Une première réponse à ces questions : le renseignement en source ouverte.
Il faut garder en tête que la donnée n’est pas que marketing, liée à votre historique de navigation sur une batterie de sites peu recommandables. En effet, toute information peut être considérée comme étant une donnée exploitable : photo de vacances sur Instagram, adresse d’événement Facebook, empreintes digitales, plaque d’immatriculation sur Leboncoin… Autant de choses utilisables à votre insu, mais que vous disséminez pour certaines volontairement. Évidemment, il n’est pas souhaitable que ces informations tombent entre toutes les mains et il est fort à parier que les enjeux de sécurité en ligne vont aussi se jouer sur ce terrain, qui introduit la notion d’OSINT.
L’OSINT, acronyme d’Open Source INTelligence, Renseignement d’Origine Source Ouverte (ROSO) en Français, est une forme de technique de renseignement obtenue par la collection et l’analyse de sources d’informations publiques ouvertes dites “Open Source” disponibles sur les médias, internet, rapports gouvernementaux, publications académiques.
Son apparition reste floue, les premières mentions modernes datent de 1941 comme outil d’évaluation du succès des sabotages lors de la 2de Guerre Mondiale. Depuis, et notamment grâce à l’essor d’internet, l’OSINT s’est professionnalisée jusqu’à devenir un objet de renseignement propre.
En 2022, l’OSINT c’est, par exemple, cet universitaire californien qui a constaté les mouvements militaires Russes aux frontières de l’Ukraine grâce aux bouchons générés et identifiés sur Google Map.C’est aussi une communauté de comptes Twitter accumulant tous types de photos et vidéos de combattants Russes et Ukrainiens diffusés sur les réseaux. Pas pour leur plaisir personnel ou par frénésie archiviste, mais pour en retirer toutes les informations possibles sur l’emplacement de ces combattants. Comment? En scrutant les détails de chaque photos et vidéos prises sur le front (orientation des ombres, du soleil, couleur de bâtiments, type d’armement, végétation…) telle une partie de GeoGuessr. C’est aussi ces troupes de soldats Russes géolocalisés sur Tinder durant l’invasion. Depuis, Google s’est engagé à flouter des zones ukrainiennes pour ne pas dévoiler d’info sensibles sur les troupes de Zelensky, l’OSINT est alors une véritable discipline de guerre.
Comme certaines innovations militaires, à l’instar d’Internet, la démocratisation des outils passe d’abord par une expérimentation communautaire de passionnés. C’est là ou 4chan rentre en jeu – site pouvant être aussi bien considéré comme rassemblant la lie d’internet que comme étant l’un des derniers bastion de liberté d’expression en ligne -. Véritables professionnels du doxxing, certains de leurs membres sont passés maîtres dans le renseignement open source. L’exemple le plus connu date de 2017 dans une amérique nouvellement Trumpiste. L’acteur Shia Laboeuf a voulu retransmettre en live et durant toute la durée du quadriennat, un drapeau blanc avec la mention “He will not Divide Us”. Il n’en a pas fallu plus pour qu’une partie du forum se mette en tête de retrouver le lieu du stream, inconnu.
L’objectif est simple : retirer ce drapeau. La tâche, elle, est plus complexe. La localisation des tweets de l’acteur, la triangulation des traînées d’avions passant sur le stream comparée aux itinéraires de vol, l’étude des constellations pour déterminer l’orientation de la caméra et un petit coup de Google Map auront permis de déterminer l’emplacement précis du live. L’opération de capture de drapeau a pu être montée, et avec succès. Un véritable cas pratique de l’OSINT.
« La démocratisation des outils passe d’abord par une expérimentation communautaire de passionnés. »
Dans les faits, le renseignement Open Source, tout le monde en fait sans le savoir. Consulter les archives nationales pour tracer votre arbre généalogique : OSINT. Suivre l’itinéraire de vol des jets du PSG sur flightradar24 pour connaître dans quel club Mbappé va signer : OSINT. Stalker l’Instagram et le Linkedin de votre date pour savoir si c’est un bon parti : SOCMINT (SOCial Media Int.). Au quotidien, des policiers gallois ont pu utiliser une photo d’empreinte digitale sur whatsapp en tant que preuve supplémentaire contre des trafiquants de drogues. La discipline a aussi permis d’identifier les “rioters” du capitole Américain et leurs comptes sociaux. Mais alors en quoi ça vous concerne? Il faut garder en tête que si tout le monde peut potentiellement utiliser ces techniques alors tout le monde peut potentiellement en être victime.
Certains influenceurs ont d’ailleurs déjà eu la surprise de trouver des fans devant chez eux à cause d’indices cumulés dans leurs stories Instagram. L’usurpation d’identité et la traque sont facilitées et déjà rapportées dans de nombreuses affaires de harcèlement en ligne. Ensuite, si le quidam peut endosser le rôle de l’enquêteur, il peut aussi prendre celui du policier et du juge : identifier un compte anonyme et remonter des tweets jugés problématiques aux employeurs de cette personne, c’est faire justice soi même et ouvrir la porte à de nombreuses dérives. Perdre son emploi pour une mauvaise blague ou un tweet hors contexte pourrait devenir monnaie courante.
Vous l’aurez compris plus on s’expose, plus on laisse d’indices, plus l’identification est fiable. La meilleure façon de se protéger reste alors de garder sa vie privée, privée. Multiplier les adresses emails, les pseudos, éviter d’activer la géolocalisation, faire des demandes de déréférencement : de nombreuses possibilités de protections sont accessibles au grand public avec peu d’efforts.
Tout comme l’anonymat sur internet, l’OSINT est légale par définition mais éthique par ce que l’on en fait. Il faut seulement considérer que tout ce qui est en ligne ne vous appartient plus, le choix de poster, en revanche, vous appartiendra toujours.