Découvrir l'OSINT

C'est quoi l'OSINT ?

Faire de l’OSINT, c’est avant tout mener des recherches sur internet. Lorsque je tape le nom d’une personne sur Google pour en savoir davantage à son sujet, je me lance déjà dans un embryon d’OSINT.

Ce qui transforme cette recherche simple en OSINT, c’est l’adjonction de plusieurs caractéristiques. Faire de l’OSINT c’est :

Chercher et trouver le maximum d’information possible à partir d’une ou plusieurs données déjà connues. Je pars d’un nom, d’un pseudonyme, d’une adresse mail, d’une photographie… et je collecte toutes les informations afférentes disponibles en ligne.
Produire un résultat de recherche exploitable par autrui. La plupart du temps, l’objectif est de communiquer les informations collectées sous une forme prédéfinie : rapport d’enquête, article de presse, data-visualisation, jeu de données exploitable informatiquement… L’enquêteur ne se contente pas de trouver des informations, il les organise pour les transmettre.
Agir avec méthode. Plus une recherche est méthodique, plus elle a de chances de produire tous les résultats espérés.
Utiliser des outils. Il existe pléthore d’outils sur internet, gratuits ou payants, qui peuvent servir à une recherche OSINT. Un enquêteur connaît par cœur les outils qu’il utilise le plus souvent, et sait trouver de nouveaux outils pour ses besoins ponctuels.
Découvrir une (des) communauté(s). On trouve très facilement sur internet des salons discords, des forums, des comptes Twitter, des blogs, des sites de challenges… La communauté est très vaste, elle s’entraide et permet d’apprendre beaucoup.

L’expérience et une forme de plaisir d’enquêter sont ce qui distinguent le bon enquêteur de l’enquêteur médiocre.

Un peu de méthode...

« On ne sait si une information existe sur internet que lorsque l’on a trouvé cette information. Tant que l’on n’a pas trouvé l’information, c’est soit qu’elle n’existe pas sur internet, soit que l’on n’a pas suffisamment cherché ».

Une bonne recherche OSINT repose sur quatre piliers principaux : la méthode, le temps, les outils et l’expérience. Il n’existe pas UNE méthode à suivre absolument, chaque enquêteur développe sa propre méthode. L’organisation présentée ci-après est un modèle parmi d’autres, que chacun pourra adapter.

La méthode (1) - J’organise ma session de travail

a) j’ai ouvert une fenêtre de navigateur dédiée, en navigation privée, dans laquelle je ne vais rien ouvrir qui ne concerne pas ma recherche. Pour aller plus loin, il est possible de disposer d’un ordinateur dédié, ou à minima d’une machine virtuelle.

b) j’ai créé un dossier dans lequel je vais ranger tout ce qui concerne la recherche.

c) j’ai ouvert mon document type de recherche.

La méthode (2) - Je prépare le document de recherche

Chaque recherche peut s’accompagner d’un document de recherche dans lequel on documente chaque étape suivie et on entre toutes les informations découvertes. Plus ce document est ordonné en amont, plus il est efficace dans le traitement de l’information et dans le suivi des étapes, puisqu’il sert aussi de “todolist”, étape par étape. La constitution du document de recherche est guidée par les principes suivants :

Centralisation. On centralise tout dans un seul document, il n’y a plus ensuite qu’à s’y référer tout au long de la recherche. Je peux par exemple tomber sur un nom qui me dit quelque chose, je regarde dans le document et je constate que ce nom apparaissait déjà sur une autre page, liée de loin à la personne sur laquelle j’effectue une recherche. Ce nom étant apparu deux fois, dans un contexte qui m’intéresse, il devient une nouvelle piste à creuser. Je l’entre dans la liste des pistes.
Personnalisation. Chacun est libre de créer un document à son image, en fonction de sa propre façon de raisonner et d’organiser sa pensée. Rien n’oblige d’utiliser une feuille de calcul Excel si l’on préfère une page Word, rien n’oblige de respecter les colonnes proposées dans un modèle donné.
Lisibilité. Lorsqu’il code un programme, un développeur doit faire en sorte de le rendre le plus clair et le plus lisible possible pour pouvoir le reprendre plus tard ou le confier à quelqu’un d’autre. Il en va de même pour un tel document, il faut toujours garder en tête qu’il sera peut-être nécessaire de le reconsulter plusieurs semaines ou mois après et le document doit être parfaitement clair à ce moment-là. Pas de mots clés obscurs ou de copier-coller hors contexte.

La méthode (3) - Je documente tout ce que je fais

a) je note chaque information trouvée, associée au lien de la page sur laquelle je l’ai trouvée et à la référence de la capture d’écran correspondante.

b) je mets en surbrillance les informations sur lesquelles je dois mener une recherche complémentaire, et je les reporte dans l’onglet des “pivots”.

c) je note chaque démarche que j’ai déjà menée dans l’onglet correspondant, en précisant où je me suis arrêté (page 5 de Google sur telle requête, j’ai regardé toutes les pages de tel site internet, j’ai utilisé tel outil sur tel compte social, etc).

La méthode (4) - Je m’appuie sur des pivots

La recherche OSINT est une succession de pistes à creuser, jusqu’à ce que l’on arrive à la fin de toutes les pistes.

Je pars d’un nom, mes recherches me mènent à un pseudonyme, au nom d’une entreprise et à une adresse mail. Je mène ensuite des recherches complètes sur ces trois nouvelles pistes qui peuvent m’apporter de nouvelles informations, qui sont autant de nouvelles pistes à creuser (les pivots).

La méthode (5) - J’archive

Les contenus violents des plateformes mais aussi certains comptes ou pages utilisés dans le cadre de campagne de désinformation disparaissent rapidement des réseaux sociaux. Ils sont soit censurés par la plateforme, soit ils sont démontés par les commanditaires de la campagne. Ce ne sera pas le cas dans le cadre du jeu.

Il est important d’archiver les liens des images/vidéos, posts/tweets ou les adresses des comptes et pages :

sur des sites d’archives comme la Wayback machine ou archive.ph
manuellement en téléchargeant les vidéos et en faisant des captures d’écran.

La méthode (6) - Je ne laisse rien traîner après la session de recherche

Une bonne hygiène numérique est un prérequis indispensable pour faire un bon enquêteur. Tout ce qui a trait à la session de recherche doit être rangé dans un dossier spécifique, rien ne doit dépasser.

Idéalement, le dossier est stocké dans un conteneur ou une partition chiffré(e).

Aucun document ne doit rester sur le bureau ; les dossiers corbeille et de téléchargement doivent être vidés, de même que les historiques de navigation.

... Et quelques outils

Il existe de très nombreux outils (c'est-à-dire des sites internet ou des logiciels qui permettent de réaliser certaines tâches) qui peuvent être utilisés dans le cadre d’une recherche d’information sur internet. Ces outils sont développés par des passionnés, des spécialistes ou des entreprises et peuvent être gratuits ou payants. Certains nécessitent de créer des comptes pour les utiliser, d’autres d’installer des logiciels (généralement sous la forme d’extensions pour les navigateurs comme Chrome ou Firefox), d’autres encore sont utilisables simplement et anonymement, sans installation.

Les outils sont une aide précieuse, mais ne doivent pas remplacer l’esprit critique de l’enquêteur. C’est idéalement à ce dernier de réfléchir aux pistes qu’il veut suivre, puis de choisir l’outil qui lui permet de le faire. Fonctionner dans l’autre sens (regarder la liste des outils disponibles pour déterminer quelle piste suivre) est déconseillé en ce que cela coupe la créativité de l’enquêteur qui risque ainsi de passer à côté de raisonnements logiques qui lui auraient permis de découvrir une information importante sans passer par un outil. Dans la pratique, les enquêteurs “débutants” ont tendance à trop partir des outils, puis ils s’en détachent progressivement au fur et à mesure qu’ils gagnent de l’expérience.

Des outils disparaissent et apparaissent tous les jours. Certains sont connus et existent depuis longtemps.

Faire de l’OSINT, c’est connaître des outils que l’on utilise régulièrement et savoir comment trouver les outils dont on aura besoin pour des besoins spécifiques. Il existe sur internet de très nombreuses listes d’outils dans lesquelles piocher.

Dans le cadre de ce CTF, nous mettons à votre disposition une liste d'outils : https://start.me/p/ogrRDY/startpage

Il existe de très nombreuses autres listes, plus ou moins maintenues à jour, que l'on peut trouver sur internet :

Prendre le temps

Enquêter prend du temps. On ne peut néanmoins pas toujours décider du temps dont on dispose, et certaines enquêtes sont nécessairement faites dans le cadre d’une situation urgente (débunker une fausse information qui circule soudainement sur les réseaux sociaux, suivre une crise en cours…).

C’est à l’enquêteur de décider le temps qu’il passe sur un sujet, en fonction du besoin. Sur un sujet non-urgent, il est généralement recommandé de ne pas hésiter à faire des pauses dans les recherches en cours pour les reprendre quelques jours plus tard, à tête reposée avec peut-être des idées neuves.

Le temps à consacrer à une enquête est un temps de pleine disponibilité, qui nécessite de la concentration. Lors du lancement d’une session de recherche, il peut être utile de couper préventivement les sources de distraction : stopper les notifications des applications de messagerie, demander à ne pas être dérangé par les collègues, s’isoler lorsque cela est possible.

S'entraîner

L’expérience ne s’apprend pas, elle se développe avec le temps et les efforts. La pratique régulière de l’OSINT est la seule manière d'acquérir de l’expérience, et c’est cette expérience qui fera la différence.

Un bon moyen d'acquérir de l’expérience est de se frotter aux très nombreux challenges qui existent sur internet : sites de challenges, Capture the Flag ponctuels, efforts communautaires, comptes X de petits challenges, etc…

Ci après une liste (non exhaustive) de ressources utiles ou pour pratiquer la discipline :