L’utilisation de renseignements open source (OSINT) devient de plus en plus importante au sein des départements de sécurité informatique. L’OSINT comprend l’acquisition, la collecte, l’analyse et la consolidation d’informations disponibles à partir de sources publiques telles qu’Internet.
C’est un très bon moyen pour les équipes de sécurité informatique de rechercher des données internes qui ne devraient pas être connues du public, notamment les ports ouverts et les appareils connectés. Beaucoup d’informations qui n’auraient pas dû être rendues publiques peuvent également être présentes sur les réseaux sociaux et les sites web.
L’OSINT est une excellente source de données et d’informations non seulement pour les administrateurs informatiques et les autres professionnels qui supervisent la sécurité informatique des entreprises, mais également pour les cybercriminels qui profitent de ces renseignements pour tenter de les attaquer. Ils utilisent les informations publiques comme base de données utile.
De nos jours, les groupes de pirates informatiques sont plus sophistiqués que jamais, en partie grâce aux énormes ressources financières et humaines dont ils disposent. Avant de passer à l’attaque proprement dite, ils font souvent leurs « devoirs », en essayant d’espionner leurs victimes et de recueillir le plus d’informations possible afin d’identifier les points faibles de leurs cibles, etc. Le moyen le plus simple d’y parvenir ? En faisant des recherches sur la plus grande source d’information au monde, le World Wide Web.
Les attaquants disposent de nombreuses options pour enrichir leur perspective sur presque tous les sujets, via les médias, les réseaux sociaux, des données publiques telles que les rapports gouvernementaux, des données commerciales ou des informations facilement consultables par les moteurs de recherche. L’Internet est une source quasi infinie dont les cybercriminels peuvent facilement tirer parti. Les administrateurs informatiques peuvent également utiliser des sources accessibles au public pour identifier des informations sur leur entreprise, sa posture de sécurité et d’autres données inutilement exposées.
Bien que l’objectif, le cadre juridique et l’intention d’utilisation diffèrent, il semble qu’avec l’OSINT, les spécialistes de la sécurité informatique et les cybercriminels ont souvent recours aux mêmes sources d’information. Pour utiliser une métaphore, les renseignements open source sont à peu près comparables à une cache d’armes qui approvisionnerait aussi bien les policiers que les gangsters.
Les outils d’OSINT disponibles sur le marché et dans quel but ils peuvent être utilisés
À l’aide de Shodan, par exemple, il est possible de détecter les objets connectés, les systèmes industriels et les ports ouverts.
- Maltego est un outil capable d’identifier les relations cachées entre les personnes, les domaines, les entreprises, les propriétaires de documents et d’autres entités. Les informations sont ensuite présentées dans une interface utilisateur intuitive.
- Metagoofil est un outil d’extraction de métadonnées à partir de documents accessibles au public. Il fournit des informations cruciales sur les systèmes informatiques (noms d’utilisateurs, versions de logiciels, adresses MAC, etc.)
- TheHarvester, l’un des outils d’OSINT les plus répandus et facile à utiliser, permet de comprendre ce qu’un attaquant peut voir sur votre entreprise : sous-domaines, hôtes, emails et ports ouverts. Il analyse non seulement Google et Bing, mais également des moteurs de recherche moins connus tels que DNSDumpster ou le moteur de recherche de métadonnées Exalead.
Plus important encore pour les défenseurs, quel que soit l’outil utilisé pour collecter des informations sur vos défenses et les tester, il est essentiel de toujours suivre la politique de test de pénétration de votre entreprise et des prestataires dont vous pourriez utiliser les services.
Légalité de l’OSINT
Comme nous l’avons déjà expliqué, l’OSINT peut identifier des informations publiques et librement accessibles. De ce point de vue, c’est tout à fait légal dans la plupart des pays occidentaux. Vous devez toutefois faire preuve de prudence quant aux exigences en matière de protection des données.
Deux exemples en disent long : La collecte de données protégées par un mot de passe ou de toute autre donnée non publique est illégale. L’utilisation d’informations provenant de réseaux sociaux enfreint les conditions d’utilisation de la plupart des plateformes.
Comment les agresseurs utilisent l’OSINT dans leurs attaques
Les cybercriminels tentent d’identifier des sources de données pertinentes afin de développer des méthodes d’attaque correspondantes ; idéalement sans laisser de traces. Il n’est pas rare que les cybercriminels exploitent des technologies d’information et de communication modernes qui permettent d’automatiser ces tâches.
Exemple 1 : Hameçonnage
Les moteurs de recherche comme Google excellent dans l’utilisation d’Internet pour rechercher des informations personnelles et professionnelles sur les gens. À cette fin, les réseaux sociaux professionnels, tels que LinkedIn et XING, sont souvent et facilement utilisés.
Mais d’autres réseaux sociaux offrent également des détails utiles (tels que les noms des animaux domestiques et des parents), qui peuvent être utilisés pour deviner des mots de passe. Les données obtenues de la sorte peuvent être utilisées à mauvais escient pour identifier des cibles de valeur (le plus souvent des personnes disposant de droits étendus sur leurs propres comptes utilisateur ou d’un accès à des informations confidentielles).
Exemple 2 : Failles de sécurité
Avec l’aide de l’OSINT, les pirates recherchent des failles de sécurité, telles que des appareils non corrigés, des ports ouverts, un stockage dans le Cloud mal configuré ou même des informations publiées accidentellement, afin d’identifier des cibles potentielles.
Comment les spécialistes de l’informatique utilisent l’OSINT pour sécuriser l’entreprise
Lorsqu’elles utilisent l’OSINT, les équipes de sécurité des entreprises cherchent avant tout à prendre connaissance des informations librement accessibles concernant leurs propres systèmes informatiques, dans le but de combler les failles de sécurité. Il s’agit par exemple :
- De ports ouverts et d’appareils connectés non sécurisés
- De logiciels non corrigés
- D’informations sur les appareils et les logiciels utilisés, telles que les versions des logiciels, les noms des appareils, les réseaux et les adresses IP
L’OSINT est également utile aux responsables informatiques pour identifier les informations publiques à l’extérieur de l’entreprise ; par exemple les contenus sur les sites web et les réseaux sociaux. Ils peuvent obtenir des informations à partir de sites web et de fichiers non indexés, ce que l’on appelle généralement le « deep web ». Même si ces informations n’apparaissent pas dans des résultats de recherche, elles sont techniquement publiques et donc accessibles via les outils d’OSINT.
Si vous souhaitez utiliser l’OSINT pour la gestion des cyber-risques, vous devez définir une stratégie claire à l’avance et répondre aux questions suivantes :
• Souhaitez-vous identifier les vulnérabilités des réseaux et des logiciels ?
• Souhaitez-vous identifier les ressources librement disponibles qui peuvent être utilisées par les pirates pour sélectionner les vecteurs d’attaque appropriés ?
• Souhaitez-vous connaître les risques liés aux informations partagées par les employés sur les réseaux sociaux ?
Il faut également savoir que l’analyse génère une grande quantité de données. Il est donc crucial que le processus soit automatisé. De même, des tests de pénétration réguliers, tenant compte de l’OSINT, sont utiles. Outre les mesures importantes de protection des terminaux, telles que l’utilisation d’une solution antivirus, d’un pare-feu ou du sandboxing dans le Cloud, ainsi que la formation régulière de tous les employés de l’entreprise, des stratégies liées à l’OSINT doivent également être intégrées dans votre concept de sécurité.