The Not Yet Exploited Goldmine of OSINT Opportunit

Machine Translated by Google
Cet article a été accepté pour publication dans un prochain numéro de cette revue, mais n'a pas été entièrement édité. Le contenu peut changer avant la publication finale. Informations sur la citationÿ:
DOI 10.1109/ACCESS.2020.2965257, accès IEEE
Date de publication xxxx 00, 0000, date de la version actuelle xxxx 00, 0000.
Identifiant d'objet digital ...
La mine d'or non encore exploitée de

OSINTÿ: Opportunités, défis ouverts et
tendances futures
JAVIER PASTOR-GALINDO1, PANTALON NESPOLI 1 , FELIX GOMEZ MARBRE1, ET
GREGORIO MARTINEZ PEREZ1
1Département d'ingénierie de l'information et des communications, Université de Murcie, 30100 Murcie, Espagne
Auteur correspondant : Javier Pastor-Galindo (courriel : javierpg@um.es)
Ce travail a été partiellement soutenu par un contrat prédoctoral FPU (FPU18/00304) accordé par le ministère espagnol des Sciences,
de l'Innovation et des Universités, par un contrat prédoctoral FPU accordé par l'Université de Murcie, par un contrat de recherche Ramón y
Cajal (RYC- 2015-18210) accordé par le MINECO (Espagne) et cofinancé par le Fonds social européen, et par le projet SAFEMAN (A
unified management framework for cybersecurity and safety in the manufacturing industry) avec le code RTI2018-095855-B-I00.
RÉSUMÉ La quantité de données générées par le monde interconnecté actuel est incommensurable, et une grande partie de ces données
est accessible au public, ce qui signifie qu'elle est accessible à tout utilisateur, à tout moment, de n'importe où sur Internet. À cet égard,
l'Open Source Intelligence (OSINT) est un type d'intelligence qui bénéficie réellement de cette nature ouverte en collectant, traitant et
corrélant des points de l'ensemble du cyberespace pour générer des connaissances. En fait, les récentes avancées technologiques font
actuellement évoluer OSINT à un rythme vertigineux, fournissant des applications innovantes basées sur les données et alimentées par l'IA
pour la politique, l'économie ou la société, mais offrant également de nouvelles lignes d'action contre les cybermenaces et la cybercriminalité.
Le document présenté décrit l'état actuel de l'OSINT et fait un examen complet du paradigme, en se concentrant sur les services et les
techniques améliorant le domaine de la cybersécurité. D'une part, nous analysons les points forts de cette méthodologie et proposons de
nombreuses pistes pour l'appliquer à la cybersécurité. D'autre part, nous couvrons les limites lors de son adoption. Considérant qu'il reste
beaucoup à explorer dans ce vaste domaine, nous énumérons également quelques défis ouverts à relever à l'avenir. De plus, nous étudions
le rôle de l'OSINT dans la sphère publique des gouvernements, qui constituent un paysage idéal pour exploiter les données ouvertes.
INDEX TERMES OSINT, cyberintelligence, cybersécurité, cyberdéfense, défis, sécurité nationale, criminalité informatique, intelligence
informatique, acquisition de connaissances, services de réseaux sociaux, outils logiciels, confidentialité des données, Internet
INTRODUCTION trois applications principales qui sont représentées sur la FIGURE 1 et sont
décrites ci-aprèsÿ:
L'Open Source Intelligence (OSINT) consiste en la collecte, le traitement et la
corrélation d'informations publiques à partir de sources de données ouvertes
• Analyse des opinions et des sentiments sociauxÿ: parallèlement à l'essor des
telles que les médias de masse, les réseaux sociaux, les forums et les blogs,
réseaux sociaux en ligne, il est possible de collecter les interactions, les
les données publiques gouvernementales, les publications ou les données
messages, les intérêts et les préférences des utilisateurs pour en extraire
commerciales. Compte tenu de certaines données d'entrée, ainsi que de
des connaissances non explicites. Les preuves accumulées à partir des
l'application de techniques avancées de collecte et d'analyse, OSINT élargit
médias sociaux sont considérables et largement avantageuses [3]. De telles
continuellement les connaissances sur la cible.
collectes et analyses pourraient être appliquées, par exemple, au marketing,
De cette manière, les informations trouvées alimentent à nouveau le processus
aux campagnes politiques ou à la gestion des catastrophes [4].
de collecte pour se rapprocher de l'objectif final [1].
De nos jours, OSINT est largement adopté par les gouvernements et les • Cybercriminalité et crime organisé : les données ouvertes sont analysées en
services de renseignement pour mener leurs enquêtes et lutter contre la permanence et mises en correspondance par les processus OSINT afin de
cybercriminalité [2]. Néanmoins, il n'est pas seulement utilisé pour les affaires détecter les intentions criminelles à un stade précoce.
de l'État, mais plutôt appliqué à plusieurs objectifs différents. Tenant compte des habitudes des adversaires et des relations entre les
En effet, les recherches actuelles portent sur (mais sans s'y limiter) crimes, l'OSINT est en mesure de fournir
VOLUME 4, 2016 1
Ce travail est sous licence Creative Commons Attribution 4.0. Pour plus d'informations, consultez https://creativecommons.org/licenses/by/4.0/.
J. Pastor-Galindo et al.ÿ: La mine d'or non encore exploitée de l'OSINTÿ: opportunités, défis ouverts et tendances futures
le traitement des données personnelles relatives aux personnes

physiques dans la zone UE [14]. D'autre part, il existe une forte
composante éthique liée à la vie privée des utilisateurs. En particulier, le
Cybercriminalité et
Crime organisé profilage des personnes [15] pourrait révéler des détails personnels tels
Repérer les actions illégales que leur préférence politique, leur orientation sexuelle ou leurs croyances
Récupérer les traces suspectes
Surveiller les groupes malveillants religieuses, entre autres. De plus, l'exploitation d'une telle quantité
d'informations peut conduire à des abus, ce qui peut nuire à des
innocents par le biais de cyberintimidation, de cybercommérages ou de
cyberagressions [16].
Le présent article, qui est une extension du travail proposé dans
[17], englobe le présent et l'avenir de l'OSINT en analysant ses points
OSINT positifs et négatifs, en décrivant les façons d'appliquer ce type
Opinion sociale et Cybersécurité et

d'intelligence et en énonçant les orientations futures de l'évolution. de
Analyse des sentiments Cyberdéfense ce paradigme. De plus, une description plus détaillée des différentes
Impression de pied
Commercialisation
Campagnes politiques Analyse médico-légale

techniques, outils et défis ouverts est présentée dans cet ouvrage. De
La gestion des catastrophes Attribution des cyberattaques plus, nous proposons l'intégration d'OSINT dans le modèle DML
Recrutement RH Ingénierie sociale / prévention
Journalisme des attaques de phishing (Detection Maturity Level) pour aborder le problème d'attribution sous un
angle différent dans le contexte des enquêtes sur les cyberattaques.
Nous introduisons également des exemples de flux de travail pour
FIGURE 1ÿ: Principaux cas d'utilisation de l'OSINT.
faciliter la compréhension et l'utilisation d'OSINT afin de recueillir des
informations précieuses à partir d'entrées de base.
forces de sécurité avec la possibilité de détecter rapidement les

De plus, notre objectif est de stimuler les recherches et les avancées
actions illégales [5]. En ce sens, en exploitant les données
dans l'écosystème OSINT. La portée d'un tel écosystème est assez
ouvertes, il serait possible de suivre l'activité des organisations
large, allant de la psychologie, des sciences sociales au contre-
terroristes, de plus en plus actives sur Internet [6], [7].
espionnage et au marketing. Comme nous l'avons vu jusqu'à présent,
OSINT est un mécanisme prometteur qui améliore concrètement les
• Cybersécurité et cyberdéfense : les systèmes TIC (technologies de
domaines traditionnels de la cyberintelligence, de la cyberdéfense et de
l'information et de la communication) sont continuellement attaqués par des
la criminalistique numérique [18]. L'impact que cette méthodologie
criminels visant à perturber la disponibilité des services fournis [8]. La
pourrait avoir sur la société grâce à la technologie actuelle et au grand
recherche devient alors cruciale pour défendre ces systèmes contre les
nombre de sources ouvertes est encore inexploité. Il reste encore un
cyberattaquants, concrètement en faisant face aux défis encore ouverts
long chemin à explorer dans ce domaine, et cet article présente quelques
dans le domaine de la cybersécurité [9]. En ce sens, les sciences des
pistes de recherche futures intéressantes.
données ne sont pas seulement appliquées à l'empreinte dans les
Le reste de cet article est organisé comme suit. La SEC TION II
pentestings, mais aussi à la protection préventive des organisations et des
propose une revue des travaux de recherche récents dans le domaine
entreprises. Concrètement, les techniques d'exploration de données peuvent
de l'OSINT. La SECTION III traite de la motivation, des avantages et
aider en effectuant une analyse des attaques quotidiennes, en les corrélant
des inconvénients du développement de l'OSINT. La SECTION IV
et en soutenant les processus de prise de décision pour une défense
explique les principales étapes OSINT et les workflows pratiques pour
efficace, mais aussi pour une réaction rapide [10]. De la même manière,
les réaliser. Ensuite, la SECTION V comprend une description détaillée
OSINT peut également être considéré dans ce contexte comme une source
des techniques et services de collecte basés sur OSINT.
d'informations pour les traçages et les enquêtes. L'analyse numérique
La SECTION VI analyse et compare certains outils OSINT qui
médico-légale [11] peut incorporer OSINT pour compléter les preuves
automatisent la collecte et l'analyse d'informations OSINT. La SECTION
numériques laissées par un incident.
VII propose l'intégration d'OSINT dans l'investigation des cyberattaques.
La SECTION VIII se concentre sur l'impact de l'OSINT au sein d'une
nation, non seulement pour ses opérations de cyberdéfense internes,
En plus de ceux-ci, OSINT peut être appliqué à d'autres contextes. mais également en tant que bénéficiaire des politiques de transparence.
En particulier, on peut extraire des informations pertinentes en effectuant L'Espagne est spécifiquement prise comme référence d'affinité et
des attaques d'ingénierie sociale. Les entités mal motivées exploitent contextualisée avec le reste du monde. La SECTION IX pose quelques
les informations accessibles au public publiées en ligne (par exemple, défis ouverts concernant la recherche dans l'OSINT. Enfin, la SECTION
sur les réseaux sociaux) afin de créer des crochets attrayants pour X se termine par quelques remarques clés, ainsi que des orientations de
capturer la cible [12]. De plus, il est possible d'effectuer une évaluation recherche futures.
automatique de la véracité des données ouvertes visant à divulguer de
fausses nouvelles et des deepfakes, entre autres [13]. II. ÉTAT DE L'ART Ces
Néanmoins, il est important de noter que l'utilisation des données dernières années, avec les avancées des techniques de big data et
publiques présente également des problèmes compromettants. D'une d'exploration de données, la communauté des chercheurs a remarqué
part, le règlement général de l'UE sur la protection des données (RGPD) limiteque les données ouvertes représentent une source puissante d'analyse sociale
2 VOLUME 4, 2016
comportements et obtenir des informations pertinentes [19]. Ensuite, nous reste discutable.
décrivons quelques travaux remarquables autour de chacun des trois En étendant la thèse à d'autres champs d'application, dans [30], les
principaux cas d'utilisation susmentionnés pour OSINT. auteurs démontrent comment se remémorer passivement des informations
En ce qui concerne l'utilisation d'OSINT pour extraire l'opinion sociale significatives sur les employés de l'organisation de manière automatisée.
et les émotions, Santarcangelo et al. [20] ont proposé un modèle pour Ces informations sont ensuite liées à l'analyse de la surface d'attaque dite
déterminer les opinions des utilisateurs sur un mot-clé donné à travers les d'ingénierie sociale, montrant la faisabilité effective de l'approche proposée.
réseaux sociaux, en étudiant spécifiquement les adjectifs, les intensificateurs
et les négations utilisés dans les tweets. Malheureusement, il s'agit d'une Ensuite, les auteurs proposent un ensemble de contre-mesures potentielles,
simple solution basée sur des mots clés uniquement conçue pour la langue y compris un scanner de vulnérabilité d'ingénierie sociale accessible au
italienne, sans tenir compte des problèmes sémantiques. En revanche, public que les entreprises peuvent exploiter afin de réduire l'exposition de
Kandias et al. [21] pourraient relier l'utilisation des réseaux sociaux (en leurs employés. En outre, une revue systématique des approches,
particulier Facebook) à leur niveau de stress. Cependant, les expériences méthodologies et outils proposés par l'académie pour effectuer une
n'ont été menées qu'avec 405 utilisateurs, alors qu'aujourd'hui, il est évaluation automatique de la véracité des données accessibles au public
possible de traiter des quantités de données beaucoup plus importantes. est effectuée dans [31]. Plus précisément, les auteurs ont étudié 107
Une autre étude intéressante est menée dans [22], où les auteurs ont éléments de recherche entre 2013 et 2017 pour argumenter sur l'état de
appliqué le traitement du langage naturel (NLP) aux messages WhatsApp l'art de l'évaluation de la véracité, qui est devenue une grande
afin de prévenir éventuellement l'apparition de violences de masse en préoccupation au cours de la dernière décennie en raison de la propagation
Afrique du Sud. des fausses nouvelles et des deepfakes. En ce sens, les auteurs soulignent
Malheureusement, l'enquête se limite aux messages texte, excluant ainsi la relative immaturité de ce domaine, identifiant plusieurs défis qui
les informations vitales qui peuvent être divulguées par le biais de matériel caractériseront les tendances futures de la recherche.
multimédia.
Dans le contexte de la cybercriminalité et du crime organisé,
plusieurs travaux explorent l'application de l'OSINT pour les enquêtes
III. AVANTAGES ET INCONVÉNIENTS DE L'OSINT
criminelles [23]. Par exemple, OSINT pourrait augmenter la précision des
poursuites et des arrestations de coupables avec des cadres comme celui Les domaines d'application d'OSINT sont nombreux et les solutions
proposé par Quick et al. dans [11]. développées sous ce paradigme se multiplient.
Concrètement, les auteurs appliquent l'OSINT aux données médico-légales Cependant, derrière cette méthodologie, il y a un compromis auquel les
numériques d'une variété d'appareils pour améliorer l'analyse des développeurs et les ingénieurs doivent faire face. D'un point de vue
renseignements criminels. Dans ce domaine, une autre opportunité offerte technique, comme nous pouvons le voir dans le TABLEAU 1, OSINT
expose un certain nombre d'avantages, mais il doit également faire face à
par l'OSINT est la détection d'actions illégales ainsi que la prévention de
certaines restrictions, qui sont détaillées ci-après.
crimes futurs tels que des attentats terroristes, des meurtres ou des viols.
En fait, les projets européens ePOOLICE [24] et CAPER [25] ont été
conçus pour développer des modèles efficaces de numérisation A. AVANTAGES OSINT
automatique des données ouvertes afin d'analyser la société et de détecter 1) Une énorme quantité d'informations disponibles
la criminalité organisée émergente. Contrairement aux projets cités
Il existe actuellement un grand volume de données open source
précédemment, dont les propositions n'ont pratiquement pas été utilisées
intéressantes à analyser, corréler et relier [32]. Cela inclut les réseaux
dans des cas réels, Delavallade et al. [26] décrivent un modèle basé sur
sociaux, les documents et rapports gouvernementaux publics, le contenu
les données des réseaux sociaux capable d'extraire des indicateurs de
multimédia en ligne, les journaux et même le Web profond et le Web
criminalité future. Ce modèle est ensuite appliqué au vol de cuivre et aux
sombre [33], entre autres. En fait, le Deep Web et le Dark Web (ce dernier
cas d'utilisation de la propagande djihadiste.
circonscrit au premier) contiennent encore plus d'informations que le
Du point de vue de la cybersécurité et de la cyberdéfense, OSINT
Surface Web (c'est-à-dire l'Internet connu de la plupart des utilisateurs)
représente un outil précieux pour améliorer nos mécanismes de protection
[34].
contre les cyberattaques. Pinto et al. [27] proposent l'utilisation d'OSINT
Pour pouvoir accéder à ces réseaux, il est nécessaire d'utiliser des outils
dans le contexte colombien pour prévenir les attaques et permettre
spécifiques puisque leurs contenus ne sont pas indexés par les moteurs
l'anticipation stratégique. Il comprend non seulement des plugins pour
de recherche traditionnels.
collecter des informations, mais également des modèles d'apprentissage
Contrairement au Surface Web et à la plupart du Deep Web, le Dark
automatique pour effectuer une analyse des sentiments. De plus, le projet
Web offre l'anonymat et la confidentialité aux utilisateurs qui l'utilisent.
européen DiSIEM [28] maintient comme premier objectif l'intégration de
Cette propriété permet aux criminels d'utiliser ce réseau pour surfer,
diverses sources de données OSINT dans les systèmes SIEM (Security
effectuer leurs recherches et publier à des fins illégitimes tout en cachant
Information and Event Management) actuels pour aider à réagir aux
leur identité. Par conséquent, le Dark Web est une source idéale pour
vulnérabilités récemment découvertes dans l'infrastructure ou même à
appliquer OSINT et lutter contre la cybercriminalité, le crime organisé ou
prédire d'éventuelles menaces émergentes.
les cybermenaces. D'autre part, la poursuite et la désanonymisation de
De plus, Lee et al. [29] ont également conçu un cadre basé sur OSINT
ces personnes sont des défis actuels non triviaux pour que l'OSINT
pour inspecter les menaces de cybersécurité des réseaux d'infrastructures
fonctionne correctement [35].
critiques. Cependant, toutes ces approches n'ont pas été appliquées à des
scénarios réels, d'où leur efficacité
VOLUME 4, 2016 3
Avantages ÿ Inconvénients ÿ
Grande quantité d'informations disponibles Complexité de la gestion des données
Haute capacité de calcul Informations non structurées
Mégadonnées et apprentissage automatique Désinformation
Types de données complémentaires Fiabilité des sources de données
Objectif flexible et large champ d'application Fortes considérations éthiques/juridiques
TABLEAU 1: Avantages et inconvénients d'OSINT en bref
2) Une capacité de calcul élevée Les avantages dans le domaine de la criminalité et de la cybersécurité, où l'OSINT pourrait
progrès de l'architecture informatique, des processeurs et des GPU (unités de traitement surveiller les personnes suspectes ou les groupes dangereux, détecter les profils
graphique) permettent de réaliser des opérations laborieuses en termes de collecte, de d'influence liés à la radicalisation, étudier les tendances inquiétantes de la société,
traitement, d'analyse et de stockage [36]. Grâce à cette fonctionnalité, nous avons la soutenir l'attribution des cyberattaques et des crimes, améliorer l'analyse médico-légale
possibilité d'appliquer l'OSINT en tenant compte de grandes quantités d'informations numérique, etc. [5 ], [18].
publiques et en mélangeant un grand nombre d'ensembles de données, de relations et

de modèles provenant de différents types de sources ouvertes, tout en appliquant des B. LIMITES OSINT
techniques avancées de traitement et d'analyse. 1) Complexité de la gestion des données La
quantité de données est énorme et, par conséquent, il est difficile de la gérer de
manière efficace et efficiente [39]. Il est avantageux pour l'OSINT de considérer autant
3) Big data et apprentissage automatique d'informations que possible, mais aussi de disposer de techniques avancées et de
Prolifération émergente de techniques d'analyse et d'exploration de données, ainsi que ressources importantes pour assurer une collecte, un traitement et une analyse de haute
d'algorithmes d'apprentissage automatique, qui peuvent automatiser et rendre les qualité.
processus d'enquête et de prise de décision plus intelligents et efficaces [36]. Il permet

de repérer des corrélations complexes qui sont naturellement imprévisibles pour l'homme. 2) Information non structurée
Ce point sera essentiel dans les futures activités de l'OSINT, car il marquera la différence L'information publique disponible sur Internet est par nature massivement désorganisée.
entre la recherche dirigée par l'homme et celle dirigée par l'intelligence artificielle. En Cela signifie que les données collectées par l'OSINT sont si hétérogènes qu'il est difficile
incorporant ces techniques, le processus de collecte et d'analyse s'améliorera de classer, de relier et d'examiner ces données afin d'extraire des relations et des
définitivement, aboutissant ainsi à des enquêtes précises proches de notre objectif. De connaissances pertinentes [4]. En ce sens, OSINT nécessite des mécanismes tels que
plus, les agences gouvernementales de contre-espionnage peuvent tirer parti de ce l'exploration de données, le traitement du langage naturel (NLP) ou l'analyse de texte
paradigme pour améliorer encore la qualité des informations gérées et, par conséquent, pour homogénéiser les informations non structurées afin de pouvoir les exploiter.
la lutte contre les organisations terroristes [37].
3) La désinformation Les
réseaux sociaux et les supports de communication sont inondés d'opinions subjectives,
4) Types de données complémentaires de fake news et de canards [4]. Pour cette raison, l'existence d'informations inexactes
Possibilité d'alimenter OSINT avec d'autres types d'informations [38]. La structure doit être prise en compte dans la mise en œuvre des mécanismes OSINT et ne doit pas
inhérente du système est suffisamment ouverte pour inclure des données qui n'ont pas conduire à la propagation de la recherche. Les activités de l'OSINT doivent toujours
réellement été obtenues à partir de sources ouvertes. Ce fait signifie que l'OSINT peut traiter des informations fiables et suivre des lignes d'exploration fiables pour garantir des
être encore plus efficace si nous sommes en mesure d'ajouter des informations externes résultats positifs et convaincants [40].
pour compléter les enquêtes. Par exemple, les forces de l'ordre pourraient tirer parti de
la collaboration des citoyens pour alimenter les recherches OSINT, les services de
renseignement pourraient exploiter des informations classifiées sur les cybercriminels
ou les incidents pour enrichir les enquêtes OSINT, ou même les utilisateurs courants 4) Fiabilité des sources de données
pourraient combiner OSINT avec l'ingénierie sociale pour profiler leur cible. La fiabilité et l'autorité des informations sont en effet la clé du succès des enquêtes
OSINT [41].
Idéalement, les données collectées devraient provenir de sources faisant autorité,
examinées et fiables (documents officiels, rapports scientifiques, supports de
communication fiables) [39]. Dans la pratique, l'OSINT coexistera également avec des
5) Objectif flexible et large portée En raison de la sources subjectives ou ne faisant pas autorité, telles que le contenu des réseaux sociaux
nature de l'OSINT, les enquêtes peuvent être étendues à de nombreux problèmes et ou des médias manipulés [42]. Même si ce type de sources est plus sujet à la
peuvent collecter des informations dans tout le cyberespace. Ce paradigme pourrait être désinformation, c'est en fait là que davantage de connaissances peuvent être extraites
utilisé pour les aspects économiques, psychologiques, stratégiques, journalistiques, de pour enquêter sur des personnes, des groupes ou des entreprises.
travail ou de sécurité, entre autres. En particulier, nous pourrions souligner la
Si la crédibilité des sources d'information ouvertes représente
4 VOLUME 4, 2016
Bien qu'il s'agisse d'une limitation, cela devient encore plus difficile compte ont inclus les pistes d'exploration qui valent la peine d'être suivies pour
tenu de l'ambiguïté possible des requêtes des utilisateurs pour récupérer optimiser l'analyse des résultats de collecte et maximiser l'extraction des
l'information souhaitée [43]. connaissances. Ce schéma d'abstraction élevée comprend les transactions
les plus claires, les éléments représentatifs et les opérations en cours.
5) Considérations éthiques/juridiques fortes De
nombreuses préoccupations concernant la vie privée, le respect et l'intégrité
personnelle émergent avec le développement de l'OSINT [44]. Dans ce sens, A. COLLECTE OSINT
il convient de noter que la question de savoir si OS INT constitue une question Avant les étapes d'analyse et d'extraction de renseignements, l'enquêteur
éthique se situe généralement dans le domaine de l'éthique de la collecte de doit élargir l'ensemble de données sur la cible. Dans ce but, nous proposons
renseignements [45]. D'une part, bien qu'accessible au public, l'OSINT a le quelques techniques OSINT pour représenter différentes stratégies de
pouvoir de divulguer des informations qui ne sont pas explicitement publiées collecte. En particulier, nous avons considéré les moteurs de recherche, les
sur le Web. Les résultats non couverts doivent respecter la vie privée des réseaux sociaux, l'adresse e-mail, le nom d'utilisateur, le nom réel,
utilisateurs et ne pas révéler de problèmes intimes et personnels [15], tout en l'emplacement, l'adresse IP et les techniques OSINT de nom de domaine
tenant compte des réglementations connexes en vigueur (telles que le RGPD (comme nous le décrirons plus en détail dans la SECTION V).
[14]). Sous chacun d'eux, il y aura d'innombrables services OSINT avec des
Dans cette mesure, des aspects tels que l'orientation sexuelle, les croyances méthodes similaires de collecte de données.
religieuses, l'inclination politique ou les comportements compromettants
Dans cette phase, on suppose qu'au moins une donnée atomique sur la
peuvent être déduits d'Internet, et ce processus de divulgation peut être
cible est disponible (par exemple, nom réel, nom d'utilisateur, adresse e-mail,
problématique dans de nombreux pays aujourd'hui. D'autre part, la portée des
etc.). À partir de cette graine initiale et selon sa nature, l'investigateur applique
recherches basées sur OSINT devrait être, par définition, limitée aux sources
les techniques OSINT les plus appropriées pour dériver plus de données. En
de données ouvertes. En aucun cas, les contrôles d'accès ou les méthodes
ce sens, les résultats obtenus avec une technique spécifique sont un transfert
d'authentification ne peuvent être contournés pour extraire des connaissances.
de données à utiliser par un autre type de technique. Ces transactions
représentées illustrent des manières possibles de propager l'enquête, où la
sortie de la technique d'origine devient l'entrée pour alimenter la technique de
IV. FLUX DE TRAVAIL OSINT
destination.
OSINT, comme tout autre type d'intelligence, a une méthodologie bien définie
et précise. De notre point de vue scientifique et technique, nous nous
intéressons particulièrement à trois étapes.
B. ANALYSE OSINT
Premièrement, dans la phase de collecte , les données accessibles au
Les itérations continues à travers les différentes techniques OSINT doivent
public sont récupérées à partir de sources ouvertes pertinentes en fonction de
être analysées et comprises pour générer des informations précieuses. Il
la cible ou de l'objectif. En particulier, Internet est la ressource par excellence
existe de plus en plus de techniques d'analyse dans la littérature pour effectuer
en raison du volume de matériel existant et de sa facilité d'accès. Le processus
cette tâche [46], soulignant ci-dessous les procédures attrayantes qui sont
de collecte est particulièrement pertinent car c'est à partir de cette étape que
applicables dans notre scénarioÿ:
se déclenche tout le processus de génération du renseignement.
Ensuite, dans la phase d' analyse , la matière première collectée est • Analyse lexicale : Les données brutes doivent être examinées pour extraire
traitée pour générer des informations précieuses et compréhensibles. les entités et les relations du texte. Il est essentiel d'appliquer des processus
Les données en elles-mêmes ne sont pas utiles, elles doivent donc être de traduction à la langue utilisée dans l'enquête OSINT [47] et de filtrer le
interprétées pour obtenir les premiers faits issus d'une analyse approfondie. bruit qui n'ajoute pas de valeur à partir de phrases qui n'ajoutent pas de
Enfin, dans le processus d'extraction de connaissances , l'information valeur. • Analyse sémantique : Avoir un sac de mots n'est pas utile si le
purifiée précédemment est prise en entrée pour des algorithmes d'inférence sens n'est pas extrait [48]. Dans ce but de compréhension des données, des
plus sophistiqués. Grâce aux avancées informatiques de l'ère actuelle, il est algorithmes de traitement du langage naturel sont aujourd'hui utilisés [49].
possible de détecter des modèles, de profiler des comportements, de prédire De plus, les techniques d'analyse des sentiments permettent la
des valeurs ou de corréler des événements. contextualisation des publications ou des opinions subjectives pour classer
Il convient de mentionner que les deuxième et troisième étapes l'état émotionnel de l'auteur (par exemple, positif, négatif ou neutre). Enfin,
comprennent des technologies largement utilisées et connues dans le cadre les procédures de découverte de la vérité abordent la tâche difficile de
de l'exploration de données. Cependant, l'approche de collecte OSINT diffère résoudre les conflits dans des données multi-sources qui opposent des
des services actuels basés sur les données. De nos jours, les applications positions opposées sur le même sujet [50].
courantes d'analyse de données recueillent autant d'informations que possible
à partir de sources de données prédéfinies et mettent en œuvre des processus
de collecte clairs. Au contraire, les solutions OSINT devraient collecter des
faits spécifiques de la mer de toutes les informations ouvertes possibles et accessibles. • Analyse géospatiale : les données recueillies à partir de réseaux sociaux,
Ressources. d'événements, de capteurs ou d'adresses IP valent la peine d'être analysées
Afin de faire face à cette dernière incertitude difficile et d'aller plus loin, d'un point de vue géolocalisé. En ce sens, l'utilisation de cartes ou de
nous proposons dans la FIGURE 2 un cadre pratique pour mener des graphiques facilite la représentation et la compréhension des données [51],
enquêtes basées sur OSINT. Nous avons ainsi que
VOLUME 4, 2016 5
Cet article a été accepté pour publication dans un prochain numéro de cette revue, mais n'a pas été entièrement édité. Le contenu peut changer avant la publication finale. Informations sur la citationÿ: DOI
10.1109/ACCESS.2020.2965257, Accès IEEE
Renseignements personnels Découvertes

OSINT techniques Connaissances
potentielles
élicitation
Vrai nom Nom d'utilisateur

Transfert Adresse e-mail
Vrai nom
de données Production
Situation économique
Info
Âge CV Téléphone
Adresse Préférences politiques,
Nom d'utilisateur
e-mail sexuelles ou religieuses
Professionnelle Ville, Éducation
carrière Pays
Les proches
Tendance au crime
Informations organisationnelles
Moteurs
Réseaux
de recherche Désanonymisation
sociaux Nom de
Compagnie Site Internet
domaine
Vie en cache
Des dossiers, GPS
Emplacement
Images coordonnées
Attribution du crime
Domaine
Emplacement
Nom Activité sur le
Informations sur le réseau web
Lieux visités
Sous-domaines adresse IP Noms d'hôte
adresse IP
Réseau
Inscription en fonctionnement DNS
topologie
Info système enregistrements
LE RECUEIL UNE ANALYSE CONNAISSANCES EXTRACTION

Gouvernement Commercial Infrastructure Lexical Sémantique Géospatial Des médias sociaux Valeur aberrante
Médias l'Internet Modèles de
Classification de corrélation Régression de clustering
Les données Les données de réseau une analyse une analyse une analyse une analyse détection suivi
FIGURE 2 : Principaux workflows OSINT et intelligence dérivée
comme l'extraction de liens significatifs entre les incidents C. EXTRACTION DES CONNAISSANCES OSINT
ou des personnes. La valeur des informations recueillies jusqu'à présent est incontestable.
• Analyse des médias sociauxÿ: les fonctionnalités apportées par Cependant, l'extraction du renseignement de ces découvertes
les médias sociaux permettent aux chercheurs de mener des conduit en fait à ce qui offrira une reconnaissance attrayante
analyse des utilisateurs [52]. Dans un tel scénario, l'analyse de de la cible [53]. Pour cela, nous considérons les connaissances
les données sociales permettent la création d'un réseau de contacts, élicitation comme traitement des résultats d'analyse (infos de sortie)
interactions, lieux, comportements et goûts autour de la en utilisant des techniques d'exploration de données et d'intelligence artificielle.
matière. Dans ce qui suit, nous mentionnons quelques-uns des plus prometteurs
Les résultats du lancement des techniques susmentionnées technologies à ce stade :
sont considérés comme des informations de sortie et sont classés en trois • Corrélation : Détection des relations entre les personnes,
groupes principaux :
événements ou éléments de données en général [54]. Forte relation
• Les informations personnelles fusionnent les détails d'identité de la personne qui Les fonctionnalités sont particulièrement utiles pour révéler les
sont principalement obtenus à partir du vrai nom, associations non explicites existant dans l'ensemble de données.
adresse e-mail, nom d'utilisateur, réseaux sociaux et recherche • Classificationÿ: les données peuvent être divisées en groupes
technique des moteurs. selon des catégories prédéfinies (apprentissage supervisé) [55]. Cette
• L'information organisationnelle est formée par des aspects technique permet d'organiser
d'une équipe ou d'une entreprise composée d'individus. Ce de grandes quantités d'informations pour une extraction plus efficace
est essentiellement collectée par le biais des réseaux sociaux, des connaissances [56].
moteurs de recherche, emplacement, nom de domaine et adresse IP • Détection des valeurs aberrantesÿ: cette procédure analyse l'ensemble de données
techniques. et y détecte des anomalies [57]. Ils sont particulièrement intéressants
• Les informations sur le réseau couvrent les données techniques des systèmes et pour l'observation d'agents malins, dont
les topologies de communication qui sont généralement le comportement ou les actions diffèrent de la population générale.
obtenu grâce à l'emplacement, au nom de domaine et à l'adresse IP • Clustering : Il assigne des morceaux de données dans des clusters, étant
techniques. capable de considérer un grand nombre de conditions ou d'heuristiques
Logiquement, ces trois blocs d'informations peuvent être complétés par [58]. Cela pourrait révéler, par exemple, différentes manières
d'autres éléments. De plus, une seule enquête de se comporter dans le réseau, divers types de
peut avoir différents types d'informations de sortie qui se complètent profils ou catégorisation des formes d'agression des individus,
autre. organisations ou infrastructures [59] sans savoir
l'existence de cette diversité au préalable (non supervisée
6 VOLUME 4, 2016
apprentissage). fonctionne très bien et renvoie des informations précieuses au

utilisateur.
• Régression : L'objectif principal de cette technique est de prévoir ou de
prédire des valeurs numériques ou des faits [60]. Par exemple, une Néanmoins, le nombre de résultats peut être si écrasant qu'il peut même
régression linéaire renvoie une valeur correspondant à une fonction linéaire, être contre-productif pour l'utilisateur. Pour cette raison, un bon enquêteur doit
un réseau de neurones est une structure qui mappe des combinaisons savoir spécifier les requêtes au sein d'un moteur de recherche en fonction du
complexes d'entrées à une sortie, ou un apprentissage en profondeur résultat souhaité. Des services comme Google ou Bing supportent des filtres
composé de plusieurs couches qui se combinent et effectuent des pour affiner les recherches1 et récupérer exactement le type d'information qui
opérations avec l'entrée. • Motifs de suivi : À la différence de la détection nous intéresse. Par exemple,
, exactes,l'utilisation
OU et ET de « » permet
agissent commedesdes
correspondances
opérateurs
d'anomalies, la reconnaissance de formes est un processus de détection de logiques, ou des caractères génériques. Il permet également l'introduction de
*
régularités dans les données [61]. Les méthodes mentionnées ci-dessus conditions telles que filetype pour spécifier un certain type de fichier, site pour
comme un
peuvent être incluses dans ce vaste concept de découverte de limiter les résultats à ceux d'un site Web spécifique ou intitle pour rechercher
connaissances. En fait, toute technique d'intelligence artificielle est adaptée des pages contenant certains mots-clés dans leur titre. Le TABLEAU 2 contient
à l'extraction de connaissances de données ouvertes. certains opérateurs qui peuvent être utilisés pour affiner les recherches
Google et Bing.
Ces techniques intelligentes permettent de déduire des problèmes

abstraits, complexes et juteux sur la cible qui ne sont pas explicitement Yahoo, à son tour, n'autorise pas les filtres spécifiques, mais nous pouvons
publiés sur Internet [62]. Cependant, ce processus pose plusieurs défis, restreindre la date, la langue ou le pays des résultats. Le cas du moteur de
résidant principalement dans la recherche et le développement de ce recherche DuckDuckGo est particulièrement intéressant car il ne suit pas
processus d'extraction de connaissances pour identifier, profiler ou surveiller l'utilisateur, ni ne cible l'adresse IP ou l'historique de recherche. Cette
les criminels, reconnaître et explorer les organisations malveillantes ou approche préservant la confidentialité rend les résultats homogènes pour tous
découvrir et attribuer des incidents cybernétiques. les utilisateurs, quels que soient leurs habitudes, leurs préférences, leur
De plus, plusieurs considérations de confidentialité surviennent en raison des emplacement ou leur historique de recherche.
puissantes inférences qui sont potentiellement réalisables. Les connaissances De plus, certains moteurs de recherche ont été conçus pour des territoires
extraites sur une personne, une entreprise ou des organisations peuvent être spécifiques. Yandex est bien connu en Russie et en Europe de l'Est et met en
particulièrement sensibles et leur manipulation entraîne indirectement des œuvre des opérateurs de recherche2 pour limiter la recherche par URL, type
problèmes éthiques et juridiques (spécifiquement abordés dans la SOUS- de fichier, langue, date, etc.
SECTION IX-F). En effet, nous ne devons jamais perdre de vue que ces Baidu est un autre service de recherche spécifique largement utilisé en Asie.
techniques pourraient même être utilisées à mauvais escient pour nuire Il comprend non seulement la barre de recherche par mot-clé typique, mais
directement à des personnes ou à des groupes (analyse plus approfondie des ressources supplémentaires dignes d'OSINT telles qu'un réseau social,
dans la SOUS-SECTION IX-G). une section de questions et réponses, une bibliothèque virtuelle ou une
encyclopédie, entre autres. Il existe aussi des moteurs de recherche pour la
V. TECHNIQUES ET SERVICES DE COLLECTE OSINT Comme il a été communauté arabe comme Yamli ou Eiktub, mais ils sont beaucoup moins
employés. Ce type de services est particulièrement intéressant dans les
démontré, OSINT est assez prometteur et puissant, mais sa mise en œuvre
enquêtes sur des personnes, des groupes et des entreprises appartenant à
est également difficile. . En fait,
des communautés spécifiques.
la première considération est qu'elle précise les données comme point de
Enfin, il est obligatoire de connaître les moteurs de recherche spécifiques
départ. Heureusement, le volume de données brutes n'est plus un problème
pour naviguer sur le Dark Web. Les enquêtes de l'OSINT contre le trafic de
de nos jours grâce à l'existence d'Internet. De plus, il existe également un
drogue, la pédopornographie, les ventes d'armes ou le terrorisme bénéficient
nombre croissant d'applications, connues dans ce contexte sous le nom de
grandement de l'exploration de ces ressources peu populaires. À cette fin,
services OSINT, qui facilitent précisément la collecte sur le Web.
Ahmia et Torch sont des moteurs de recherche disponibles pour une utilisation
au sein du réseau anonyme Tor [63]. Cependant, le chercheur devra composer
Dans ce qui suit, un résumé des techniques OSINT les plus courantes est
avec l'anonymat de ce réseau et de ces sites.
présenté. Dans chaque technique, les services OSINT associés les plus
remarquables au moment de la rédaction sont présentés, donnant des conseils
sur la façon d'exploiter efficacement leurs potentialités. Il convient de
B. RÉSEAUX SOCIAUX
mentionner que les services OSINT sont éphémères et peuvent même
augmenter ou diminuer. Au contraire, la technique OSINT est un concept plus De nos jours, l'exposition de la vie quotidienne des individus et des
large qui perdurera dans le temps. organisations dans les réseaux sociaux est évidente. Toute personne curieuse
a réalisé que beaucoup d'informations personnelles peuvent être trouvées
sans avoir besoin de connaissances avancées sur ces plateformes.
A. MOTEURS DE RECHERCHE Comme le montre le TABLEAU 3, ces applications offrent des possibilités de
recherche précises dans le cadre de l'OSINT. Ensuite, nous décrivons certains
Les moteurs de recherche Google, Bing ou Yahoo, entre autres, sont des
des réseaux sociaux les plus connus et les plus utilisés dans le monde.
outils bien connus et largement utilisés. Leur utilisation traditionnelle est le
moyen le plus simple d'appliquer OSINT. Ces moteurs recherchent dans le
1https://support.google.com/websearch/answer/2466433
World Wide Web à partir d'une requête textuelle essayant de fournir des 2https://yandex.com/support/search/query-language/opérateurs
informations qui correspondent à l'entrée, de recherche.html
VOLUME 4, 2016 sept
MachineCetTranslated by Google
article a été accepté pour publication dans un prochain numéro de cette revue, mais n'a pas été entièrement édité. Le contenu peut changer avant la publication finale. Informations sur la citationÿ: DOI
Filtre Google/Bing Opérateur de recherche Exemple d'utilisation

""
Forcer une recherche de correspondance exacte "Université de Murcie"
-
Exclure un terme ou une expression université murcie-catholique
Rechercher X ou Y OU,| université murcie|carthagène
Rechercher X et Y (utilisé par défaut) ET université ET de ET murcie
Utilisation d'un joker * Université de *
Rechercher une plage de nombres .. université murcie 2010..2019
Termes de groupe ou opérateurs de recherche () “université de (murcie|carthagène)”
Rechercher dans un domaine donné siteÿ: site de l'université de murcie:um.es
Rechercher un certain type de fichier type de fichierÿ: type de fichier de l'université de murcieÿ: pdf
Rechercher dans les titres de page intitleÿ: inurlÿ: titre universitaireÿ: umu
Rechercher dans les URL intextÿ: inurl universitaire: um
Rechercher dans le texte des pages contexte universitaire:murcie
Rechercher la version en cache la plus récente d'un cache de pageÿ: cache:um.es
TABLEAU 2 : Quelques filtres Google/Bing pour la recherche avancée
Réseau social Taper Portée Potentiel principal pour OSINT

4chan Communauté en ligne dans le monde entier Utilisateurs intéressés par des activités illicites
Badoo Sortir ensemble
À l'échelle mondiale Détails intimes et personnels
Cloob Liens sociaux Iran Profil personnel, publication et appartenance à la communauté
Amis Liens sociaux Lettonie Profil personnel, publications dans des blogs, appartenance à un groupe
Facebook Connexions sociales dans le monde Profil personnel, préférences et lieux visités
Facenama Liens sociaux Iran Profil personnel, publications, photos et vidéos
Flickr Partage de photos À l'échelle mondiale Activités, passe-temps, lieux et relations personnelles
Instagram Connexions sociales dans le monde Habitudes, lieux et relations personnelles
LinkedIn Mixi Entreprise À l'échelle mondiale Profil professionnel, formation, compétences et langues
Odnoklassniki Liens sociaux Japon Profil personnel, intérêts et opinions
Qzone Reddit Liens sociaux Principalement la Russie Profil personnel des adultes, amitiés passées et présentes
Renren Taringa! Liens sociaux Principalement la Chine Profil personnel, préférences, habitudes
Communauté en ligne dans le monde entier Tendances, comportements et publications des utilisateurs
Liens sociaux Principalement la Chine Profil personnel des étudiants, amitiés et discussions
Liens sociaux Principalement Amérique latine Profil personnel, publications et appartenance à la communauté
Tinder Sortir ensemble
À l'échelle mondiale Détails intimes et personnels
Tumblr Partage de photos À l'échelle mondiale Activités, passe-temps, lieux et relations personnelles
Twitter Connexions sociales dans le monde Profil personnel, opinions et publications
VKontakte (VK) Connexions sociales Principalement la Russie Weibo Profil personnel, préférences et publications
Connexions sociales Principalement
vidéos Dans la
le Chine
mondeYouTube
entier Partage de Profil personnel, opinions et publications
Contenu vidéo, avis et commentaires des abonnés
TABLEAU 3 : Potentiel des différents réseaux sociaux
Facebook est un réseau social répandu dans le monde entier avec scènes, lieux et personnes apparaissant dans les vidéos), mais aussi
millions d'utilisateurs. Il pourrait être considéré comme un journal de société, avis et commentaires des abonnés.
où l'on peut trouver des informations personnelles très précieuses pour Twitter est principalement utilisé pour la communication en direct où il
Enquêtes OSINT. Le profil de notre cible peut révéler est courant de trouver des publications personnelles par le biais d'un ordre
son emploi, son éducation, son âge, son emplacement, les lieux visités ou chronologie. Outre les informations personnelles révélées par le
groupes aimés, entre autres. Les photos et publications peuvent profil, il est particulièrement intéressant l'extraction des avis des tweets
nous aident également à contextualiser l'entreprise ou la personne que nous sommes publiés, les relations avec les suivis
enquête, les zones qu'il fréquente ou le type d'activités et les utilisateurs suiveurs ou similaires dans certaines publications. De
il/elle se rend compte. De plus, il est également possible de rechercher par ce type d'interactions, un enquêteur OSINT peut déduire
emplacement lorsque le vrai nom n'est pas connu, pouvoir orientation de la cible sur certains enjeux, les intérêts et
finalement trouver le profil de notre cible. préférences d'une organisation, ou le degré de dangerosité d'une personne
YouTube est une plate-forme vidéo où de grandes communautés pourrait être. De plus, une interface conviviale3 est disponible
sont conformés autour d'intérêts communs. Ce n'est pas seulement précieux
3
le contenu téléchargé par un utilisateur spécifique (thèmes, images, twitter.com/recherche-avancée
8 VOLUME 4, 2016
où il est possible de rechercher sur l'ensemble de la plateforme par mots-clés, menées pour découvrir les relations interpersonnelles du passé à aujourd'hui.
phrases exactes, hashtags, langue, date, etc. Ainsi, on peut même définir des
explorations à travers des utilisateurs, des mentions ou des réponses. Au Japon, Mixi est un site de réseautage social très courant dans la société.
Outre les fonctionnalités typiques, nous pourrions souligner la possibilité de
Instagram est également répandu dans la société moderne comme moyen faire des critiques de produits, de créer des blogs personnels au sein de la
de partage de photos. Les lieux, personnes et activités représentés en images plateforme, de participer à des communautés ou de gérer les préférences
peuvent également nous aider à profiler notre cible. musicales et les habitudes d'écoute.
La localisation est une donnée assez sensible qui est fréquemment partagée Pour les pays hispanophones, spécialement l'Amérique latine, Taringa ! est
sur cette plateforme. En ce sens, on peut également citer des services de une plate-forme sociale bien connue pour partager des photos, des vidéos et
partage de photos plus spécifiques comme Tumblr ou Flickr. des nouvelles avec des amis. De plus, les utilisateurs peuvent créer des
LinkedIn est le site le plus populaire dans le contexte des réseaux sociaux communautés, jouer à des jeux en ligne ou partager de la musique.
liés aux affaires. Il permet une recherche par nom réel, entreprise, organisation, Enfin, en raison de la censure existante avec des services externes, en
titre ou lieu. Dans ce cas, les profils professionnels peuvent révéler des Iran les réseaux sociaux locaux les plus populaires sont Face nama et Cloob.
coordonnées complètes, y compris des adresses e-mail et des numéros de Le premier est principalement utilisé pour partager des publications, des
téléphone portable. De plus, nous pouvons également extraire des informations photos et des vidéos tandis que le second comprend des discussions
sur l'emploi, l'éducation, les compétences, les langues et les relations d'affaires. communautaires, le partage de photos, la publication ou des salles de
discussion. Quelque chose de similaire à propos de la censure se produit en
Il convient également de considérer les sites de rencontres utilisés pour Lettonie, où Draugiem est largement utilisé pour partager des contenus et communiquer en
contacter les personnes à la recherche d'un partenaire. Contrairement à
d'autres réseaux sociaux, où de nombreux utilisateurs restreignent leurs C. TECHNIQUE D'ADRESSE E-MAIL
données personnelles, des aspects plus intimes sont généralement révélés ici. La recherche par le vrai nom d'une personne peut être frustrante en raison
Pour cette raison, des services comme Tinder ou Badoo sont utiles pour des noms potentiellement dupliqués, il est donc parfois utile de commencer à
enquêter sur les informations de fond, le caractère personnel, les intérêts, les partir d'une adresse e-mail unique et d'obtenir de bien meilleurs résultats à un
préférences ou le comportement de la cible. rythme plus rapide. Il existe des services OSINT intéressants, comme indiqué
Enfin, il est possible de parcourir des communautés en ligne qui ressemblent dans le TABLEAU 4, qui fonctionnent avec une adresse e-mail en entrée.
beaucoup aux réseaux sociaux. Les messages et les sujets de ces forums
génèrent des interactions intéressantes à analyser par OSINT [64]. Reddit ou Tout d'abord, Hunter peut être utilisé pour déterminer si une adresse e-mail
4chan sont de grandes communautés qui hébergent d'innombrables fils de est valide ou non. Ensuite, Have I Been Pwned informe si une adresse e-mail
discussion et d'opinion où des informations vraiment personnelles et privées donnée est contenue dans des violations publiques (de sorte qu'elle a été
sur la cible peuvent être identifiées. Cependant, sur ces sites Web, les compromise à un moment donné).
utilisateurs sont généralement anonymes. De plus, il n'est pas rare de trouver Notamment, il convient de mentionner que l'enquêteur peut parcourir la liste
des contenus illicites d'intimidation, de pornographie ou de menaces. des sites où l'adresse e-mail a été compromise. Ces services sont des sources
potentielles pour trouver des informations publiques sur le propriétaire. Une
D'autre part, il existe également des réseaux sociaux qui sont généralement autre page intéressante est Pipl, qui fonctionne très bien pour trouver des
utilisés dans des régions spécifiques. Les services suivants sont particulièrement informations sur le propriétaire d'une adresse e-mail telles que le vrai nom, les
importants dans certains pays. noms d'utilisateur, l'adresse, le numéro de téléphone, l'éducation, la carrière
Qzone, Weibo et Renren sont parmi les réseaux sociaux les plus utilisés professionnelle, etc.
en Chine. La première est une plate-forme très personnalisable où les
utilisateurs publient des blogs, des journaux, des photos ou de la musique qui
révèlent des détails sur la personne. Le second a des fonctionnalités similaires D. TECHNIQUE DU NOM
à Twitter, mais comprend également des sondages, le partage de fichiers et D'UTILISATEUR Les surnoms utilisés pour les services en ligne sont
des histoires (partage temporel de photos et de vidéos). Le dernier est répandu également un bon moyen de collecter des informations sur une personne,
parmi les étudiants. Les enquêtes OSINT dont la cible est une personne comme le montre le TABLEAU 5. La visite de ces services permettra à un
chinoise peuvent tirer un profit précieux de ces sites. enquêteur de vérifier automatiquement un nom d'utilisateur sur plusieurs sites
Web en même temps pour en identifier d'autres. sources d'information.
Il existe également des réseaux sociaux pour interconnecter les compatriotes Les services KnowEm, Name Chk, Name Checkr ou User Search vérifient
russes et les citoyens d'Europe de l'Est. À cet égard, VKontakte, également la présence d'un nom d'utilisateur donné sur les réseaux sociaux et les
connu sous le nom de VK, est très populaire. Les fonctionnalités, et même domaines les plus populaires.
l'apparence, sont assez similaires à Face book. Les utilisateurs peuvent rester NameVine, à son tour, fournit une fonctionnalité intéressante qui aide à
impliqués avec des amis, participer à des communautés en ligne, publier des deviner un nom d'utilisateur exact. Concrètement, il propose des profils pour
messages, des photos et des vidéos sur des pages privées ou publiques, et les dix premiers réseaux sociaux qui correspondent partiellement au nom
même partager des fichiers. Un autre site russe à souligner est Odnoklassniki, d'utilisateur donné. Cette solution en temps réel offre une vérification rapide
principalement utilisé par les adultes. En fait, le but principal de ses utilisateurs des variantes de nom d'utilisateur (par exemple, en changeant le numéro final
est d'avoir un profil en ligne, de rester en contact avec des amitiés réelles et du surnom) au lieu de lancer des requêtes chronophages à plusieurs reprises
de rechercher d'anciens compagnons ou d'anciens amis. En ce sens, OSINT avec d'autres services.
peut être
VOLUME 4, 2016 9
Adresse e-mail Service OSINT URL Sortie principale

Chasseur chasseur.io Validité et disponibilité
Ai-je été pwned haveibeenpwned.com Apparition dans les violations de données publiques
Pipl pipl.com Informations personnelles sur le propriétaire
TABLEAU 4 : Utilité des services OSINT appartenant à la technique des adresses e-mail
Service OSINT URL Sortie principale

KnowEm knowem.com
Nom Chk namechk.com Présence dans les réseaux sociaux, domaines
Vérificateur de nom namecheckr.com et les communautés en ligne
Recherche d'utilisateurs usersearch.org
NomVine namevine.com Suggestions d'autres noms d'utilisateur similaires
Lullaire com.lullar.com Disponibilité sur les réseaux sociaux
TABLEAU 5 : Utilité des services OSINT appartenant à la technique username
Le site Lullar utilise une approche différente. Il génère automatiquement recherches en fournissant des informations sur la parenté. Découvrir la
des URL pour visiter le profil du nom d'utilisateur dans les liens familiaux de notre cible élargissent la quantité d'informations
différents réseaux sociaux sans vérifier s'ils existent. Si nous pouvons dévoiler, dans ce cas indirectement.
un lien fonctionne, alors le profil existe pour ce réseau social,
alors que s'il est cassé, cela signifie évidemment le contraire. Dans F. TECHNIQUE DE LOCALISATION
en plus d'accélérer la vérification manuelle, le plus utile La recherche des lieux fréquentés par notre cible peut nous donner
l'application serait d'explorer les noms d'utilisateur possibles lorsque le des indications sur ses habitudes et son contexte. C'est aussi intéressant
celui que nous avons est douteux ou partiel. Lorsque l'URL initiale connaître la localisation géographique d'une entreprise ou le lieu
échoue, des utilisateurs similaires ou alternatifs sont souvent répertoriés par le réseau social où un événement s'est produit. En ce sens, des images, des adresses
réseaux permettant d'identifier l'ensemble de l'existant et les coordonnées GPS sont des données intéressantes à obtenir. TABLEAU 7
Nom d'utilisateur.
montre quelques services qui sont particulièrement destinés à ces
fins.
E. TECHNIQUE DU VRAI NOM Google Maps, Wikimapia ou Bing Maps sont bien connus
La recherche d'un nom réel cible peut également donner de bons résultats, car sites pour connaître les emplacements à partir des coordonnées GPS. De l'autre
indiqué dans le TABLEAU 6. Outre les réseaux sociaux, notamment d'autre part, il est également possible d'obtenir inversement de telles informations
les services sont capables de révéler les adresses domiciliaires, les numéros de téléphone à partir d'un nom de lieu aux coordonnées GPS.
numéros, comptes de messagerie, noms d'utilisateur, entre autres. A noter que les images proposées par les services commentés
Nous pourrions souligner Pipl comme le site Web qui revient le plus sont continuellement mis à jour. Cependant, nous pourrions être intéressés
informations données par un nom et un prénom. En raison d'éventuelles dans la récupération d'anciennes images de situations passées. Antennes historiques,
plusieurs résultats pour le même vrai nom, il est possible d'affiner Les serveurs Terra ou Land Viewer intègrent des images historiques
la recherche en incluant des aspects supplémentaires de la personne tels des fonctionnalités pour découvrir précisément les vues passées et obsolètes
comme e-mail, téléphone, pays, état, ville, nom d'utilisateur ou âge. d'emplacements.
That's Them propose également une sortie remarquable contenant

numéro de téléphone, adresse e-mail, résidence, adresse IP associée, G. TECHNIQUE D'ADRESSE IP
situation économique, formation, profession ou langue. Les adresses IP sont obtenues à partir d'enquêtes sur les cyberattaques,
Un autre service bien connu est Spokeo, dont la version gratuite adresses e-mail ou connexions sur Internet. Elles sont
est réduit pour afficher le nom complet, le sexe, l'âge, les villes précédentes également crucial pour l'analyse médico-légale numérique afin de collecter
et états de résidence et parents. Des informations plus détaillées sur la cible autant d'informations que possible sur un incident. TABLEAU 8
nécessitent de payer un abonnement premium, ce qui est hors de notre résume quelques services qui facilitent ces tâches.
portée. Des services similaires seraient Le service IP Location obtient, à partir d'une adresse IP donnée,
Recherche rapide de personnes, Nuwber, Cubib ou Peek You. aspects de haut niveau tels que l'emplacement (latitude et longitude),
Les services susmentionnés fonctionnent correctement pour les États-Unis pays, région, ville, nom de domaine ou ISP (Internet Service
États, mais si nous voulons appliquer OSINT à une cible qui vit Fournisseur). Si nous sommes intéressés par des faits spécifiques, le site Web
dans un autre pays, l'utilisation de Yasni est plus appropriée. ViewDNS fournit plus d'informations techniques en dehors du
Cependant, les résultats obtenus sont des liens liés au social Emplacement IP. Elle comprend notamment des services d'affichage
réseaux, adresses et contacts personnels, formation et les informations d'enregistrement du nom de domaine associé,
recueil. montrant des domaines supplémentaires hébergés sur l'adresse IP, découvrant
Services de généalogie comme Family Search, Family Tree Now, des ports communs qui peuvent être ouverts et des services en cours d'exécution
GENi ou True People Search couvrent un autre point de vue dans sur eux, ou voir le chemin réseau de ViewDNS au
dix VOLUME 4, 2016
MachineCetTranslated by Google
article a été accepté pour publication dans un prochain numéro de cette revue, mais n'a pas été entièrement édité. Le contenu peut changer avant la publication finale. Informations sur la citationÿ: DOI
Nom réel du service OSINT URL Sortie principale
Pipl pipl.com Renseignements personnels

C'est eux thatsthem.com
Spokéo speako.com
Recherche rapide de personnes fastpeoplesearch.com Données personnelles, formation, carrière professionnelle,
Nombre nuwber.com les compétences, les lieux et les proches.
Cubib cubib.com
Jetez-vous un coup d'oeil
coucou.com
Yasni yasni.com Profils des réseaux sociaux
Recherche de famille familysearch.org
Génie geni.com
Informations sur la parenté, parents
Arbre généalogique maintenant familytreenow.com
Recherche de vraies personnes truepeoplesearch.com
TABLEAU 6 : Utilité des services OSINT appartenant à la technique du nom réel
Service de localisation OSINT URL Sortie principale
Google Maps google.com/maps

Wikimap wikimapia.org bing.com/ Emplacements à partir des coordonnées GPS
Cartes Bing maps

Les coordonnées GPS coordonnées-gps.net Coordonnées GPS de l'emplacement
Antennes historiques antenneshistoriques.com
Serveurs Terra terraserver.com Images historiques du passé
Visionneuse de terrain eos.com
TABLEAU 7 : Utilité des services OSINT appartenant à la technique de localisation
Adresse IP Service OSINT URL Sortie principale

Emplacement iplocation.net viewdns.info Emplacement, domaine et FAI
IP ViewDNS thatsthem.com/reverse-ip- Informations techniques basées sur le réseau
C'est eux Je lookup Informations individuelles ou sur l'entreprise
sais ce que vous téléchargez iknowwhatyoudownload.com Fichiers torrents
TABLEAU 8 : Utilité des services OSINT appartenant à la technique des adresses IP
cibler l'adresse IP et analyser les réseaux associés, les routeurs, DNS Trails extrait les enregistrements DNS, mais identifie également les
et serveurs. nombre de domaines supplémentaires liés aux résultats rencontrés. Dans
Néanmoins, les ressources précédentes fournissent des données qui cette mesure, c'est un moyen très utile de trouver
n'est pas de nature sensible ou personnelle. Au contraire, relations et connexions. Whoisoly affiche également une vue de référence
That's Them offre des informations intéressantes sur les gens, croisée à partir du nom, de l'adresse, du téléphone du propriétaire
adresses personnelles, entreprises ou adresses e-mail liées à numéro ou adresse e-mail.
l'adresse IP donnée.
Un autre service puissant est Wayback Machine, qui effectue
Un autre service puissant fournissant des informations personnelles
périodiquement des sauvegardes de nombreux sites Web de l'ensemble
est je sais ce que vous téléchargez. Ce service surveille en ligne
L'Internet. Cela permet à un enquêteur d'analyser l'évolution
torrents et divulgue les fichiers associés à toute collecte
et les changements d'un site Web, pouvoir le voir pour des raisons particulières
Adresses IP. Les fichiers téléchargés par notre cible pourraient révéler captures d'écran datées dans le temps.
des informations vraiment sensibles sur son comportement ou ses centres d'intérêt.
De plus, il est possible de visualiser les connexions de domaine
H. TECHNIQUE DES NOMS DE DOMAINE via Visual Site Mapper ou Threat Crowd. Vérification du DNS
et les serveurs de messagerie est également utile en visitant Whois, qui
Un point d'intérêt typique dans les enquêtes OSINT est le Web
offre une fonctionnalité de ping pour vérifier la connectivité
pages. Ils peuvent révéler des informations intéressantes sur notre
et une fonctionnalité de traceroute pour étudier le chemin des données vers
cible, surtout s'il s'agit d'une personne ou d'un
le domaine donné. Il existe également des services comme Alexa et
compagnie. Il est à noter que la majorité des techniques SimilarWeb qui calcule la statique du trafic et d'autres comme
qui sont expliqués pour les adresses IP conviennent également dans ce FindSubdomains qui recherche des sous-domaines.
le contexte. En plus d'eux, nous pouvons souligner quelques autres
services tels que présentés dans le TABLEAU 9.
VOLUME 4, 2016 11
Service OSINT de nom de domaine URL Sortie principale

Pistes DNS securitytrails.com/dns-trails Enregistrements DNS et domaines associés
Whoisoly whoisology.com Informations personnelles ou d'entreprise
Machine de retour web.archive.org/web Sauvegardes de sites Web
Cartographe visuel du site visualsitemapper.com menacecrowd.org
Carte des sous-domaines
Foule de menaces
Qui est qui est Informations d'enregistrement et enregistrements DNS
Alexa alexa.com
Statique du trafic
SimilaireWeb similarweb.com
Rechercher des sous-domaines findsubdomains.com Sous-domaines
TABLEAU 9 : Utilité des services OSINT appartenant à la technique des noms de domaine
Saisir
Outil OSINT Production Extensibilité Interface Plateforme Autre caractéristique
Identité Réseau Sélectionnable
Données de fichier
Les données Les données la source de données
Google, Informations d'identité,

Nom de fichier, Autonome Découverte de serveur
SCELLER ÿ Domaine Bin, Infos réseau, ÿ les fenêtres
Dossier programme module
CanardCanardAller Informations sur le fichier
Emplacement,
Personnel
Informations d'identité, Linux, Saisie automatique/
informations, Personnalisé Autonome
maltais Domaine URL du fichier ÿ Infos réseau, Les fenêtres, réalimentation en sortie,
compagnie, se transforme programme
Informations sur le fichier MAC Résulte en
communauté
graphique orienté
Infos réseau, Commande Linux, Possibilité de réduire
Sur la métagophy ÿ Domaine Type de fichier ÿ ÿ
Informations sur le fichier ligne les fenêtres résultats
Emplacement,
Informations d'identité,
Personnel Commande modules pour
Recon-NG Domaine ÿ Plusieurs Infos réseau, ÿ Linux
informations ligne découverte et
Informations sur le fichier
exploitation
en fonctionnement
Pays, système,
Réseau la toile Emplacement,
Shodan Ville, Adresse IP, ÿ ÿ ÿ En ligne
Info interface Captures de webcam
Mot-clé Port,
Nom d'hôte
Domaine, Différents types

E-mail, Linux,
Adresse IP, Personnalisé la toile de numérisation,
Pied d'araignée Vrai nom, ÿ Plusieurs Infos réseau Les fenêtres,
Sous-réseau, modules interface Résulte en
Numéro de téléphone MAC
Nom d'hôte graphique orienté
Linux, Résultats dans des rapports,
Domaine, Informations d'identité, Commande
Le Moissonneur Compagnie ÿ Plusieurs ÿ Les fenêtres, Possibilité de réduire
Serveur dns Infos réseau ligne
MAC fichiers et résultats
Personnel Emplacement,
Nom de fichier,
informations, Domaine, Informations d'identité, la toile Archives publiques,
IntelTechniques Type de fichier, Plusieurs ÿ En ligne
compagnie, Adresse IP Infos réseau interface OSINT virtuel
URL du fichier
communauté machine
TABLEAU 10 : Principales caractéristiques des outils OSINT sélectionnés
VI. OUTILS OSINT et les outils OSINT pertinents aujourd'hui. Nous indiquons le type de
Une utilisation manuelle de certaines techniques suffirait pour entrées et sorties qu'ils permettent, la capacité d'inclure
recherches de base. Malheureusement, l'utilisation de quelques services peut les fonctionnalités personnalisées, le type d'interface utilisateur, la plateforme
ne pas être efficace pour les enquêtes difficiles. Dans ce sens, de fonctionnement et d'autres caractéristiques diverses intéressantes.
le potentiel d'OSINT réside dans l'utilisation d'autant de services que Néanmoins, il existe de nombreuses applications OSINT dans le
possible de manière concaténée. Suivre les workflows littérature accessible sur OSINT framework4 .
à plusieurs reprises étendra les informations disponibles pour mettre tous les
pièces du puzzle ensemble. Cependant, ce n'est pas pratique pour UN JOINT
l'utilisateur final de combiner manuellement plusieurs techniques OSINT La principale contribution de FOCA5 (Fingerprinting Organisations with
et leurs services associés. Une tâche aussi fastidieuse impliquerait
Collected Archives), conçue par ElevenPaths,
longs processus de recherche. est l'extraction et l'analyse des métadonnées présentes dans
Pour cela, chercheurs et développeurs ont mis en place des outils plus
documents électroniques. Cette application peut être utilisée à la fois pour
précis d'application des techniques OSINT
fichiers locaux présents dans notre ordinateur et documents externes
automatiquement et en recueillant des informations de meilleure qualité
qui sont téléchargés à partir d'une page Web spécifiée à l'aide de trois
de nombreuses sources différentes, mettant en œuvre plusieurs flux de travail
différents moteurs de recherche (Google, Bing et DuckDuckGo).
en interne et, par conséquent, obtenant davantage de récompenses
informations et de meilleures déductions. 4osintframework.com
Le TABLEAU 10 présente les principales caractéristiques des 5https://www.elevenpaths.com/es/labstools/foca-2
12 VOLUME 4, 2016
L'OFAC considère une grande variété de formats tels que Microsoft Office, • Machine : est un ensemble de transformations qui sont définies ensemble
PDF, Open Office, Adobe InDesign, fichiers SVG, etc. pour être exécutées afin d'automatiser et de concaténer de longs
Cette application extrait les informations cachées des fichiers et les traite processus de recherche.
pour montrer à l'utilisateur les aspects pertinents. Certains des détails • Hub Item : est un groupe de transformations et de types d'entités utilisés
découverts avec cette procédure sont le nom des ordinateurs liés aux pour permettre aux utilisateurs de la communauté de les réutiliser. Par
documents, l'emplacement où les documents ont été créés, les systèmes défaut, Maltego implémente l'élément de hub appelé "Pa terva CTAS"
d'exploitation utilisés, les noms réels et les adresses e-mail des utilisateurs qui contient les entités, les transformations et les machines gérées par
associés, les données sur les serveurs, la date de création de les documents, les développeurs officiels. De plus, il est possible de créer et d'installer
la plage d'adresses IP des réseaux internes, etc. En conséquence, une carte des éléments de hub tiers.
du réseau peut être dessinée sur la base des métadonnées extraites pour
reconnaître la cible. C. METAGOOFIL
Metagoofil7 fonctionne de manière similaire à FOCA. Il s'agit d'un outil de
FOCA comprend en outre un module de découverte de serveur pour collecte qui télécharge des fichiers publics trouvés dans un domaine ou une
compléter l'analyse des métadonnées des documents. Certaines techniques URL cible et extrait leurs métadonnées pour générer des connaissances. Il
utilisées dans cet outil sont : (i) Recherche Web pour rechercher des hôtes et génère un rapport utile pour les pentesters avec des noms d'utilisateur, des
des noms de domaine via des URL associées au domaine donné ; (ii) noms réels, des versions de logiciels et des noms de serveurs ou de
Recherche DNS pour découvrir de nouveaux hôtes et noms de domaine via machines. Il peut également trouver d'autres documents qui pourraient contenir des resso
les serveurs NS, MX et SPFÿ; (iii) des noms.
Résolution IP pour obtenir les adresses IP des hôtes rencontrés via le DNSÿ;
Bien qu'il s'agisse d'une fonctionnalité de ligne de commande, certaines
(iv) Analyse PTR pour trouver plus de serveurs dans un segment de réseau
options intéressantes en faveur des investigations OSINT sont autorisées.
découvertÿ; (v) Bing IP pour extraire les nouveaux noms de domaine associés
En plus de spécifier le domaine cible ou le dossier local à analyser, Metagoofil
aux adresses IP rencontrées.
permet de filtrer les types de fichiers (pdf, doc, xls, ppt, odp, ods, docx, xlsx,
pptx), d'affiner les résultats à rechercher et le nombre de documents à
Cet outil est généralement utilisé dans le secteur de la sécurité car il télécharger , en déterminant le répertoire de travail dans lequel les fichiers
permet de tester une entreprise. En fait, il est capable de produire de très téléchargés sont enregistrés ou en sélectionnant le fichier pour écrire la sortie.
bons résultats car les entreprises ne nettoient généralement pas les
métadonnées des fichiers téléchargés sur le réseau.
D. RECON-NG
B. MALTÉGO
Recon-NG8 est un framework de reconnaissance web similaire à Metas
Maltego6 est une application bien connue qui trouve automatiquement des ploit9 . Il présente une interface de ligne de commande qui permet de
informations publiques sur une certaine cible dans différentes sources sélectionner un module à utiliser, qui est essentiellement une ressource
(enregistrements DNS, enregistrements Whois, moteurs de recherche, OSINT. Ensuite, nous définissons quelques paramètres si nécessaire et
réseaux sociaux, diverses API en ligne, métadonnées de fichiers, etc.). Les
lançons le processus. Les résultats des recherches sont sauvegardés en
relations entre les éléments d'intérêt trouvés sont représentées sous la forme
continu dans un espace de travail qui alimente à son tour les prochaines
d'un graphique orienté pour son analyse. Cet outil définit quatre concepts étapes du processus.
principauxÿ:
Cet outil comprend plusieurs modules indépendants qui implémentent
• Entité : est un nœud du graphe représentant l'information découverte. différentes fonctionnalités. Par exemple, les modules Bing Domain Web et
Certaines entités par défaut sont le nom réel, l'adresse e-mail, le nom Google Site Web recherchent respectivement dans les moteurs de recherche
d'utilisateur, le profil de réseau social, l'entreprise, l'organisation, le site Bing et Google les hôtes connectés aux domaines de l'espace de travail ;
Web, le document, l'affiliation, le domaine, le nom DNS, l'adresse IP, PGP Search analyse les domaines stockés pour trouver les adresses e-mail
etc. De plus, nous pourrions également définir des entités personnalisées associées aux clés PGP publiquesÿ; Full Contact rassemble les utilisateurs
pour notre enquête spécifique. • Transform : est un morceau de code et les profils de réseaux sociaux correspondants dans sa base de données
qui est appliqué à une entité pour découvrir une nouvelle entité liée. en tenant compte des contacts stockésÿ; ou Profiler recherche des services
Par exemple, la transformation "To IP Address" qui résout un nom DNS en ligne supplémentaires qui possèdent des comptes avec les mêmes noms
en une adresse IP, pourrait être appliquée à une entité de nom de d'utilisateur que ceux de l'espace de travail.
domaine "um.es" pour créer une nouvelle entité d'adresse IP
Recon-NG agglutine en permanence dans une base de données locale
"155.54.212.103". Récursivement, nous continuerions d'appliquer plus toutes les informations obtenues. De cette façon, l'utilisateur oriente la
de transformations, propageant le processus de recherche. Outre les recherche en sélectionnant le module indiqué et l'outil automatise la génération
transformations par défaut, il est également possible d'implémenter et de connaissances à partir de là.
d'inclure des transformations personnalisées à des fins plus spécifiques. Le système évolue remarquablement pour les enquêtes complexes.
7https://github.com/laramies/metagoofil
8https://bitbucket.org/LaNMaSteR53/recon-ng/wiki/browse
6https://www.paterva.com/web7/buy/maltego-clients.php 9https://www.metasploit.com/
VOLUME 4, 2016 13
E. SHODAN les noms de l'entreprise, ainsi que les sous-domaines, adresses IP et URL liés
Shodan10 est un moteur de recherche qui fournit des informations publiques au domaine. Il permet également des représentations HTML ou XML conviviales
sur les nœuds connectés à Internet, y compris les appareils IoT. Cela inclut les des résultats. Cette ressource est utilisée dans les premières étapes d'un test
serveurs, les routeurs, les périphériques de stockage en ligne, les caméras de d'intrusion.
surveillance, les webcams ou les systèmes VoIP, entre autres. La mémorisation Cet outil est géré depuis la console et implémente deux options lors de
des données s'effectue via des protocoles tels que HTTP ou SSH, permettant à l'analyse de notre site Web cible. D'une part, The Harvester représente le script
l'utilisateur d'effectuer une recherche par adresse IP, organisation, nom de pays original qui fournit en fait la liste des adresses e-mail associées, tandis que,
ou ville. d'autre part, EmailHarvester améliore la procédure en creusant plus
Cet outil est principalement utilisé pour la sécurité du réseau (pour trouver profondément pour de meilleurs résultats.
les appareils exposés à l'extérieur ou détecter les vulnérabilités des services
accessibles au public), l'internet des objets (pour surveiller l'utilisation croissante
des appareils intelligents et leur emplacement dans la géographie mondiale) et H. INTELTECHNIQUES
le suivi des ransomwares ( pour mesurer l'infection provoquée par ce type IntelTechniques13 est un outil, créé par Michael Bazzel, qui propose des
d'attaque). Il permet de télécharger les résultats aux formats JSON, CSV ou centaines d'utilitaires de recherche en ligne regroupés par technique.
XML, ainsi que de générer des rapports conviviaux.
Lors de son utilisation, l'enquêteur sélectionne les services à En plus de la
fonctionnalité mentionnée, il y en a deux utilisés et cet outil crée automatiquement les
(maps.shodan.io),
services premium
liens.
de requête
Ensuite, associés,
l'utilisateurà peut
savoir:
lesShodan
saisir dans
Mapsle navigateur
pour permettre des enquêtes basées sur des emplacements, et Shodan Images lance affichant
les requêtes.
les images
Cependant,
collectées
la visualisation
à partir desetinformations
la collecte (images.shodan.io)
sont toujours manuelles.
appareils publics.
Malgré le fait qu'il ne met pas en œuvre une intégration automatique des
services, nous avons considéré InterTechniques comme un outil OSINT qui
facilite le lancement de recherches vers une large gamme de services à partir
F. PIED D'ARAIGNÉE
Spiderfoot11 est un autre outil de reconnaissance qui parcourt automatiquement d'une plateforme centralisée.
de nombreuses sources de données publiques pour compiler les informations. Malheureusement, cet outil a cessé d'être gratuit et a bloqué son
Notre entrée peut être une adresse IP, un sous-réseau, un nom de domaine, accès ouvert à partir de juillet 2019 en raison de cyberattaques constantes.
une adresse e-mail, un nom d'hôte, un vrai nom ou un numéro de téléphone.

Les résultats sont représentés dans un graphe de nœuds avec toutes les entités I. COMPARAISON DES OUTILS OSINT
et relations trouvées. Selon les besoins de l'utilisateur (voir TABLEAU 10), certains outils seront plus
Selon le type d'entrée introduit, cet outil sélectionne de manière autonome adaptés que d'autres pour une tâche donnée.
les modules (équivalents aux transformées de Maltego) à activer pour une Ainsi, si nous avons l'intention d'extraire des informations cachées de
reconnaissance plus efficace. fichiers, l'OFAC et Metagoofil sont des outils spécifiques conçus à cet effet. En
De plus, il prend également en compte le niveau de recherche sélectionné par particulier, le premier produit semble plus complet, mature et puissant que le
l'utilisateur. Spiderfoot propose quatre types de scans : (i) Passif collecte autant second. L'OFAC présente des fonctionnalités supplémentaires, outre l'analyse
d'informations que possible sans toucher le site cible, évitant d'être dévoilé par des métadonnées des fichiers, pour compléter les informations cachées. En
la cible ; (ii) conséquence, il est capable de déduire plus de connaissances sur la cible.
Investigate effectue une analyse de base afin de découvrir la méchanceté de la
cibleÿ; (iii) Footprint identifie la topologie du réseau de la cible et rassemble des Pourtant, si nous recherchons des informations sur le réseau, Shodan,
informations à partir du Web et des moteurs de recherche, suffisantes pour les Spiderfoot et The Harvester sont des options recommandées pour cette tâche
enquêtes standardÿ; et (iv) Tous, ce qui est conseillé pour les enquêtes particulière. D'une part, nous suggérons Spiderfoot pour analyser la topologie
détaillées, même si cela prend beaucoup de temps, car il consulte absolument de la cible et récupérer des informations internes (mais publiques) sur
toutes les ressources possibles liées à la cible. l'organisation cible. D'autre part, nous compléterions les résultats avec Shodan
pour inclure des informations spécifiques sur les appareils IoT, les caméras de
Cet outil pourrait être utilisé pour lancer des tests d'intrusion afin de révéler surveillance, les webcams, les systèmes VoIP ou les services intelligents en
des fuites de données et des vulnérabilités, des défis d'équipe rouge ou pour général.
prendre en charge des renseignements sur les menaces. De plus, il est à noter
qu'il est possible de programmer des modules Spiderfoot personnalisés. Enfin, si le but de la recherche est de rassembler le plus d'informations
possible pour une entrée donnée, les ressources Recon-NG et Maltego sont
G. THE HARVESTER The les plus complètes et renverront des données et des relations diverses. Le
Harvester12 permet la collecte d'informations publiques liées à un nom de premier contient de nombreux modules et interagit avec une base de données
locale qui évolue au cours de l'enquête, étant un cadre idéal pour effectuer des
domaine ou d'entreprise via des moteurs de recherche. En particulier, il est
capable de lister les e-mails et d'héberger pentestings, la prévention des attaques de phishing et d'ingénierie sociale, ou
même le profilage d'une personne. Sur
10https://www.shodan.io
11https://www.spiderfoot.net
12https://github.com/laramies/theharvester 13https://inteltechniques.com
14 VOLUME 4, 2016
au contraire, si on veut éviter la ligne de commande et opter pour une soutenir l'investigation d'une cyberattaque en allant des moindres détails
interface plus conviviale, Maltego est une bonne alternative aux activités de l'action malveillante à la racine du problème. Ce dernier défi n'est pas
OSINT. Il implémente des processus d'inférence automatisés avec des nouveau, puisqu'il est traditionnellement connu sous le nom de problème
transformations qui augmentent la portée de la recherche d'origine. De plus, d'attribution [67]. Concrètement, OSINT permettrait de comprendre la
il est extensible avec des procédures de découverte personnalisées. motivation de la cyberattaque, d'en deviner la marche à suivre et in fine de
profiler l'auteur.
Bien que la comparaison décrite ci-dessus ait été effectuée en fonction
de la sortie souhaitée, en pratique, l'utilisateur sera limité par l'entrée L'application suggérée d'OSINT est illustrée à la FIGURE 3. Notez que
disponible et le type de données accepté par les outils OSINT choisis. Enfin, plusieurs méthodologies et modèles ont été proposés pour définir la maturité
notez que ces outils sont complémentaires et mutuellement non exclusifs, de détection d'une organisation, ce qui est crucial pour extraire des preuves
ce qui signifie qu'une enquête OSINT approfondie et approfondie pourrait d'une cyberattaque subie. Néanmoins, il y a un manque de normes pour
bénéficier de plusieurs d'entre eux à la fois. Bien que certains d'entre eux représenter les taxonomies et les ontologies dans ce domaine [68], nous
puissent produire des résultats similaires pour une recherche donnée, il proposons donc une version modifiée du modèle DML de Ryan Stillions [69]
peut toujours y avoir des détails trouvés par un outil particulier qui ne sont pour illustrer cette section. Cependant, un autre schéma de détection des
pas obtenus par d'autres. cybermenaces pourrait être utilisé pour montrer l'application d'OSINT d'une
manière similaire.
VII. INTÉGRATION DE L'OSINT DANS LES ENQUÊTES SUR

Le modèle DML représente de manière hiérarchique différents niveaux
LES CYBERATTAQUES La mise en place de mécanismes de
d'abstraction dans la détection des cyberattaques. Une entreprise qui
détection et de réponse aux cyberincidents est aujourd'hui une obligation.
n'investit pas dans la cybersécurité ne pourra atteindre que les échelons les
Les entreprises et les organisations, de plus en plus exposées sur Internet,
plus bas de la pile. Au contraire, une organisation techniquement compétente
investissent dans la cybersécurité pour protéger leurs actifs contre les
en cyberdéfense peut interpréter des faits plus complexes, c'est-à-dire
criminels. Par conséquent, il est extrêmement important de gérer
monter à des niveaux plus abstraits.
efficacement les menaces et les incidents contre les systèmes d'information.
Alors que les niveaux inférieurs peuvent être facilement couverts, le défi
La cyberdéfense, ce n'est pas seulement le déploiement de solutions
consiste à atteindre les couches supérieures. À cette fin, nous suggérons
techniques telles que les pare-feux, les IDS (Intrusion Detection Systems),
d'appliquer OSINT comme source de renseignements qui se nourrit des
les IPS (Intrusion Prevention Systems), les SIEM (Security Information and
preuves les plus élémentaires pour arriver à des faits plus solidesÿ:
Event Management) ou les anti-virus pour éviter les menaces connues,
mais aussi l'implantation de cyberintelligence pour extraire et analyser les 1) Premièrement, nous supposons qu'il est possible de couvrir les
traces, les modèles et les conclusions des incidents. En fait, le cycle continu niveaux DML-1 et DML-2. Le premier, les indicateurs atomiques de
d'extraction et de partage des preuves, des relations et des conséquences compromission (IOC), est composé de détails aussi simples qu'une
des incidents est connu sous le nom de renseignement sur les menaces chaîne dans un fichier modifié, la valeur d'une cellule mémoire ou
[65]. Il complète les mécanismes de défense traditionnels par des d'un octet transmis via le réseau, qui ont une très faible valeur par
informations actualisées et améliore fortement la protection des eux-mêmes, mais forment ensemble le niveau suivant. La couche
infrastructures, la gestion des aléas et l'efficacité des réponses [41]. Host and Network Artifacts est construite sur les indicateurs observés
pendant ou après la cyberattaque tels que les adresses IP, les noms
de domaine, les journaux, les transactions, les valeurs de hachage
De plus, les informations généralement utilisées pour la criminalistique ou les détails de manipulation de fichiers.
et les enquêtes sont purement techniques. Or, les traces laissées par une Comme ce type de données réside dans les systèmes d'information
cyberattaque contiennent des informations précieuses qu'il convient non concernés, dans notre cadre, il est considéré comme une entrée
seulement d'opposer aux référentiels d'incidents [66], mais aussi aux pour la collecte d'informations associées dans des sources ouvertes
réseaux sociaux, forums, médias, documents techniques et gouvernementaux (voir la SECTION V pour plus de détails sur la collecte OSINT).
et autres sources publiques numériques. Ces sources ouvertes contribuent L'extraction de ces traces est donc le point de départ d'un processus
à l'information sémantique dans l'analyse, ce qui s'avère intéressant pour OSINT.
le calcul et le raisonnement d'inférences plus complexes et de grande 2) Ensuite, nous avons du niveau DML-3 au niveau DML-6.
envergure. A noter que les cyberattaquants utilisent Internet pour leurs Le troisième niveau Outils consiste à détecter le transfert, la
actions illégales (piratage, phishing, attaques par déni de service, botnets, présence et la fonctionnalité des outils utilisés par l'attaquant. Le
usurpation d'identité, intrusions, etc.), mais aussi pour des raisons niveau Procédures suivant est couvert si l'on est capable d'énumérer
personnelles. En ce sens, OSINT peut être utilisé pour connecter tous ces les étapes réalisées lors de l'incident. Le cinquième niveau
points. Techniques extrait comment l'attaquant a spécifiquement exécuté
les différentes phases de l'attaque. Et le dernier niveau ici, Tactique,
Plusieurs travaux appliquant OSINT à la cybersécurité se concentrent est un concept plus abstrait qui prend en compte les niveaux
sur la proposition d'améliorations défensives face aux menaces. Au discutés ci-dessus et dérive des connaissances en analysant un
contraire, ils recherchent très rarement l'identification des cyberattaquants. ensemble d'activités dans le temps et le contexte.
OSINT est une source de connaissances qui pourrait
VOLUME 4, 2016 15
MODÈLE DML OSINT
9. Identité
Intention de l'attaquant
8. Objectifs INTELLIGENCE
et profil
7. Stratégie
EN TRAITEMENT
6. Tactiques
5.Techniques Plan d'exécution et

ANALYSE & CORRÉLATION
méthodes d'attaque
4. Procédures
3. Outils EN TRAITEMENT
2. Artefacts d'hôte et de réseau

Traces de
cyberattaque ou de crime LE RECUEIL
1. Indicateurs atomiques
0. Aucun ou Inconnu
FIGURE 3 : Intégration OSINT avec le modèle DML pour résoudre le problème d'attribution
Dans ce cas, les informations révèlent des détails sur identification du cyberattaquant.
l'exécution de la cyberattaque. De telles données Cette application d'OSINT représente une ligne d'action
enrichissent grandement la phase d'analyse du cycle innovante pour lutter contre les cybermenaces. Le défi réside dans
OSINT. Les modèles dérivés de ces données, ainsi que la la mise en œuvre de mécanismes efficaces de collecte et de
corrélation avec d'autres cas déjà stockés, nous permettent procédures d'analyse intelligentes pour extraire ces détails de haut
d'avoir une analyse plus intelligente et complète. En fait, niveau qui ne peuvent pas être directement extraits d'actions malveillantes.
ces conclusions doivent être intégrées conjointement avec Ces détails sont les informations les plus compliquées à obtenir,
les résultats obtenus lors de la phase de collecte. De cette car ils ont un degré d'abstraction très élevé qui est très éloigné
façon, l'exploration à travers le réseau est affinée, des détails techniques. C'est pourquoi il est judicieux de se tourner
rétrécissant l'investigation vers l'objectif final. vers des sources ouvertes pour toute relation ou modèle qui nous
3) Enfin, le processus continu de collecte et d'analyse d'OSINT amène à en savoir plus sur le contexte et les origines d'un incident.
génère des informations précieuses auxquelles des OSINT est la pièce maîtresse qui manquait à l'équipement pour
techniques d'extraction de connaissances sont appliquées. profiler les cyberattaquants et améliorer la détection des attaques
Les connaissances extraites avec OSINT du niveau DML-1 sophistiquées [70] grâce à la prise en compte des aspects
à DML-6 nous permettraient d'atteindre les niveaux les plus comportementaux de haut niveau du DML 3 au DML-9.
élevés, c'est-à-dire de DML-7 à DML-9. Le septième niveau,
Stratégie, fait référence à une description de haut niveau
de l'attaque planifiée du cybercriminel pour atteindre ses VIII. L'OSINT DANS LES PAYS ET LES ÉTATS
objectifs. Le huitième niveau, Buts, sont les objectifs
L' OSINT n'est pas seulement bénéfique dans le secteur privé, mais
spécifiques de l'attaquant et expriment la motivation réelle
représente également une ressource d'intérêt public pour les
de l'action. En haut, on trouve le niveau Identité, qui est
gouvernements. À cet égard, dans la SOUS-SECTION VIII-A, nous
essentiellement le nom d'une personne, d'une organisation
discutons du fait que l'OS INT n'est pas un paradigme conçu pour les
ou même d'un pays qui est responsable des actions
analystes paranoïaques ou les geeks de l'informatique, mais présente
malveillantes. Comme il est extrêmement difficile de trouver
en effet un énorme avantage dans le système national de cyberdéfense
ces informations détaillées, le lien avec d'autres
[71]. De même, dans la SOUS-SECTION VIII-B, nous observons que
cyberattaques et la similitude avec d'autres événements
les autorités officielles ne tirent pas seulement profit des résultats de
peuvent soutenir l'attribution relative [67]. Autrement dit,
l'OSINT pour les tâches internes, mais facilitent indirectement
compléter l'enquête sur l'affaire actuelle avec des
l'application de l'OSINT pour les tiers. En fait, ils deviennent un agent
informations supplémentaires sur d'autres incidents
qui génère de grandes quantités de données accessibles à tous. En
apparemment causés par le même acteur nous rapproche de l'absolu
ce sens, les gouvernements sont une arme à double tranchant qui profite de l'OS
16 VOLUME 4, 2016
en même temps, ils contribuent à alimenter Internet avec des informations • En 2010, lorsque le directeur du CNI annonce16 la création d'un code
vraiment précieuses, et parfois même sensibles. de déontologie pour les agents spéciaux, il insiste également sur le
fait que le renseignement moderne n'est pas seulement basé sur la
A. OPÉRATIONS RELATIVES AUX AFFAIRES INTÉRIEURES DE L'ÉTAT

présence physique, car aujourd'hui « vous pourriez obtenir plus
d'informations assis sur un ordinateur , explorant les messages des
Les agences de renseignement ont été traditionnellement associées au
méchants ».
travail des agences d'application de la loi (LEA) et • Plus récemment, en
2017, le ministère espagnol de la Défense tary Bodies. De la même manière,
OSINT est considéré aujourd'hui ouvert un appel public17 pour le contrat intitulé "Développer comme une clé importante d'enquêtes classifiées et secret
ment de l'outil OSINT basé sur la plate-forme IDOL HAVEN".
opérations dans les affaires de l'État [5]. Dans une certaine mesure, on pourrait • À l'heure actuelle, l'armée espagnole conçoit un nouveau argument en
toute sécurité que l'exploitation de l'OSINT peut fournir un modèle
appelé Brigade 2035 qui intègre des capacités critiques innovantes pour les LEA afin de compléter et d'améliorer les avancées technologiques pour
améliorer les opérations. leurs départements de contre-espionnage
dans l'enquête et Dans ce projet18, l'une des fonctions de combat définies planification stratégique pour lutter contre la criminalité [72]. is Intelligence, qui
indique clairement OSINT comme une clé. Pour autant que nous
ayons pu explorer dans la responsabilité officielleÿ: "D'autres installations d'importance croissante des sites Web, des rapports et de la documentation, le
gouvernement sera l'obtention open source (y compris les
organisations de réseaux sociaux semblent mettre en œuvre mécanismes internes fonctionnent) ». qui consistent essentiellement à recueillir des
informations brutes • Le ministère espagnol de l'Intérieur a publié
dans le et en les transformant en connaissances utiles, en tirant parti du plan de recrutement annuel pour 201919 certains investissements des mécanismes
OSINT [73]. De manière représentative, nous parlons de «ÿsystèmes
d'obtention d'OSINT dans le cyberespaceÿ». pourrait mentionner le Federal Bureau semble of Investigation des États-Unis.
qu'actuellement Compte
(FBI, fbi.gov), la tenu de tous
Central ces faits,
Intelligence il
Agency
des États-Unis (CIA, OSINT est en effet pertinente dans les affaires intérieures de l'Espagne.
(CSIS,cia.gov), Service
par analogie, canadien
nous du également
pourrions renseignement de sécurité
souligner celui de
l'Union européenne canada.ca/en/security-intelligence-service), les États membres sont également très développés dans l'OSINT [74].
Agence de l'Union européenne pour la coopération en matière répressive

(EUROPOL, europol.europa.eu), Organisation du traité de l'Atlantique
B. POLITIQUES DE DONNÉES OUVERTES ET TRANSPARENCE
Nord (OTAN, nato.int), Département de l'armée des États-Unis (DA,
OSINT dépend des données publiques disponibles sur Internet, entre
army.mil), Département de la défense des États-Unis (DoD, defense.gov),
autres sources, pour être efficace. À cet égard, outre les réseaux sociaux
l'Agence américaine de sécurité nationale (NSA, nsa.gov) ou l'Agence
et autres sources de données ouvertes, il existe également des sites
européenne de défense (EDA, eda.europa.eu), entre autres.
faisant autorité et officiels gérés par des institutions étatiques du monde
entier où des informations publiques sont publiées et, par conséquent,
Dans ce scénario d'incertitude, nous avons décidé d'investiguer
librement accessibles.
particulièrement le cas des LEA espagnoles, par affinité, pour démontrer
L'Open Data Barometer (ODB)20 est un système de classement
que les organismes officiels appliquent bien l'OSINT en interne. À la suite
mondial conçu par la World Wide Web Foundation qui mesure l'état de
de cette inspection approfondie, nous pouvons catégoriquement confirmer
préparation, la mise en œuvre et l'impact des politiques de données
qu'il n'est pas facile de trouver des preuves claires de l'application de
ouvertes des pays. La figure 4 montre les scores de la dernière édition
l'OSINT par les forces de l'État. La confidentialité de ce type d'agences complète21 .
rend difficile la découverte de leur mode de fonctionnement interne et de Comme nous l'avons déjà fait dans la sous-section précédente, nous
l'impact de l'OSINT dans leurs enquêtes en cours. Néanmoins, à la suite étudions le cas particulier de l'Espagne pour l'affinité. En fait, en ce qui
de la recherche approfondie, nous avons quelques découvertes subtiles concerne le rapport susmentionné de l'ODB, l'Espagne est classée en
qui confirment que l'OSINT est actuellement utilisé par les LEA espagnolesÿ: 11ème position. En outre, selon le portail européen de données et ses
rapports officiels22 sur la maturité des données ouvertes en Europe,
• En 2007, le directeur du CNI (c'est-à-dire l'Agence nationale de l'Espagne est l'un des pays les plus avancés en matière de transparence
renseignement espagnole) a déclaré14 que les sources ouvertes et de données ouvertes. Il a été en première ou deuxième position dans le
étaient "fondamentales à l'élaboration et au travail d'Intelligence" classement de la maturité des données ouvertes au cours des quatre
dernières années. Comme il est indiqué, le gouvernement espagnol a
• Le CIFAS (c'est-à-dire l'Agence de renseignement militaire espagnole) semble promu plus de 160 initiatives de données ouvertes et dispose de plus de 23 800 inform
également utiliser l'OSINT comme moyen d'obtenir des informations.
16https://www.lavanguardia.com/politica/20100624/53951898847/el-
Nous avons trouvé des diapositives qui le confirment, datant de director-del-cni-anuncia-un-codigo-etico-para-los-agentes-secretos.html 17https://
2008 déjà, qui sont téléchargées sur le site Internet de l'état-major contrataciondelestado.es/wps / wcm/connect/ff96fa82-7fd6-40bd-
de la défense espagnole15 . be5b-36ef3fd4e65b/DOC_CN2017-498874.pdf?MOD=AJPERES
18www.ejercito.mde.es/en/estructura/briex_2035/principal.html 19http://
www.defensa.gob es/Galerias/gabinete/ficheros_docs/2019/
14https://www.elconfidencialdigital.com/articulo/vivir/CNI-califica PACDEF_2019_Documento_Pxblico.pdf 20https://opendatabarometer.org
contradictions-ouvertes-fondamentales/20071023000000049386.html 21https://opendatabarometer.org/4thedition 22https://
15http://www.emad.mde.es/Galerias/EMAD/novemad/fichero/EMD CIFAS- www.europeandataportal.eu/en/dashboard#2018
esp.pdf
VOLUME 4, 2016 17
FIGURE 4 : Scores de transparence de la 4e édition du Baromètre des données ouvertes
catalogues. Par exemple, l'Open Data Initiative du gouvernement "Liste consolidée des sanctions financières de l'Union". En particulier, il
espagnol23 est une preuve claire de la manière dont l'Espagne révèle des informations personnelles sur des individus, des groupes et
encourage la transparence. L'OSINT pourrait en bénéficier, mais il des entités.
devrait traiter des informations agrégées et statistiques en les reliant et Tous les faits susmentionnés démontrent que les gouvernements du
en déduisant de nouvelles connaissances. monde entier adoptent de solides politiques de données ouvertes.
Il existe également des bases de données anonymisées qui, a priori, Conséquence directe, la quantité de données objectives disponibles sur
ne seraient pas utiles à l'OSINT car elles n'ont pas la valeur pour produire Internet augmente rapidement. L'OSINT devrait, en plus d'autres sources
du renseignement. Ces ensembles de données dits anonymes ne d'information ouvertes, profiter de cette puissante opportunité pour
rompent apparemment pas le lien entre les données et leur propriétaire. collecter, analyser, relier et inférer des connaissances à partir de sources
Récemment, un algorithme [75] a été publié permettant d'identifier sans fiables et officielles. Dans ce scénario, et selon l'ODB, des pays comme
équivoque 99,98 % des Américains à partir de données publiques. Il le Royaume-Uni, le Canada, la France, les États-Unis, la Corée,
suffit notamment de disposer de 15 paramètres liés à des informations l'Australie, la Nouvelle-Zélande, le Japon, les Pays-Bas, la Norvège ou
médicales, comportementales et sociodémographiques comme l'état le Brésil sont de véritables mines d'or OSINT avec des caractéristiques
civil, le sexe ou le code postal de son domicile. Par conséquent, OSINT très similaires à celles commentées pour Espagne.
pourrait à nouveau être utilisé pour ré-identifier les personnes collectées
dans des bases de données anonymisées.
Au contraire, il existe également des plateformes gouvernementales IX. DÉFIS OUVERTS ET TENDANCES FUTURES
qui ne sont en fait pas anonymisées. Par exemple, le ministère espagnol L'examen effectué sur OSINT montre qu'il existe déjà une quantité
du Trésor, le ministère espagnol de l'Intérieur ou le ministère espagnol importante de travail sur le sujet. De nombreuses techniques et outils
de la Défense publient généralement des documents contenant des ont été développés jusqu'à présent. Cependant, il existe des lacunes et
informations personnelles ("site:hacienda.gob.es filetype:pdf intext:dni", des limites dans ce domaine pour continuer à exploiter les opportunités
par exemple ). De la même manière, cela pourrait également être offertes. Il est nécessaire de faire des solutions plus sophistiquées
appliqué aux sites Web des communautés autonomes espagnoles. applicables à des scénarios non contrôlés du monde réel. Nous avons
repéré certains défis qui, pour autant que nous le sachions, sont ouverts
De plus, l'Europe dispose également d'une plate-forme de données aujourd'hui et devraient être relevés par la communauté des chercheurs
publique24, sur laquelle nous pouvons trouver de nombreuses dans un avenir proche.
informations publiques. Par exemple, dans le cadre de la politique
étrangère et de sécurité, une liste actualisée des sanctions financières est présentée dans le
A. AUTOMATISATION DU PROCESSUS DE COLLECTE
23https://datos.gob.es/ Plus la quantité d'informations collectées est importante, plus il est

es 24http://data.europa.eu/euodp/en/data probable qu'elles créent des inférences et des relations. Cependant,
18 VOLUME 4, 2016
la quantité de données publiques disponibles aujourd'hui est énorme et C. INTÉGRATION DE PLUSIEURS SOURCES DE DONNÉES OUVERTES
ne peut être collectée de manière manuelle [76]. Bien que les techniques Les activités de l'OSINT doivent consulter autant de sources que possible
(Section V) et les outils OSINT (Section VI) constituent déjà un grand pas afin de couvrir le spectre le plus large possible. Ce n'est pas une bonne
en avant dans cette direction, la plupart d'entre eux dépendent encore idée de concentrer nos recherches sur un seul réseau social ou un forum
largement de l'utilisateur final. En ce sens, il serait intéressant d'incorporer spécifique. En ce sens, le succès réside dans la combinaison des sources
des techniques plus sophistiquées. Nous mettons en évidence les de données pour obtenir les meilleurs résultats possibles. Cela signifie
techniques actuelles de Big Data telles que le Web crawling ou le Web que le système doit normaliser les informations disponibles, qui sont
scraping [77] comme paradigmes potentiels pour automatiser et améliorer généralement non structurées, afin d'effectuer une analyse et une
l'exploration OSINT de gros volumes de données ouvertes. corrélation efficaces. Par conséquent, il est important de jeter les éléments
répétés. En fait, les différentes techniques et outils OSINT expliqués dans
Un aspect important du processus de rappel est la propagation de la cet article appliquent en fait une telle séance pour rassembler les
recherche. Les résultats obtenus lors des recherches devraient réalimenter connaissances liées à la cible.
les cycles de collecte suivants. Dans OSINT, il est vraiment puissant D'autre part, le véritable défi consiste à intégrer non seulement
d'extraire des pivots permettant la concaténation des sorties en tant que plusieurs sources de données, mais différents types de sources de
nouvelles entrées pour la propagation. Cette méthode récursive augmente données [80]. Outre les données extraites d'Internet, du Dark Web et du
la portée de la recherche et est étroitement liée au processus d'analyse Deep Web, le flux de travail OSINT devrait également prendre en compte
dont nous parlerons ensuite. les informations collectées en face à face, avec l'ingénierie sociale ou
avec la collaboration des citoyens. Toute information intéressante pour
B. AMÉLIORATION DES PROCESSUS D'ANALYSE ET notre enquête doit être utilisée pour franchir la prochaine étape de la
D'EXTRACTION DES CONNAISSANCES recherche. De plus, il est indispensable de mettre en œuvre des
processus de découverte de la vérité dans les cas où les informations
L'interprétation des données ouvertes reconstituées est un point clé de la
provenant de différentes sources de données sont contradictoires [81].
procédure OSINT. Extraire l'essence des résultats de scraping, établir
des relations entre des éléments d'information séparés ou déduire des
conclusions qui ne sont pas explicitement exposées augmente la qualité
D. FILTRER LES DONNÉES NON PERTINENTES ET
des résultats. En effet, l'intégration récursive avec la propagation d'autres
DÉSINFORMATION
cycles d'investigation est améliorée au moyen de meilleures entrées.
En raison de l'énorme quantité de données accessibles au public, un
processus OSINT doit être capable de distinguer la pertinence de chaque
Cependant, à notre connaissance, l'analyse OSINT ne met pas en
élément d'information, en écartant les données qui n'ajoutent pas de
œuvre de mécanismes intelligents aujourd'hui. Les outils existants se
qualité à l'enquête [82]. Un chercheur ne peut pas se concentrer sur
limitent à lancer toutes les informations trouvées et leurs relations
l'exploration des détails d'un site Web entier, la lecture d'un article de
explicites. Au contraire, le processus d'analyse devrait incorporer l'analyse
plusieurs pages ou l'analyse d'un document gouvernemental complexe.
sémantique, l'étude des modèles, la corrélation avec d'autres événements,
Au contraire, la recherche OSINT doit extraire des mots-clés qui apportent
occurrences ou ensembles de données.
réellement de la valeur et révèlent des connaissances sur notre cible.
Heureusement, les techniques modernes d'exploration de données
L'information qui nous intéresse peut ne pas être explicitement publiée,
[78] telles que le traitement du langage naturel, l'analyse des réseaux
et le défi consisterait à extraire l'essence de la source de données que
sociaux, l'apprentissage automatique ou l'apprentissage en profondeur
nous examinons.
sont en fait conçues pour résoudre ce type de défis. Une bonne sélection
En même temps, les termes précis extraits servent de pivots pour créer
d'algorithmes dans ce domaine de connaissance fera la différence entre
de nouvelles pistes d'exploration.
l'analyse statique actuelle et le futur traitement raisonné [79].
De plus, il est crucial de détecter la désinformation qui corromprait les
résultats [83]. Par nature, Internet est subjectif et la majorité du contenu
Idéalement, l'OSINT du futur devrait être en mesure de fournir à
n'a aucune garantie d'être fiable et officiel. La communauté OSINT doit
l'utilisateur final l'information spécifique qu'il recherche, ainsi que de
déterminer si la dépendance croissante à l'égard des données open
fournir des réponses convaincantes lors des enquêtes. La recherche
source est toujours associée à la validation des sources, qui représente
originale aurait également, non seulement des inférences directes, mais une exigence et une priorité primordiales [84]. Cette fausse information
aussi des relations indirectes et non explicites.
peut détourner notre recherche, conduire à des résultats erronés ou
Ce défi construit le chemin entre la deuxième génération et la éloignés de notre véritable objectif. Pour cette raison, il serait intéressant
troisième génération d'OSINT. Comme il est présenté dans [1], la d'analyser non seulement les informations objectives, mais aussi les
deuxième génération a commencé avec l'essor d'Internet et des médias
fausses informations dans le but d'en extraire du renseignement.
sociaux, et les défis étaient "l'expertise technique, l'accessibilité virtuelle
et l'acquisition constante". En revanche, l'évolution vers la troisième
génération est censée apparaissent de nos jours et devront inclure "le Ce problème sera présent dans la recherche réelle. Les sources de
traitement automatique direct et indirect des données, l'apprentissage données où nous trouverons des informations plus précieuses sur
automatique et le raisonnement automatisé". les suspects seront dans les forums et les réseaux sociaux. Dans ces
sites, l'enquêteur doit composer avec des opinions, des publications
subjectives et des préférences personnelles dont la véracité est mise en doute.
VOLUME 4, 2016 19
pouvoir [85]. Le profilage de personnes qui en réalité ne représentent pas D'un point de vue légal, OSINT doit être utilisé sur la base d'une loi et
une menace (faux positifs) pourrait provoquer des attitudes discriminatoires dans le respect des politiques de protection des données. Avec l'avènement
et injustes pouvant affecter les victimes. du RGPD de l'UE, la réglementation concernant les données personnelles a
changé [86]. En ce sens, les données personnelles comprennent toute
E. EXTENSION DANS LE MONDE ENTIER information pouvant concerner n'importe quel citoyen.
De plus, différentes informations, qui rassemblées peuvent conduire à
L'un des principaux inconvénients de bon nombre des ressources OSINT
l'identification d'un individu, constituent également des données personnelles,
existantes est qu'elles ne fonctionnent que pour des pays spécifiques, ce qui
même si les informations sont cryptées ou anonymisées [14]. Une solution
réduit leur capacité de profilage à un groupe restreint de personnes
possible pour relever ce défi consiste à adapter la conception des outils
appartenant à quelques nationalités. Cependant, OSINT devrait être une
OSINT pour intégrer des contraintes normatives, en particulier les exigences
technique universelle pour faire le tour de tous les coins de la Terre
légales du RGPD [87].
instantanément sans discriminer les zones du cyberespace. Ainsi,
Par définition, OSINT est complètement légal en raison de la nature publique
l'interopérabilité est une propriété souhaitable à prendre en compte dans la
des sources de données qu'il utilise. Néanmoins, les enquêteurs ne doivent
conception OSINT car elle augmenterait non seulement la portée des
pas publier les renseignements personnels recueillis, même s'ils sont affichés
recherches, mais également son utilisation par les utilisateurs finaux.
sur le Web. De plus, l'utilisateur qui applique OSINT ne peut pas tomber dans
Idéalement, un bon service ou outil OSINT ne devrait pas faire de
l'erreur d'essayer de se faire passer pour la cible afin de trouver plus
distinction entre les pays et considérer chaque recherche comme une tâche
d'informations. Il convient également de noter que les barrières
globale, sans frontières. Le flux de travail OSINT doit combiner des points
d'authentification ne peuvent être brisées pour accéder aux informations que
d'information à travers le monde et corréler ces sources de données
nous recherchons.
distribuées. En fait, bien que les relations entre les zones de recherche
En bref, l'utilisation d'OSINT devrait être limitée aux activités légales et à
puissent être faites à la main, le véritable défi réside dans les applications
des fins non malveillantes. En principe, OS INT ne viole pas (et ne devrait
OSINT mettant en œuvre ces sauts.
pas) violer la liberté et les droits de l'homme, donc ses techniques et services
De plus, la mondialisation du processus ne laisserait pas de côté des
mentionnés précédemment sont légaux dans cette mesure [88]. C'est une
sources de données ouvertes attrayantes provenant de différents territoires
méthodologie vraiment puissante, mais elle est également dangereuse si elle
qui pourraient effectivement combler les lacunes que nous devons combler
est mal utilisée. Grâce à OSINT, les journalistes peuvent fournir des
dans notre enquête. En Espagne, par exemple, nous utilisons des outils
informations actualisées, objectives et de qualité. Les responsables des
conçus dans (et pour) des pays étrangers. Cependant, il n'existe pas de
ressources humaines peuvent mieux connaître les candidats dans leur travail.
solutions OSINT qui incluent des référentiels publics espagnols dans la phase
Les autorités des pays peuvent enquêter sur les groupes criminels et
de collecte (comme pourraient l'être les plateformes de données ouvertes du
terroristes. Une entreprise peut auditer son exposition aux cybermenaces à
gouvernement). En ce sens, nous ne bénéficions pas encore pleinement de
l'étranger. Cependant, une telle ouverture à l'utilisation des techniques OSINT
la mine d'or que suppose être l'un des pays les plus transparents d'Europe.
à des catégories spécifiques doit toujours être correctement justifiée [89].
Une implémentation générique et flexible est particulièrement utile pour En revanche, l'utilisateur final de l'OSINT pourrait être un délinquant
les cibles nomades chez qui la mobilité fait partie de leur quotidien. Supposons
essayant de commettre un crime. Un cracker pourrait profiler la cible pour
que la cible enquêtée soit une personne qui a vécu des étapes de sa vie
augmenter les chances de succès. Un voleur pourrait analyser les membres
dans plusieurs pays, ou des entreprises qui ont des sièges sociaux sur
de sa famille pour voler à la maison au meilleur moment. Un extorqueur
plusieurs continents, ou encore des criminels qui changent de lieu pour
pourrait publier les informations privées et personnelles de la victime si une
rendre plus difficile leur poursuite. Dans ces cas, une recherche statique
rançon n'est pas payée.
dans un pays particulier laisserait de nombreuses informations non collectées
Les développeurs doivent tenir compte des aspects susmentionnés lors
et de nombreux indices non analysés.
de la mise en œuvre des outils OSINT. Dans tous les cas, pour notre bien,
les outils les plus puissants ne devraient être disponibles que pour les LEA
et les agences de renseignement.
F. SENSIBILISATION À LA VIE PRIVÉE ET AUX CONSIDÉRATIONS
ÉTHIQUES ET JURIDIQUES G. LUTTE CONTRE L'ABUS D'OSINT
D'un point de vue éthique, OSINT doit respecter la vie privée de l'utilisateur Comme déjà mentionné dans les sections précédentes, les potentialités du
afin de ne pas porter atteinte à sa vie privée, ainsi qu'à celle de sa famille, de paradigme OSINT sont assez larges. En effet, il est bien possible de profiter
ses amis et de ses collègues. Le fait que l'information soit accessible au des données ouvertes à des fins de cybersécurité et de cyberdéfense,
public ne signifie pas qu'elle n'est pas sensible. Connaître les préférences enquêtant ainsi sur les attaquants et/ou les groupes terroristes [90].
personnelles et les goûts de la cible peut perpétrer dans sa vie privée. La Néanmoins, l'exploitation des données accessibles au public est sujette à
révélation de pensées politiques peut avoir des conséquences fatales à des abus.
certains endroits. Autrement dit, des acteurs mal motivés peuvent tirer parti de l'énorme quantité
Communiquer une orientation sexuelle peut être potentiellement mortelle d'informations pour commettre des cyber-agressions, telles que la
dans certains pays. La connaissance des croyances religieuses peut conduire cyberintimidation, les cybercommérages et la cybervictimisation [91].
à des condamnations pénales dans des territoires spécifiques. Ainsi, les Malheureusement, ces phénomènes sont de plus en plus fréquents et
informations open source doivent être traitées avec précaution, à des fins alarmants sur le Web, conduisant les victimes à la détresse, à la solitude, à
légitimes, dans l'intérêt de la société. la dépression, voire au suicide en
20 VOLUME 4, 2016
le pire des cas [16]. En particulier, les cybercommérages sont effectués par l'un des pays les plus transparents d'Europe, selon le Portail européen de
un groupe de personnes faisant des commentaires évaluatifs via des données.
appareils numériques sur une personne qui n'est pas présente. Ce En tant que futures orientations de recherche, l'article a décrit certains
cybercomportement affecte le groupe social dans lequel il se produit et peut défis ouverts liés à la collecte, à l'analyse et à l'extraction de connaissances
entraver les relations entre pairs, endommageant la victime d'un tel processus [92]. réelles à partir de l'immersion d'Internet.
Dans cette mesure, il est important de contrôler que les techniques et Des aspects tels que la désinformation, la confidentialité et la légalité
services OSINT sont utilisés de manière correcte, sans porter atteinte aux occuperont une place prépondérante dans l'avenir de l'OSINT. Il reste encore
droits et libertés d'autrui [93]. Plus précisément, on pourrait penser à accorder un long chemin à parcourir dans ce domaine, et à cette fin, la communauté
des privilèges différents en fonction de la catégorie d'utilisateur final, évitant devrait relever les défis discutés en incluant des techniques avancées et en
ainsi d'accorder un accès complet à l'ensemble du spectre d'informations. améliorant les performances actuelles. L'objectif ultime de l'OSINT est d'être
Par exemple, les employés peuvent avoir accès à des informations de base en mesure d'assurer la recherche souhaitée dans un certain but, de manière
afin d'améliorer leurs tâches (par exemple, pour les tâches de recrutement automatisée et autonome.
des RH), tandis que le gouvernement et les forces de police peuvent explorer
et enquêter sur des données plus ouvertes (par exemple, pour chasser un RÉFÉRENCES
cybercriminel). [1] HJ Williams et I. Blum, "Définir l'intelligence open source de deuxième génération
(OSINT) pour l'entreprise de défense", RAND Corporation Santa Monica États-Unis,
Enfin, il est important de noter que l'OSINT permet de nouvelles
Tech. Rép., 2018.
propositions pour lutter contre ce fléau des cyber-agressions [94]. [2] M. Nouh, JRC Nurse, H. Webb et M. Goldsmith, « Les enquêteurs en cybercriminalité
En ce sens, l'utilisation abusive d'OSINT est susceptible d'être correctement sont aussi des utilisateurs ! comprendre les défis sociotechniques auxquels sont
confrontées les forces de l'ordre », dans Workshop on Usable Security (USEC) at the
détectée avec des outils basés sur OSINT.
Network and Distributed System Security (NDSS) Symposium. Internet Society, février
2019.
[3] A. Powell et C. Haynes, "Données des médias sociaux dans les enquêtes de
X. CONCLUSIONS ET TRAVAUX FUTURS
criminalistique numérique", dans Digital Forensic Education: An Experiential Learning
L'utilisation généralisée des forums, des réseaux sociaux ou des médias, Approach, X. Zhang et K.-KR Choo, Eds. Cham : Springer International Publishing,
ainsi que la grande quantité de données existantes, font de l'Open Source 2020, p. 281–303.
[4] G. Bello-Orgaz, JJ Jung et D. Camacho, « Big data social : réalisations récentes et
Intelligence (OSINT) la prochaine mine d'or d'Internet.
nouveaux défis », Information Fusion, vol. 28, pages 45 à 59, 2016.
L'extraction de connaissances à partir de sources publiques représente un
moyen de résoudre des problèmes existants d'un point de vue différent et [5] HL Larsen, JM Blanco, R. Pastor Pastor et RR Yager, Eds., Utilisation des données
ouvertes pour détecter les menaces du crime organisé. Chamÿ: Springer International
innovant. Plus précisément, la cybersécurité et la cyberdéfense peuvent
Publishing, 2017.
grandement bénéficier des résultats que ce type de renseignement peut [6] M. Dawson, M. Lieble et A. Adeboje, « Open Source Intelligence: Performing Data
offrir. Par conséquent, des processus OSINT automatisés devraient être mis Mining and Link Analysis to Track Terrorist Activities »,
Technologies de l'information - Nouvelles générations, vol. 558, non. Juillet, p. 1–11,
en œuvre, capables de mener des enquêtes sur toutes les parties d'Internet 2018.
et d'étendre notre esprit à travers le Web. [7] F. Ali, FH Khan, S. Bashir et U. Ahmad, «ÿLutte contre le terrorisme sur les réseaux
sociaux en ligne à l'aide de techniques de minage Webÿ», dans Intelligent Technologies
and Applications, IS Bajwa, F. Kamareddine et A. Costa, Éd. Sin gaporeÿ: Springer
Cet article décrit le statut de l'OSINT aujourd'hui. Elle a révélé que Singapour, 2019, pp. 240-250.
l'efficacité des travaux actuels est discutable en raison principalement de leur [8] J. Jang-Jaccard et S. Nepal, « Une enquête sur les menaces émergentes dans la
mauvaise application dans des scénarios réels. En fait, il manque des cybersécurité », Journal of Computer and System Sciences, vol. 80, non. 5, p. 973–
993, 2014.
approches sérieuses pour transformer OSINT en une solution robuste et [9] F. Gómez Mármol, M. Gil Pérez et G. Martínez Pérez, « I Don't Trust ICT: Research
autogérée. Néanmoins, nous suggérons l'intégration de l'OSINT dans les Challenges in Cyber Security », dans Trust Management X, SM Habib, J. Vassileva,
mécanismes de cyberdéfense existants pour passer des pistes techniques S. Mauw, et M. Mühlhäuser, Eds. Cham : Springer International Publishing, 2016, p.
129–136.
atomiques d'un incident cybernétique au profil du coupable ou à l'identité du
[10] P. Nespoli, D. Papamartzivanos, F. Gómez Mármol et G. Kambourakis, « Sélection
suspect. L'article présentait également certaines techniques OSINT pour les optimale des contre-mesures contre les cyberattaques : une enquête complète sur les
recherches de base et décrivait les outils OS INT les plus sophistiqués de cadres de réaction », IEEE Communications Surveys and Tutorials, vol. 20, non. 2, p.
1361–1396, 2018.
nos jours pour les enquêtes avancées. En fonction des données disponibles
[11] D. Quick et K.-KR Choo, « Digital forensic intelligence : Data subsets and open source
et de l'objectif ultime, une sélection appropriée de l'outil le plus approprié intelligence (DFINT+OSINT) : A opportun and cohesive mix », Future Generation
marquerait la différence. Computer Systems, vol. 78, p. 558 – 567, 2018.
[12] L. Ball, G. Ewan et N. Coull, "Undermining: social engineering using open source
intelligence harvesting", dans Actes de la Conférence internationale sur la découverte
Cependant, une combinaison variée d'entre eux est en fait la clé pour obtenir des connaissances et la recherche d'informations.
des résultats plausibles. Bibliothèque numérique Scitepress, 2012, p. 275–280.
[13] Z. Jin, J. Cao, Y. Zhang et J. Luo, «ÿVérification des informations en exploitant des
Dans le contexte de l'Espagne, nous avons souligné certaines indications points de vue sociaux conflictuels dans les microblogsÿ», dans Actes de la trentième
qui pourraient confirmer que les services répressifs et les services de conférence AAAI sur l'intelligence artificielle, ser. AAAI'16. AAAI Press, 2016, p. 2972–
renseignement espagnols utilisent l'OSINT dans leurs procédures internes. 2978.

[14] J. Simola, «ÿProblèmes de confidentialité et protection des infrastructures critiquesÿ»,
Bien qu'il s'agisse d'un aspect confidentiel de leur fonctionnement, l'OSINT dans Emerging Cyber Threats and Cognitive Vulnerabilities, V. Benson et J. Mcalaney,
est un élément crucial dans le cadre de leurs enquêtes. Il convient de Eds. Presse universitaire, 2020, p. 197 – 226.
souligner que l'Espagne serait un vaste territoire où rechercher, développer [15] M. Kandias, L. Mitrou, V. Stavrou et D. Gritzalis, « De quel côté êtes-vous ? a new
panopticon vs. privacy », dans IEEE International Conference on Security and
et appliquer cette méthodologie en raison de sa maturité Open Data. En fait,
Cryptography (SECRYPT), Reykjavik, Islande, juillet 2013, pp. 1–13.
c'est
VOLUME 4, 2016 21
[16] LR Betts et KA Spenser, "Développer les expériences de cyber-victimisation et les échelles [36] A. Gandomi et M. Haider, «ÿAu-delà du battage médiatiqueÿ: concepts, méthodes et
de comportements de cyber-intimidation", Journal of Genetic Psychology, vol. 178, non. analyses de données volumineusesÿ», International Journal of Information Management,
3, p. 147–164, 2017. vol. 35, non. 2, pages 137 à 144, 2015.
[17] J. Pastor-Galindo, P. Nespoli, F. Gómez Mármol et G. Martínez Pérez, "OSINT is the next [37] A. Barnea, « Big data et contre-espionnage dans les pays occidentaux », International
Internet goldmine: Spain as an unexplored Territory", in Fifth National Conference on Journal of Intelligence and CounterIntelligence, vol. 32, non. 3, p. 433–447, 2019.
Cybersecurity (JNIC 2019), Caceres, Espagne, 2019.
[38] T. Day, H. Gibson et S. Ramwell, Fusion de données OSINT et non OSINT. Cham : Springer
[18] F. Tabatabaei et D. Wells, « Osint dans le contexte de la cybersécurité », dans Open Source International Publishing, 2016, p. 133–152.
Intelligence Investigation : From Strategy to Implementation, B. Akhgar, PS Bayerl, et F. [39] CS Fleisher, "Utilisation de données open source dans le développement de la veille
Sampson, Eds. Springer International Publishing, 2016, p. 213–231. concurrentielle et marketing", European Journal of Marketing, vol. 42, non. 7/8, p. 852–
866, 2008.
[19] H. Chen, RHL Chiang et VC Storey, « Business Intelligence and Analytics : From Big Data [40] F. Gómez Mármol, M. Gil Pérez et G. Martínez Pérez, « Signalement de contenu offensif
to Big Impact », MIS Quarterly, vol. 36, non. 4, p. 1165–1188, 2012. dans les réseaux sociaux : vers une approche d'évaluation basée sur la réputation »,
IEEE Internet Computing, vol. 18, non. 2, p. 32–40, mars 2014.
[41] S. Gong, J. Cho et C. Lee, "Une méthode de comparaison de fiabilité pour l'analyse de
[20] V. Santarcangelo, G. Oddo, M. Pilato, F. Valenti et C. Fornaro, « Social opinion mining : An
validité osint," IEEE Transactions on Industrial Informatics, vol. 14, non. 12, p. 5428–5435,
approach for italian language », dans IEEE 3rd International Conference on Future
décembre 2018.
Internet of Things and Cloud, Rome, Italie, août 2015, p. 693–697.
[42] M. Zago, P. Nespoli, D. Papamartzivanos, M. Gil Pérez, F. Gómez Mármol, G. Kambourakis
et G. Martínez Pérez, "Screening out social bots interférence: Are there any silver bullets?"
[21] M. Kandias, D. Gritzalis, V. Stavrou et K. Nikoloulis, "Détection du niveau de stress via le
IEEE Communications Magazine, vol. 57, non. 8, p. 98-104, août 2019.
modèle d'utilisation OSN et l'analyse de la chronicitéÿ: un module de renseignement sur
les menaces OSINT", Computers & Security, vol. 69, p. 3–17, août 2017.
[43] GR Weir, «ÿLes limites de l'automatisation de l'osintÿ: comprendre la question, pas la
[22] B. Senekal et E. Kotzé, « Intelligence open source (OSINT) pour la surveillance des conflits
réponseÿ», dans Automating Open Source Intelligence, R. Layton et PA Watters, Eds.
en Afrique du Sud contemporaine : défis et opportunités dans un contexte de mégadonnées
Boston : Syngress, 2016, p. 159 – 169.
», African Security Review, vol. 28, non. 1, p. 19–37, 2019.
[44] P. Casanovas, Cyberguerre et crime organisé. Un modèle réglementaire et un méta-modèle
pour l'intelligence open source (OSINT). Cham : Springer International Publishing, 2017,
[23] DY Kao, YT Chao, F. Tsai et CY Huang, « Analyse des preuves numériques appliquée aux p. 139–167.
enquêtes sur la cybercriminalité », Conférence IEEE 2018 sur la sécurité des applications, [45] H. Bean, «ÿL'intelligence open source est-elle une question éthiqueÿ?ÿ» en recherche sur
de l'information et des réseaux, AINS 2018, pp. 117–122, 2019. les problèmes sociaux et les politiques publiques, S. Maret, éd. Emerald Group Publishing
Limited, 2011, vol. 19, p. 385–402.
[24] RP Pastor et HL Larsen, "Scanning of Open Data for Detection of Emerging Organized [46] B. Liu et L. Zhang, Une enquête sur l'exploration des opinions et l'analyse des sentiments.
Crime Threats - The ePOOLICE Project", dans Utilisation des données ouvertes pour Boston, MA : Springer US, 2012, p. 415–463.
détecter les menaces du crime organisé. Springer International Publishing, 2017, p. 47– [47] P. Ranade, S. Mittal, A. Joshi et K. Joshi, «ÿUtiliser des réseaux de neurones profonds pour
71. traduire des renseignements sur les menaces multilinguesÿ», dans 2018 IEEE International
[25] C. Aliprandi, J. Arraiza Irujo, M. Cuadros, S. Maier, F. Melero et M. Raffaelli, « Caper : Conference on Intelligence and Security Informatics (ISI), novembre 2018 , p. 238–243.
Collaborative information, acquisition, processing, exploitation and reporting for the
prevention of Organized crime », dans HCI International 2014 - Résumés étendus des [48] Y. Ghazi, Z. Anwar, R. Mumtaz, S. Saleem et A. Tahir, «ÿUne approche basée sur
affiches, C. Stephanidis, Ed. l'apprentissage automatique supervisé pour extraire automatiquement des renseignements
Cham : Springer International Publishing, 2014, p. 147-152. sur les menaces de haut niveau à partir de sources non structuréesÿ», dans la Conférence
[26] T. Delavallade, P. Bertrand et V. Thouvenot, « Extracting Future Crime Indicators from internationale de 2018 sur Frontiers of Information Technology (FIT), décembre 2018, pp.
Social Media », dans Utilisation des données ouvertes pour détecter les menaces de 129–134.
criminalité organisée. Cham : Springer International Publishing, 2017, p. 167-198. [49] S. Nooubours, A. Pritzkau et U. Schade, «ÿNlp as an essential component of effective osint
frameworksÿ», dans Conférence sur les systèmes de communication et d'information
[27] MJ Hernandez, CC Pinzon, DO Diaz, JCC Garcia et RA Pinto, « Open Source Intelligence militaires de 2013, octobre 2013, pp. 1–7.
(OSINT) as Support of Cybersecurity Operations », Links Magazine : Science, Technology [50] Y. Li, J. Gao, C. Meng, Q. Li, L. Su, B. Zhao, W. Fan et J. Han, « Une enquête sur la
and society, vol. 15, p. 29–40, découverte de la vérité », SIGKDD Explor. Newsl., vol. 17, non. 2, p.
1–16, février 2016.
[28] Projet DiSIEM, « Diversity Enhacements for Security Information and Event Management [51] T. Vopham, JE Hart, F. Laden et YY Chiang, "Tendances émergentes de l'intelligence
Project : http://disiem-project.eu/ ». artificielle géospatiale (geoAI): applications potentielles pour l'épidémiologie
environnementale", Environmental Health, vol. 17, non. 1 avril 2018.
[29] S. Lee et T. Shon, « Open source intelligence base cyber Threat Inspection Framework for
Critical Infrastructures », dans IEEE Future Technologies Conference (FTC), San
[52] S. Stieglitz, M. Mirbabaie, B. Ross et C. Neuberger, « Social media analytics âA ¸S
Francisco, CA, USA, décembre 2016, pp. 1030–1033 . ÿ
challenges in topic discovery, data collection, and data preparation », International Journal
[30] M. Edwards, R. Larson, B. Green, A. Rashid et A. Baron, "Panning for gold: Automatically
of Information Management, vol. 39, p. 156 – 168, 2018.
analysis online social engineering attack surfaces,"
Informatique et sécurité, vol. 69, pp. 18 – 34, 2017, science des données de sécurité et
[53] L. Serrano, M. Bouzid, T. Charnois, S. Brunessaux, et B. Grilheres, « Extraction et agrégation
gestion des cybermenaces.
d'événements pour l'intelligence open source : du texte à la connaissance », Actes -
[31] MG Lozano, J. Brynielsson, U. Franke, M. Rosell, E. Tjornhammar, S. Varga et V. Vlassov,
International Conference on Tools with Artificial Intelligence, ICTAI, pages 518 à 523,
« Évaluation de la véracité des données en ligne », Systèmes d'aide à la décision, pp.
2013.
113 – 132, 2019 .
[54] N. Kim, S. Lee, H. Cho, B. Kim et M. Jun, "Conception d'un système de collecte d'informations
[32] BL William Wong, « Fluidité et rigueur : Aborder les considérations de conception pour les
sur les cybermenaces pour la corrélation des cyberattaques", dans la Conférence
outils et processus osint », dans Open Source Intelligence Investigation : From Strategy
internationale 2018 sur la technologie et les services de plate-forme (PlatCon ), janvier
to Implementation, B. Akhgar, PS Bayerl, et F. Sampson, Eds. Cham : Springer
2018, p. 1 à 6.
International Publishing, 2016, p. 167–185.
[55] S. Pournouri, S. Zargari et B. Akhgar, « Une enquête sur l'utilisation de techniques de
classification dans la prédiction du type de cibles dans les cyberattaques », en 2019 IEEE
[33] G. Kalpakis, T. Tsikrika, N. Cunningham, C. Iliou, S. Vrochidis, J. Mid dleton et I. 12th International Conference on Global Security, Safety and Sustainability (ICGS3) ,
Kompatsiaris, OSINT et le Dark Web. Cham : Springer International Publishing, 2016, p. janvier 2019, p. 202–212.
111–132. [56] I. Deliu, C. Leichter et K. Franke, "Extracting cyber Threat Intelligence from hacker forums:
[34] MK Bergman, "Livre blancÿ: Le Web profondÿ: faire émerger la valeur cachée", Support vector machines versus convolutional neural networks", dans 2017 IEEE
Le Journal de l'édition électronique, vol. 7, non. 1 août 2001. International Conference on Big Data (Big Data), décembre 2017, pages 3648–3656.
[35] M. Schäfer, M. Fuchs, M. Strohmeier, M. Engel, M. Liechti et V. Lenders, « Blackwidow :
Monitoring the dark web for cyber security information », en 2019 11th International [57] G. de la Torre-Abaitua, LF Lago-Fernández et D. Arroyo, "Un cadre basé sur la pression de
Conference on Cyber Conflict ( CyCon), vol. 900, Tallinn, Estonie, mai 2019, pp. 1–21. communication pour la détection d'anomalies dans des sources de données hétérogènes",
ArXiv, vol. Abs / 1908.00417, 2019.
22 VOLUME 4, 2016
[58] R. Azevedo, I. Medeiros et A. Bessani, «ÿPureÿ: générer des renseignements sur les menaces [77] E. Ferrara, PD Meo, G. Fiumara et R. Baumgartner, « Web data extraction, applications and
de qualité en regroupant et en corrélant osintÿ», en 2019, 18e conférence internationale de techniques : A survey », Knowledge-Based Systems, vol. 70, pages 301 à 323, 2014.
l'IEEE sur la confiance, la sécurité et la confidentialité dans l'informatique et les
communications/13e conférence internationale de l'IEEE Conférence sur la science et [78] IH Witten, E. Frank, MA Hall et CJ Pal, Data Mining : outils et techniques pratiques
l'ingénierie du Big Data (TrustCom/BigDataSE), août 2019, pp. 483– 490. d'apprentissage automatique. Morgan Kaufman, 2017.
[79] A. Caliskan, JJ Bryson et A. Narayanan, « La sémantique dérivée automatiquement des
[59] M. Wang, M. Tsai, W. Yang et C. Lei, « Infection categorization using deep autoencoder », corpus linguistiques contient des biais de type humain », Science, vol. 356, non. 6334, p.
dans IEEE INFOCOM 2018 - IEEE Conference on Computer Communications Workshops 183–186, 2017.
(INFOCOM WKSHPS), avril 2018, p. 1 –2. [80] C. Eldridge, C. Hobbs et M. Moran, "Fusing algorithms and analysts: open-source intelligence
in the age of "Big Data"", Intelligence and National Security, vol. 33, non. 3, p. 391–406,
[60] H. Pellet, S. Shiaeles et S. Stavrou, « Localisation des utilisateurs de réseaux sociaux et 2018.
profilage de leurs déplacements », Computers & Security, vol. 81, pages 49 à 57, 2019. [81] X. Yin, J. Han et PS Yu, « Découverte de la vérité avec plusieurs fournisseurs d'informations
en conflit sur le Web », IEEE Transactions on Knowledge and Data Engineering, vol. 20,
[61] R. Wang, W. Ji, M. Liu, X. Wang, J. Weng, S. Deng, S. Gao et C. an Yuan, "Review on mining non. 6, pages 796 à 808, juin 2008.
data from multiple data sources," Pattern Recognition Lettres, vol. 109, pp. 120 – 128, [82] AS Hulnick, «ÿLe dilemme du renseignement à sources ouvertesÿ: l'osint est-il vraiment du
2018, numéro spécial sur la découverte de modèles à partir de données multi-sources renseignementÿ?ÿ» dans The Oxford Handbook of National Security Intelligence, LK
(PDMSD). Johnson, éd. Oxford University Press, 09 2010.
[62] R. Layton, C. Perez, B. Birregah, P. Watters et M. Lemercier, « Liaison indirecte d'informations [83] K. Shu, A. Sliva, S. Wang, J. Tang et H. Liu, "Détection de fausses nouvelles sur les réseaux
pour l'osint par l'analyse de la paternité des alias », dans Trends and Applications in sociauxÿ: une perspective d'exploration de données", SIGKDD Explor. Newsl., vol. 19, non.
Knowledge Discovery and Data Mining, J. Li, L. Cao, C. Wang, KC Tan, B. Liu, J. Pei et VS 1, p. 22–36, septembre 2017.
Tseng, Eds. Berlin, Heidelbergÿ: Springer Berlin Heidelberg, 2013, p. 36-46. [84] BH Miller, « Open source intelligence (OSINT) : Un oxymore ? Journal international du
renseignement et du contre-espionnage, vol. 31, non. 4, p. 702–719, 2018.
[63] A. Chaabane, P. Manils et MA Kaafar, « Creuser dans le trafic anonyme : une analyse
approfondie du réseau d'anonymisation tor », dans Actes de la quatrième conférence [85] G. Suarez-Tangil, M. Edwards, C. Peersman, G. Stringhini, A. Rashid et M. Whitty,
internationale de 2010 sur la sécurité des réseaux et des systèmes, ser. NSS '10. "Démantèlement automatique de la fraude aux rencontres en ligne", IEEE Transactions on
Washington, DC, États-Unis : IEEE Computer Society, 2010, p. 167–174. Information Forensics and Security, pp. 1– 1, 2019.
[86] J. Rajamäki et J. Simola, «ÿComment appliquer la confidentialité dès la conception dans
[64] S. Pastrana, A. Hutchings, A. Caines et P. Buttery, «ÿCaracterizing eveÿ: Analyser les acteurs l'osint et l'analyse de données volumineusesÿ?ÿ» Conférence européenne sur la guerre et
de la cybercriminalité dans un grand forum souterrainÿ», dans Research in Attacks, la sécurité de l'information, ECCWS, vol. 2019-juillet, p. 364–371, 2019.
Intrusions, and Defenses, M. Bailey, T. Holz, M. Stamatogian nakis et S. Ioannidis, Eds. [87] JH Hoepman, «ÿStratégies de conception de la confidentialitéÿ», IFIP Advances in Information
Cham : Springer International Publishing, 2018, p. 207–227. and Communication Technology, vol. 428, p. 446–459, 2014.
[88] G. Hribar, I. Podbregar et T. Ivanuša, "OSINT : A "Grey Zone"?" Journal international du
[65] W. Tounsi et H. Rais, « Une enquête sur le renseignement technique sur les menaces à l'ère renseignement et du contre-espionnage, vol. 27, eh bien. 3, p. 529–549, 2014.
des cyberattaques sophistiquées », Computers & Security, vol. 72, p. 212 – 233, 2018.
[89] Q. Eijkman et D. Weggemans, « Open source intelligence and privacy dilemmas : Is it time to
[66] C. Sauerwein, I. Pekaric, M. Felderer et R. Breu, « Une analyse et une classification des reassess state accountability ? Sécurité et droits de l'homme, vol. 23, non. 4, p. 285–296,
sources de données de sécurité de l'information publique utilisées dans la recherche et la 2012.
pratique », Computers & Security, vol. 82, pages 140 à 155, 2019. [90] P. Mitzias, E. Kontopoulos, J. Staite, T. Day, G. Kalpakis, T. Tsikrika, H. Gibson, S. Vrochidis,
[67] R. Layton, « Attribution relative des cyberattaques », dans Automating Open Source B. Akhgar et I. Kompatsiaris, « Deploying semantic web technologies for fusion
Intelligence, R. Layton et PA Watters, Eds. Bostonÿ: Syngress, 2016, p. 37 à 60. d'informations sur le contenu lié au terrorisme et détection des menaces sur le Web »,
dans IEEE/WIC/ACM International Conference on Web Intelligence - Companion Volume,
[68] V. Mavroeidis et S. Bromander, « Modèle de renseignement sur les cybermenaces : Une ser. WI '19 Compagnon. New York, NY, États-Unis : ACM, 2019, p. 193–199.
évaluation des taxonomies, des normes de partage et des ontologies au sein du
renseignement sur les cybermenaces », dans 2017 European Intelligence and Security [91] GW Giumetti et RM Kowalski, Cyberbullying Matters: Examining the Incremental Impact of
Informat ics Conference (EISIC), Athènes, Grèce, Septembre 2017, p. 91–98. Cyberbullying On Outcomes Over and Above Traditional Bullying in North America. Cham :
[69] S. Bromander, A. Jøsang et M. Eian, « Semantic cyberthreat modelling », dans Eleventh Springer International Publishing, 2016, p. 117–130.
Conference on Semantic Technologies in Intelligence, De fense, and Security, Fairfax, VA,
USA, novembre 2016, pp. 74– 78. [92] EM Romera, M. Herrera-López, JA Casas, RO Ruiz et R. Del Rey, «ÿCombien les adolescents
[70] O. Akinrolabu, I. Agrafiotis et A. Erola, "Le défi de la détection d'attaques sophistiquéesÿ: cybergossipÿ? Développement et validation d'échelles en Espagne et en Colombie »,
aperçus d'analystes soc", dans Actes de la 13e Conférence internationale sur la disponibilité, Frontiers in Psychology, vol. 9, non.
la fiabilité et la sécurité, ser. FÉV, p. 1–10, 2018.
ARES 2018. New York, NY, États-Unis : ACM, 2018, p. 55ÿ: 1–55ÿ: 9. [93] L. Benes, « OSINT, nouvelles technologies, éducation : élargir les opportunités et les
[71] D. Lande et E. Shnurko-Tabakova, «ÿOsint en tant que partie du système de cyberdéfenseÿ», menaces. Un nouveau paradigme », Journal of Strategic Security, vol. 6, non. 3Suppl, p.
Theoretical and Applied Cybersecurity, vol. 1, non. 1, 2019. 22–37, 2013.
[72] B. Akhgar, « L'Osint en tant que partie intégrante de l'appareil de sécurité nationale », dans [94] A. López-Martínez, JA García-Díaz, R. Valencia-García et A. Ruiz Martínez, « Cyberdect.
Open Source Intelligence Investigation : From Strategy to Implementation, B. Akhgar, PS une nouvelle approche pour la détection de la cyberintimidation sur Twitter », dans
Bayerl, et F. Sampson, Eds. Cham : Springer International Publishing, 2016, p. 3–9. Technologies et innovation. Chamÿ: Springer International Publishing, 2019, p. 109–121.
[73] J. Chae, D. Graham, A. Henderson, M. Matthews, J. Orcutt et MJ

Steven Song, « Une approche systémique pour évaluer les outils de renseignement open
source actuels et émergents de l'armée », SysCon 2019 - 13e conférence annuelle IEEE
International Systems, Actes, pp. 1–5, 2019.
[74] D. Trottier, « Intelligence open source, médias sociaux et application de la loi : visions,
contraintes et critiques », European Journal of Cultural Studies, vol. 18, non. 4-5, p. 530–
547, 2015.
[75] L. Rocher, JM Hendrickx et Y.-A. de Montjoye, «ÿEstimation du succès des réidentifications
dans des ensembles de données incomplets à l'aide de modèles génératifsÿ»,
Nature Communications, vol. 10, non. 1, p. 3069, 2019.
[76] RS Portnoff, S. Afroz, G. Durrett, JK Kummerfeld, T. Berg Kirkpatrick, D. McCoy, K.
Levchenko et V. Paxson, «ÿOutils d'analyse automatisée des marchés cybercriminelsÿ»,
dans 26e Conférence internationale sur le World Wide Web, ser. Www'17. République et
Canton de Genève, Suisse : International World Wide Web Conferences Steering
Committee, 2017, pp. 657–666.
VOLUME 4, 2016 23

The Not Yet Exploited Goldmine of OSINT Opportunit

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

The Not Yet Exploited Goldmine of OSINT Opportunit

Transféré par

Droits d'auteur :

Formats disponibles

Machine Translated by Google

Identifiant d'objet digital ...

La mine d'or non encore exploitée de

Auteur correspondant : Javier Pastor-Galindo (courriel : javierpg@um.es)

le traitement des données personnelles relatives aux personnes

Opinion sociale et Cybersécurité et

Campagnes politiques Analyse médico-légale

forces de sécurité avec la possibilité de détecter rapidement les

Grande quantité d'informations disponibles Complexité de la gestion des données

Haute capacité de calcul Informations non structurées

Mégadonnées et apprentissage automatique Désinformation

Types de données complémentaires Fiabilité des sources de données

Objectif flexible et large champ d'application Fortes considérations éthiques/juridiques

TABLEAU 1: Avantages et inconvénients d'OSINT en bref

publiques et en mélangeant un grand nombre d'ensembles de données, de relations et

d'algorithmes d'apprentissage automatique, qui peuvent automatiser et rendre les qualité.

processus d'enquête et de prise de décision plus intelligents et efficaces [36]. Il permet

Renseignements personnels Découvertes

Vrai nom Nom d'utilisateur

LE RECUEIL UNE ANALYSE CONNAISSANCES EXTRACTION

FIGURE 2 : Principaux workflows OSINT et intelligence dérivée

apprentissage). fonctionne très bien et renvoie des informations précieuses au

Ces techniques intelligentes permettent de déduire des problèmes

VOLUME 4, 2016 sept

Filtre Google/Bing Opérateur de recherche Exemple d'utilisation

TABLEAU 2 : Quelques filtres Google/Bing pour la recherche avancée

Réseau social Taper Portée Potentiel principal pour OSINT

TABLEAU 3 : Potentiel des différents réseaux sociaux

Adresse e-mail Service OSINT URL Sortie principale

Service OSINT URL Sortie principale

TABLEAU 5 : Utilité des services OSINT appartenant à la technique username

That's Them propose également une sortie remarquable contenant

dix VOLUME 4, 2016

Nom réel du service OSINT URL Sortie principale

Pipl pipl.com Renseignements personnels

TABLEAU 6 : Utilité des services OSINT appartenant à la technique du nom réel

Service de localisation OSINT URL Sortie principale

Google Maps google.com/maps

Cartes Bing maps

TABLEAU 7 : Utilité des services OSINT appartenant à la technique de localisation

Adresse IP Service OSINT URL Sortie principale

TABLEAU 8 : Utilité des services OSINT appartenant à la technique des adresses IP

Service OSINT de nom de domaine URL Sortie principale

Google, Informations d'identité,

Domaine, Différents types

TABLEAU 10 : Principales caractéristiques des outils OSINT sélectionnés

une adresse e-mail, un nom d'hôte, un vrai nom ou un numéro de téléphone.

VII. INTÉGRATION DE L'OSINT DANS LES ENQUÊTES SUR

MODÈLE DML OSINT

5.Techniques Plan d'exécution et

2. Artefacts d'hôte et de réseau

A. OPÉRATIONS RELATIVES AUX AFFAIRES INTÉRIEURES DE L'ÉTAT

Agence de l'Union européenne pour la coopération en matière répressive

FIGURE 4 : Scores de transparence de la 4e édition du Baromètre des données ouvertes

23https://datos.gob.es/ Plus la quantité d'informations collectées est importante, plus il est

renseignement espagnols utilisent l'OSINT dans leurs procédures internes. 2978.

[73] J. Chae, D. Graham, A. Henderson, M. Matthews, J. Orcutt et MJ

Vous aimerez peut-être aussi