L'OSINT Investigator est un professionnel chargé de mener l'enquête sur une cyberattaque en analysant les données accessibles publiquement sur le web : l'Open Source Intelligence. Découvrez tout ce que vous devez savoir sur ce rôle essentiel de la cybersécurité.
Grâce à internet, des milliards d'êtres humains du monde entier peuvent communiquer et échanger des données numériques. Nous sommes entrés dans l'ère de l'information.
Or, ces immenses volumes de données disponibles publiquement constituent une précieuse source de renseignements. On désigne l'ensemble de ces informations par le terme d'OSINT : Open-Source InTelligence.
Ce concept fut introduit pour la première fois pendant la Seconde Guerre mondiale, alors que les agences de sécurité nationale des différents pays collectaient des renseignements sur leurs ennemis.
Avec l'explosion des communications internet et les volumes astronomiques de données produites chaque jour dans le monde, l'OSINT est devenu un élément crucial de la cybersécurité des entreprises de tous les secteurs.
Qu'est-ce que l'Open-Source Intelligence ?
Les initiales OSINT sont l'acronyme d'Open Source Intelligence. Il s'agit d'un concept clé de la cybersécurité moderne.
Les agences militaires américaines ont commencé à employer ce terme à la fin des années 1980, alors qu'elles réévaluaient les besoins en informations tactiques sur les champs de bataille.
En 1992, l'Intelligence Reorganization Act a déterminé les objectifs principaux de la collecte de renseignements. Cette loi impose d'agréger uniquement des renseignements objectifs et dénués de biais, et des données disponibles publiquement.
L'OSINT ou Open Source Intelligence englobe l'ensemble des informations collectées à partir de sources publiques comme celles disponibles sur internet ou ailleurs.
L'acronyme « OS » désigne « Open Source », mais n'est pas lié au célèbre mouvement open source de l'informatique. Ce terme fait ici référence à toute source d'informations publiquement accessible.
Il est donc question d'informations pouvant être obtenues librement, légalement et gratuitement. La source peut tout aussi bien être internet, un réseau social ou un journal papier à condition de répondre à ces trois critères.
L'OSINT peut être exploitée au quotidien par n'importe quel internaute. En guise d'exemple, on peut citer le fait de poser une question sur un moteur de recherche, de demander conseil sur un forum en ligne public ou de regarder une vidéo de tutoriel sur YouTube.
En exploitant les bonnes informations, une entreprise peut profiter d'un véritable avantage sur la concurrence. Les équipes de vente, de marketing ou de direction de produit utilisent l'OSINT pour accroître la conversion ou pour délivrer leurs services au public plus efficacement.
Toutefois, l'OSINT investigator est aussi un élément crucial de la cybersécurité. La combinaison entre l'esprit critique et les outils adéquats peut être très efficace pour mener l'enquête sur une entreprise, une personne, ou pour identifier de futures menaces.
Quel est le rôle d'un OSINT Investigator ?
Une investigation OSINT est une enquête consistant à trouver et à localiser des informations pertinentes parmi les montagnes de données disponibles publiquement.
Un OSINT Investigator est le professionnel chargé de mener cette enquête. Il peut s'agir d'un métier à part entière, mais les enquêtes OSINT peuvent aussi être menées par d'autres professionnels de la cybersécurité comme l'analyste SOC.
L'enquêteur collecte de nombreuses données sur les espaces web ouverts, tels que les réseaux sociaux ou les sites d'actualité. Après avoir collecté ces données, il utilise les techniques analytiques pour transformer les informations basiques en renseignements exploitables.
À quoi sert l'OSINT dans la cybersécurité ?
Les techniques OSINT sont utilisées dans une large variété d'industries par les enquêteurs et analystes. Ceci concerne les autorités, les journalistes d'investigations, mais aussi les professionnels de la cybersécurité.
Dans ce domaine, l'Open-Source Intelligence permet aux hackers éthiques et autres experts d'identifier les vulnérabilités potentielles d'un réseau, les vulnérabilités et les menaces externes.
Une investigation OSINT permet par exemple de découvrir un logiciel non patché ou des vulnérabilités dans un objet connecté. Les données OSINT agrégées aident à la réponse aux incidents, à réparer les dommages causés par une cyberattaque, ou à collecter des renseignements sur une menace.
En outre, ces données peuvent aider à mener des tests d'intrusion, du footprinting réseau et tout autre type d'investigations de cybersécurité. Il s'agit donc d'un atout indispensable.
Les OSINT Investigators peuvent aussi collecter des données sur un cybercriminel à partir des réseaux sociaux, afin d'identifier ses complices potentiels et cartographier son réseau. En effet, de nombreuses informations sont créées et partagées sur les réseaux sociaux qui sont devenus l'une des principales sources de renseignements open source.
Les cas d'usage de l'OSINT sont aussi innombrables. Ces informations open source peuvent aussi être utilisées dans le cadre de la lutte contre la fraude, le phishing, le blanchiment de cryptomonnaie ou encore des investigations sur le Dark Web.
Quels sont les outils et techniques utilisées en OSINT ?
Il existe de nombreuses techniques d'investigation OSINT, et une large variété d'outils. Afin de sélectionner l'arsenal adéquat pour une enquête, il convient de se poser les bonnes questions : Quel est le but de l'investigation ? Quelles sont les cibles ?
Les techniques utilisées par les agences gouvernementales et militaires peuvent aussi être appliquées en entreprise. L'important est d'identifier les sources pertinentes pour mener l'enquête à bien.
Parmi les méthodes OSINT les plus utilisées dans le domaine de la cybersécurité, on peut citer la collecte des informations personnelles sur les employés et la liste des logiciels qu'ils utilisent.
Les moteurs de recherche comme Bing et Google peuvent être explorés et surveillés dans le cadre d'une enquête OSINT. Les OSINT Investigators peuvent utiliser les fonctions de recherche avancées Bing Dorks ou Google Dorks pour filtrer les résultats de recherche par type de fichiers, adresses IP, sites web ou autres critères précis.
Les moteurs de recherche moins populaires comme Yandex, DuckDuckGo ou Baidu sont aussi utilisés par les OSINT Investigators pour étendre la liste des résultats. Il existe aussi des moteurs de recherche conçus pour des domaines spécifiques comme AnswerThePublic pour les métarecherches, GitHub ou Public WWW pour la recherche de code, ou encore les moteurs de recherche d'actualité ou de publications scientifiques.
Les réseaux sociaux utilisés par la cible de l'enquête peuvent aussi être identifiés, afin d'accéder au contenu publié sur ces plateformes. On peut aussi y récupérer d'autres données personnelles comme les numéros de téléphone ou adresses email.
Parmi les autres sources d'open source intelligence, on peut citer les blogs personnels et les forums en ligne. les plateformes de partage de photos comme Flickr, ou encore les applications de géolocalisation comme Google Maps.
Après avoir collecté les données, il est nécessaire d'utiliser les techniques d'analyse pour en tirer de précieuses informations et produire un rapport compréhensible et intuitif par toute l'organisation.
Collecter, explorer, consolider les informations OSINT manuellement requiert beaucoup de temps et d'énergie. Heureusement, il existe des outils et frameworks permettant d'automatiser ou de simplifier les processus de collecte et d'analyse de ces données.
Qu'est-ce que le framework OSINT ?
Le Framework OSINT est le plus grand répertoire d'outils dédiés à la collecte d'informations et aux investigations OSINT. Il permet de trier les ressources en 32 catégories en fonction du type de données recherchées par les enquêteurs.
Parmi ces catégories, on peut citer les enregistrements publics, les réseaux sociaux, les images, les vidéos, la cryptomonnaie, le Dark Web ou encore les archives. Pour chacune de ces catégories, des outils payants ou gratuits sont disponibles pour localiser les données recherchées.
Collecte OSINT active ou passive : quelle est la différence ?
On distingue deux types d'approches pour la collecte d'informations OSINT : la collecte active, et la collecte passive. La différence entre les deux réside dans le contact avec la cible.
Dans le cas d'une collecte OSINT active, on contacte la cible dans le but de collecter des données en temps réel ou tout du moins des données plus exactes. Un exemple d'OSINT offensive est le scan d'un site web lié à la cible.
Toutefois, cette stratégie expose les enquêteurs à un risque de détection. Si la cible entre en alerte et s'aperçoit que quelqu'un tente de réunir des informations à son sujet, elle risque de couper immédiatement tout accès externe aux données ou tenter de remonter jusqu'aux enquêteurs pour contre-attaquer.
La collecte OSINT passive est nettement moins risquée. Elle consiste à agréger des données historiques ou des données hébergées par des sources tierces. Même si les données collectées ainsi ne seront pas forcément à jour, l'avantage est que les enquêteurs restent à distance de la cible et risquent donc moins la détection.
En outre, les données historiques sont aussi très utiles quand les données en temps réel ne sont plus disponibles. C'est par exemple le cas si des acteurs malveillants suppriment le site web.
En revanche, la collecte passive peut générer de faux positifs. Un exemple de collecte OSINT passive est l'exploration de l'historique des enregistrements DNS.
Avantages et risques pour les OSINT Investigators
Les informations publiquement disponibles peuvent être d'un précieux secours pour la cybersécurité. Si aucune barrière ne l'empêche d'accéder aux sources, l'investigateur peut rapidement trouver les données nécessaires pour mener à bien son enquête.
Il ne lui reste plus qu'à transformer les données en renseignements utiles, à créer des rapports OSINT et à partager ses découvertes avec les décideurs et les cadres de l'entreprise.
Toutefois, en dépit de ces bienfaits, les investigations OSINT représentent aussi des risques. Tout d'abord, les cybercriminels ou les sites web tiers peuvent surveiller l'activité en ligne des utilisateurs.
Par exemple, les liens URL Twitter comportent souvent des éléments indiquant comment l'utilisateur est arrivé sur le site web. Cliquer sur un tel lien laisse une empreinte numérique, et révèle notamment quels comptes ont partagé ce lien.
Si un cybercriminel découvre qu'il fait l'objet d'une enquête, il peut décider de se venger en piratant l'organisation ou de laisser de fausses informations pour induire l'investigateur en erreur. Il peut aussi couper tout accès à ses données ou supprimer ses profils sur les réseaux sociaux et autres plateformes.
Afin d'éviter ces aléas, il est important de suivre une formation adéquate pour découvrir les techniques et outils permettant de dissimuler une investigation OSINT. Ceci permet de profiter uniquement des avantages de l'Open Source Intelligence sans s'exposer aux risques de représailles.
Comment suivre une formation OSINT Investigator
L'investigation OSINT apporte de nombreux avantages, mais présente aussi des risques. Afin de maîtriser tous les outils et techniques permettant de mener l'enquête, vous pouvez suivre une formation d'OSINT Investigator.
Cyber University propose une formation à distance d'analyste SOC 2, permettant d'acquérir une expertise en analyse de données de cybersécurité. Cette formation est dispensée par des professionnels, tournée vers la pratique, et permet d'obtenir les certifications industrielles FOR508 et EC-Council CHFI.
En fonction de vos disponibilités, vous pouvez compléter ce cursus en 2,5 mois en mode BootCamp ou 7 mois en Formation Continue. À la fin du parcours, vous serez fin prêt à exercer le rôle d'OSINT Investigator en entreprise. N'attendez plus et découvrez la formation Cyber University éligible au CPF !