Degun

Renseignement en source ouverte - OSINT

Qu’est-ce que l’OSINT ?

La page Wikipedia sur le Renseignement d’origine sources ouvertes nous donne cette définition succincte :

Le renseignement d’origine sources ouvertes est le recueil et l’analyse d’information obtenue à partir de source d’information publique. Il est principalement utilisé dans le cadre d’activités liées à la sécurité nationale, l’application de la loi et l’intelligence économique dans le secteur privé.

Pour traduire, un osinter va utiliser toutes les données disponibles sur le web pour trouver des informations, les trier, juger de leur qualité pour ensuite livrer un rapport à ses commanditaires.

Il utilisera pour cela des moteurs de recherche classiques, des outils spécialisés et son esprit forcément affûté pour recoller des morceaux d’informations partielles et en tirer des enseignements.

Car là se situe la difficulté du travail de recherche : savoir recouper des informations partielles pour confirmer leurs authenticités, et produire un rapport basé uniquement sur des faits avérés, et savoir annoncer avec honnêteté les doutes pouvant subsister.

L’OSINT a été mise en avant dans des contextes de guerre ou d’information. L’exemple le plus frappant dans l’actualité récente est par exemple l’armée ukrainienne qui a identifié des lieux où se trouvaient des lance-missiles à partir des images diffusées à la télévision russe.

Mais, de manière plus discrète, l’OSINT est utilisé dans un contexte économique pour se renseigner sur un concurrent, sur un candidat à un poste ou sur un futur associé, mais aussi pour protéger le patrimoine de l’entreprise.

Voici quelques exemples de la “vraie” vie pour illustrer mon propos

Prévention des risques réputationnels, vulnérabilité à l’ingénierie sociale

Lutte contre le social engineering
la lutte contre le social engineering

Vous avez des salariés clés et vous souhaitez les sensibiliser aux risques pour la réputation de l’entreprise ?

Avec leur accord express, une analyse de leur présence en ligne pourra être menée afin d’identifier les éventuels risques pour votre entreprise comme le chantage, les menaces, etc.

En effet, beaucoup n’ont encore pas conscience des traces qu’ils laissent en ligne, et la manière dont cela pourrait être utilisé contre eux.

Je livrerai dans ce cas là des conseils pour se protéger au mieux.

Vous pouvez en apprendre plus sur la page dédiée à l’audit de vulnérabilité à l’ingénierie sociale.

Montée en compétences

Animation découverte de l'OSINT
la découverte de l'OSINT. Fonctionne également si vous n'avez pas de scène et seulement 10 personnes
L’OSINT c’est avant tout une méthode et un esprit d’analyse. Savoir avoir la prétention de former des professionnels de l’analyse, vous pouvez offrir à vos collaborateurs un animation OSINT afin d’aborder un thème de votre choix, et organiser ensuite un mini Capture The Flag en équipe afin de mettre en pratique la thématique. Un moyen ludique pour travailler l’esprit d’équipe, mais aussi les capacités de recherche et d’autonomie de vos collaborateurs

Vous pouvez en savoir plus sur notre page dédiée à l’animation OSINT.

Le recrutement

Un homme présentant les résultats de ses analyses osint à son client
Analyste OSINT présentant le résultat de ses observations à son client recruteur.

Vous avez présélectionné certains candidats pour un poste important, mais vous voulez en savoir plus, où vous voulez vous assurer qu’il n’existe pas de risque réputationnel. Dans ce cas-là, je chercherai à partir des éléments que vous fournissez :

  • Les profils sur les réseaux sociaux
  • Les pseudonymes utilisés
  • Les fréquentations professionnelles pouvant nuire à votre entreprise (liens avec un concurrent)
  • Ses activités annexes
  • Vérification des diplômes et des références

Dans le cadre d’une recherche sur une personne, je respecte scrupuleusement la vie privée et me limite aux recherches utiles et en relation avec l’emploi visé. Je ne fournirai donc aucune information sur les orientations politiques, l’orientation sexuelle, l’appartenance syndicale. De même, si le candidat utilise des pseudonymes, ils ne vous seront pas communiqués, mais uniquement utilisés à des fins de recherche.

À l’issue de mes recherches, je ne conserve aucune donnée personnelle concernant les candidats.

Au titre du recrutement, j’applique à la lettre les consignes de la CNIL en la matière, en particulier dans la fiche 14 du guide du recrutement publié en janvier 2023.

Le futur associé ou investisseur

Un homme regardant un autre de près avec une loupe
Promis, nous n'irons pas regarder votre futur associé avec cet air louche
S’associer ou faire entrer quelqu’un au capital n’est jamais anodin. Il vaut mieux mettre toutes les chances de son côté pour éviter les mauvaises surprises.
Il pourra alors être intéressant de se renseigner sur :

  • Des entreprises fermées ou en liquidation dans le passé
  • Les autres personnes avec qui le sujet est en lien professionnel
  • Présence dans des fuites de données sur des entreprises offshores
  • Les autres activités professionnelles
  • Et tout autre élément de nature à douter du bien-fondé de l’association

Nous ne donnerons jamais notre avis sur les situations économiques ou personnelles, notre travail sera uniquement de vous apporter des éléments afin de discuter avec votre expert-comptable, vos avocats et vos autres associés.

Recherche de produits ou de fournisseurs

Vous avez trouvé un nouveau fournisseur qui vous semble extraordinaire ? Mais vous voulez vérifier que ce qu’il vous propose est légitime ? Là aussi je peux vous aider.

  • Ses produits sont-ils originaux ou bien des produits “étagères” produits en Asie ?
  • Ses produits ont-ils bonne réputation sur le web
  • Fait-il déjà affaire avec vos concurrents ?

Et plein d’autres usages !

Qu’il s’agisse de retrouver l’endroit où a été prise une photo, de connaître l’usage d’un terrain dans les années 80, ou toute autre question.

Si vous avez une question, le mieux est de me contacter afin de savoir si je puis vous aider !

Ce que nous ne ferons pas !

Nous y revenons ci-dessous, mais précisons ici que je ne suis pas détective privé. Je ne pourrai par exemple jamais intervenir dans le cadre d’un préjudice, privé ou professionnel. De plus, je respecte strictement le droit à la vie privée. Toutes les informations recueillies sont disponibles publiquement et légalement ! Ma plus-value se situe dans mes capacités à rechercher les informations et à les analyser !

Inutile donc de me contacter pour un adultère, un conflit de voisinage, de la contrefaçon, la fraude aux arrêts maladie ou tout autre préjudice causé par un tiers. Je refuserai systématiquement ces dossiers.

Est-ce légal ?

Tant qu’il s’agit d’utiliser des données disponibles publiquement, aucun souci légal n’est à craindre. Mais un osinter n’est pas un détective privé ! Il ne pourra par exemple jamais faire de filature, contacter un sujet directement en se faisant passer pour quelqu’un d’autre, aller faire des photos ou témoigner devant la justice.

Je n’interviens pas sur le terrain et reste extérieur aux évènements.

Au cours de mes recherches, il peut arriver de tomber sur des documents censés être privés, mais qui ont été rendus publics par erreur. Impossible dans ce cas-là de les utiliser. En effet, à plusieurs reprises, la justice a condamné des personnes pour avoir consulté sur internet des documents manifestement privés.
Si des outils sont utilisés pour détecter une présence dans des leaks (fuites de données piratées), j’informe de cette présence, sans les consulter ou les télécharger.

Vous en avez assez lu ?

Contactez-moi !