Depuis la Seconde Guerre mondiale, des agents hautement qualifiés de la communauté du renseignement surveillent des informations open source telles que les émissions de radio, les journaux et les fluctuations du marché. De nos jours, la collecte de renseignements open source est accessible à presque tout le monde grâce à la multitude de sources de données facilement accessibles.

Certaines des sources publiques à partir desquelles les chercheurs en OSINT collectent des données incluent :

• Les moteurs de recherche Internet tels que Google, DuckDuckGo, Yahoo, Bing et Yandex.

• La presse écrite et en ligne, y compris les journaux, les magazines et les sites d'actualités.

• Les comptes de réseaux sociaux sur des plateformes telles que Facebook, X, Instagram et LinkedIn.

• Les forums en ligne, les blogs et les salons de discussion IRC.

• Le dark web, une zone cryptée d’Internet qui n’est pas indexée par les moteurs de recherche.

• Annuaires en ligne de numéros de téléphone, d'adresses e-mails et d'adresses physiques.

• Les archives publiques incluant les naissances, les décès, les documents judiciaires et les dépôts d'entreprise.

• Les dossiers gouvernementaux, tels que les transcriptions de réunions, les budgets, les discours et les communiqués de presse émis par les gouvernements locaux, d'État et fédéraux/nationaux.

• La recherche universitaire incluant les articles, les thèses et les revues.

• Données techniques telles que les adresses IP, les API, les ports ouverts et les métadonnées des pages Web.

Toutefois, avant de commencer la collecte de données à partir de sources OSINT, un objectif clair doit être établi. Les professionnels de la sécurité, par exemple, déterminent d'abord quelles informations ils recherchent et quelles données publiques leur permettront d'atteindre leurs objectifs.

Une fois collectées, les informations publiques doivent être traitées pour éliminer les données inutiles ou redondantes. Les équipes de sécurité peuvent ensuite analyser les données affinées et créer un rapport de renseignement exploitable.

Les acteurs de la menace utilisent souvent l'OSINT pour dénicher des informations sensibles qu'ils peuvent exploiter pour tirer parti des vulnérabilités des réseaux informatiques.

Cela peut inclure des informations personnelles sur les employés, partenaires et fournisseurs d'une organisation qui sont facilement accessibles sur les réseaux sociaux et les sites Web de l'entreprise. Ou des informations techniques telles que des identifiants, des lacunes de sécurité ou des clés de chiffrement qui peuvent apparaître dans le code source des pages Web ou des applications cloud. Il existe également des sites Web publics qui publient des informations compromettantes volées lors de violations de données, comme des identifiants de connexion et des mots de passe.

Les cybercriminels peuvent exploiter ces données publiques à diverses fins malveillantes.

Ces informations peuvent être utilisées à des fins malveillantes, comme la création d'e-mails d'hameçonnage personnalisés incitant les victimes à cliquer sur des liens malveillants. Ou encore pour effectuer des recherches Google avec des commandes spécifiques révélant les failles de sécurité d'une application web, une pratique appelée « Google dorking ». En examinant les ressources publiques d'une entreprise décrivant ses stratégies de défense en cybersécurité, les pirates peuvent également échapper à la détection lors de tentatives de piratage.

Pour ces raisons, de nombreuses organisations effectuent des évaluations OSINT des sources d'information publiques liées à leurs systèmes, applications et ressources humaines.

Ces analyses permettent de repérer les fuites non autorisées de données exclusives ou sensibles, d'évaluer la sécurité des informations et d'identifier des vulnérabilités comme les logiciels non mis à jour, les configurations incorrectes ou les ports ouverts. Les organisations peuvent également réaliser des tests d'intrusion de leurs systèmes et réseaux en utilisant les mêmes données OSINT accessibles publiquement par les cybercriminels et les pirates informatiques.

Souvent, les informations collectées lors d'une évaluation OSINT sont combinées à des données non publiques pour créer un rapport plus complet de renseignement sur les menaces. Des mises à jour régulières des évaluations de cybersécurité basées sur l'OSINT peuvent aider les organisations à atténuer les risques de violation de données, de ransomware, de logiciels malveillants et d'autres cyberattaques.

En raison de la quantité massive d'informations publiques disponibles, il est souvent peu pratique de collecter, trier et analyser manuellement les données OSINT. Des outils spécialisés de renseignement open source peuvent aider à gérer et automatiser les tâches de traitement des données pour une variété de cas d'utilisation de l'OSINT.

Certains outils d'analyse OSINT utilisent l'intelligence artificielle et le machine learning pour identifier les informations précieuses et pertinentes, et distinguer celles qui sont insignifiantes ou sans rapport. Voici quelques-uns des outils OSINT les plus courants :

• Osintframework.com (lien externe à ibm.com) – Un vaste répertoire d'outils et de ressources OSINT gratuits et en ligne hébergé sur la plateforme de développement GitHub. Les pirates informatiques et les professionnels de la cybersécurité peuvent utiliser ce répertoire comme point de départ pour explorer les fonctionnalités spécifiques qu'ils recherchent dans un outil OSINT.

• Maltego (lien externe à ibm.com) – Une solution d'exploration de données en temps réel pour les plateformes Windows, Mac et Linux qui fournit des représentations graphiques des modèles et des connexions de données. Grâce à sa capacité à profiler et suivre les activités en ligne des individus, cet outil peut être utile aussi bien aux professionnels de la cybersécurité qu'aux acteurs de la menace.

• Spiderfoot (lien externe à ibm.com) – Un outil d’intégration de source de données pour des informations telles que les adresses e-mail, les numéros de téléphone, les adresses IP, les sous-domaines etc. Les pirates éthiques peuvent utiliser cette ressource pour enquêter sur les informations accessibles au public qui pourraient constituer une menace pour une organisation ou un individu.

• Shodan (lien externe à ibm.com) – Un moteur de recherche pour les appareils connectés à Internet qui peut également fournir des informations sur les métadonnées et les ports ouverts. Comme cet outil peut identifier les failles de sécurité de millions d'appareils, il peut être utile aussi bien aux professionnels de la cybersécurité qu'aux cybercriminels.

• Babel X (lien externe à ibm.com) – n outil de recherche multilingue basé sur l'intelligence artificielle, capable de parcourir le web et le dark web dans plus de 200 langues. Les équipes de sécurité d'une organisation peuvent utiliser cet outil pour rechercher des informations sensibles ou exclusives qui pourraient être publiées sur le dark web ou dans un pays étranger.

• Metasploit (lien externe à ibm.com)  – Un outil de test d'intrusion capable d'identifier les vulnérabilités de sécurité dans les réseaux, les systèmes et les applications. Il s'agit d'un outil précieux aussi bien pour les professionnels de la cybersécurité que les pirates informatiques, car il permet d'exposer les faiblesses spécifiques qui peuvent mener à une cyberattaque réussie.