Julien Métayer est consultant en cybersécurité offensive. Il fait du pentesting, des tests d’intrusion et anime la communauté OSINT qui travaille sur le sujet de l’Open Source Intelligence.
Qu’est ce que l’Open Source Intelligence (OSINT) ?
L’OSINT est une méthodologie qui permet à toutes personnes voulant prendre une décision de trouver les ressources de manière légale sur différentes sources d’information et pouvoir l’utiliser.
Le principe de l’open source est assez simple. En fait, cela correspond à toutes sources ouvertes accessibles au public et dont les données ont été acquises légalement.
Quels sont les différents types d’applications dans l’OSINT ?
Nous pouvons identifier différents types de disciplines dans l’OSINT :
- Traitement des images (analyse des photos, des images satellites)
- Information du SOCMINT (informations des réseaux sociaux pour faire des enquêtes)
- SIGINT et MASSANT (l’analyse des signaux, des informations provenant de différents appareils électroniques)
- RECON (informations techniques sur le web: noms de domaine, DNS…)
L’OSINT est une compétence qui va compléter un métier existant. En entreprise, nous allons utiliser pour de nombreuses raisons:
- la veille stratégique
- le recrutement
- l’analyse de risques (M&A, investissement)…
Mais cette compétence est utilisée dans de nombreux autres cadres comme par exemple:
- la lutte contre la fraude
- la recherche pour éviter la contrefaçon
- le journalisme
Comment l’OSINT est encadré en entreprise ?
Lorsque nous enquêtons sur une personne lors d’un recrutement, nous avons le droit de se renseigner sur les réseaux sociaux professionnels uniquement. Ainsi, la pratique sur les réseaux sociaux personnels n’est pas légale.
Ces réglementations sont imposées par l’État français mais il persiste de nombreux gris juridiques qui permettent à de nombreux individus de surfer sur la légalité.
Dans ce sens, il est important d’être vigilant sur ce que nous pouvons poster sur les réseaux sociaux car avec une photographie nous pouvons apprendre de nombreuses informations.
Comment avec quelques photos il est possible d’en apprendre beaucoup sur une personne ?
Sur une photographie nous pouvons obtenir de nombreuses informations clés qui peuvent permettre de dégager des conclusions importantes :
- nous avons accès aux métadonnées : localisation, date de prises de vue
- nous pouvons trouver des points de détails sur la photo : architecture particulière, saison (ex: en regardant les feuilles sur les arbres), moment de prise de photo (ex : avec les ombres)
- parfois sur les photos il peut y avoir des personnes. Il existe des outils de reconnaissance faciale qui vont permettre de trouver d’autres photos et en croisant les données finir par identifier la personne
- les osinters peuvent également trouver ce qu’ils appellent des “indiscrétions”, par exemple l’écran d’un appareil électronique qui se reflète sur des lunettes, un signe distinctif dans une photo…
Pourquoi est-il important de connaître ces techniques en entreprise et en quoi cela impacte la cybersécurité des grands groupes ?
Les données personnelles sur les individus dans l’entreprise sont dangereux pour une entreprise. On ne peut pas décorréler ces informations.
Tous les tests d’intrusion commencent par une méthode osint, pentester comme hacker.
