations de manière éthique. Lorsqu'ils utilisent l'OSINT, les praticiens doivent s'assurer qu'ils le font à des fins légitimes et que les informations ne sont pas utilisées pour exploiter, harceler, ostraciser ou blesser d'autres personnes.
c) Vie privée
Une quantité choquante d'informations sur des personnes privées est disponible dans le domaine public. En rassemblant des informations provenant de profils de médias sociaux, d'activités en ligne, de dossiers publics et d'autres sources, il est possible d'établir un profil détaillé des habitudes, des intérêts et des comportements d'une personne. Si la plupart des données disponibles sur les consommateurs individuels ont été partagées par les consommateurs eux-mêmes, ils l'ont souvent fait sans comprendre pleinement les implications d'une telle activité. Le débat fait rage sur les informations que les marques et les entreprises devraient pouvoir recueillir et stocker lorsque les consommateurs utilisent leurs services, visitent leurs magasins ou interagissent en ligne - et sur la manière dont elles peuvent utiliser ces informations à l'avenir.
Conclusion
Pour toute personne impliquée dans la cybersécurité, comprendre comment collecter des renseignements de source ouverte est une compétence vitale. Qu'il s'agisse de défendre un réseau d'entreprise ou de le tester pour en déceler les faiblesses, plus vous en saurez sur son empreinte numérique, plus vous serez en mesure de le voir du point de vue d'un attaquant. Armé de ces connaissances, vous pouvez ensuite développer de meilleures stratégies défensives.
About us
Headquarter: 9 rue des colonnes 75002 Paris
Phone: +33134908672
Email: contact@bluepinksecurity.com