OSINT & ingénierie sociale : Qu'est-ce que c'est ?

yoann-dufour-enseignement-cybersecurité-pstb

L'OSINT pour Open Source Intelligence, en français renseignements sur sources ouvertes (ROSO) désigne les différentes techniques qui consistent à trouver des informations en fouillant les données non protégées. Les techniques d'OSINT sont utilisées par les agences de renseignements, mais également par les entreprises, les agences de cybersécurité et bien sûr les cybercriminels.

Yoann Dufour, Responsable des Mastères Cybersécurité de PST&B revient sur cet aspect moins présent dans l'imaginaire collectif de la cybercriminalité :

Les données non protégées comme source d'information
et leur utilisateur comme moyen de créer une brèche dans un système sécurisé.

Qu'est-ce que l'OSINT ?

L'Open Source Intelligence est le fait de collecter et d'analyser des données ou de l'information non protégée/publique. C'est en quelque sorte une enquête sur outils numériques qui permet de rassembler, de croiser et de traduire selon ses besoins des renseignements sur une personne, une organisation, un événement ou encore une tendance.

L'OSINT concerne tout le monde puisque n'importe qui peut décider de « stalker » n'importe qui, mais dans le domaine professionnel, c'est la spécialité des personnes et organisations qui ont pour mission d'enquêter : les entreprises et personnes spécialistes en protection et cybersécurité, mais également en marketing et business intelligence, les agences gouvernementales, les journalistes et bien sûr, la recherche.

L'OSINT s'"appuie sur des informations accessibles au public et n'implique pas de piratage, d'activités illégales ou d'utilisation de données classifiées ou confidentielles. Il s'agit d'un moyen légal et éthique de recueillir des renseignements à partir de la grande quantité d'informations disponibles sur l'Internet et d'autres sources publiques, par exemple :

Tous les sites web accessibles au public (articles d'actualité, plateformes de médias sociaux, forums, blogs, etc.).
Les publications officielles et gouvernementales (rapports et bilans, communiqués de presse, archives publiques).
Les bases de données commerciales (annuaires professionnels, rapports financiers, études de marché, etc.).
La recherche universitaire (articles et études publiées).

Les data géo-spatiales (Cartes, images satellites et données des systèmes d'information géographique (SIG)).
Le renseignement humain (informations recueillies par le biais d'interactions personnelles, d'entretiens et de conversations).
Les émissions des médias (émissions télévisées et radiophoniques, ainsi que des podcasts et webcasts).
Les bases de données de brevets (informations sur les technologies et inventions brevetées).
La surveillance du "Dark Web" : communautés et marchés en ligne, clandestins ou illicites.

L'OSINT, la manière la plus facile et efficace de produire les bons renseignements

Grâce à Internet, on trouve toutes sortes d'information sur tous les sujets et les personnes. C'est assez facile de vérifier le parcours de quelqu'un ou de suivre l'orientation stratégique d'une entreprise concurrente.

On peut trouver sur le net grand public ou sur le Darknet toutes les informations qui ne sont pas protégées.

Yoann Dufour

Ces recherches peuvent répondre à plusieurs objectifs, entre autres :

Anticiper, c'est ce que l'on appelle l'intelligence cyber et qui relève à la fois de l'aspect Tech et de l'Aspect Business.
Faire un diagnostic du marché en comprenant quelles sont les forces en présence,
Avoir une vision élargie des possibilités d'attaques.

Comment les cybercriminels utilisent l’OSINT et les neurosciences ?

L'aspect technique et informatique n'est en fait qu'une étape dans une cyberattaque. Ce qui rend l'intrusion possible, c'est la porte d'entrée laissée ouverte ou rendue facile à ouvrir par un humain. Aujourd'hui, on peut dire que 90% des attaques sont liées à un facteur humain.

Le cybercriminel va se renseigner sur les habitudes, les intérêts, la vie personnelle de sa cible afin de l'atteindre. Les neurosciences sont un bon outil : elles permettent de comprendre ce qui va déclencher la faute, ou l'acte qui permettra au hacker de s'infiltrer dans le système.

Le cybercriminel se basera sur les informations dont il dispose pour amener sa victime à cliquer quelque part ou à télécharger un fichier dont elle pense qu'il est tout à fait "normal" et safe : cela passera par un faux mail personnel, ou un faux document ou fichier émanant d'un service habituel comme la cantine des enfants, de la banque, un service administratif, etc.

Les cybercriminels travaillent beaucoup sur les biais et les neurosciences pour inciter à cliquer, ils capitalisent sur :

Les phases d'inattention,
L'ingénierie sociale pour le fishing et le harpooning,
Les téléchargements (d'un PDF par exemple) contenant des malwares,
Les calendriers et jours de présence : les attaques ont souvent lieu le vendredi pour que le chiffrement des données puisse avoir lieu pendant le week-end.

Comprendre le facteur humain est indispensable pour tout spécialiste cybersécurité

Pour Yoann Dufour, le constat est clair : si les professionnels actuels et futurs de la Cybersécurité veulent être efficaces, l'étude des aspects psychologiques, de la pratique de l'OSINT et bien entendu la prévention sont essentielles.

Les données publiques qui semblent anodines ne le sont pas en réalité : de manière basique, si vous postez partout sur les réseaux sociaux que vous êtes sur une plage à l'autre bout du monde, c'est que la voie est libre pour un éventuel cambriolage.
Ainsi comprendre et prévoir les risques en s'attachant à observer l'humain permet d'éviter une majorité d'attaques, et cette tâche ne demande pas les mêmes compétences que l'informatique.
Pour éviter les erreurs humaines, mais aussi la malveillance en interne, le travail sur les équipes est une étape décisive. Il ne peut être effectué par des spécialistes détenant la double vision : technique côté informatique et organisationnelle côté humaine. Ces experts font partie de ce qu'on répertorie comme la Blue Team, l'équipe sécurisation.

La cybersécurité, c'est avant tout de la mise en place de procédures, de règles, d'outils et de services. Il faut savoir trouver le juste équilibre entre sécurité et usage pour ne pas perdre les collaborateurs.

Ce sont ces profils que forment PST&B, l'école hybride Informatique & Business.