Chaque organisation, de même que chacun de ses employés, possède une empreinte numérique. Ces empreintes peuvent révéler une multitude d’informations sensibles ou utilisables à des fins malveillantes. L’OSINT (Open Source Intelligence) permet de visualiser ce que les cybercriminels sont susceptibles de voir.
L’Intelligence Open Source: Une Vue d’Ensemble
Contrairement à ce que son nom pourrait suggérer, l’intelligence open-source (OSINT) n’est pas intrinsèquement liée aux logiciels open-source, bien que de nombreux outils logiciels de ce type puissent faciliter la collecte d’informations. L’OSINT se définit comme le renseignement obtenu à partir de sources librement accessibles au public. L’acquisition de ces données ne nécessite aucune activité cybercriminelle ; elles sont disponibles à qui sait où et comment chercher.
Les sources d’OSINT sont variées : Internet, les médias traditionnels, les réseaux sociaux, les revues de recherche, ou encore les registres publics d’États ou de gouvernements nationaux, comme le Registre des entreprises du Secrétaire d’État de Californie ou le Registre des entreprises du Royaume-Uni.
L’OSINT est accessible à tous. Il s’agit de visualiser les informations rendues publiques, sans recourir à l’accès illégal à des données privées ou à l’utilisation de données d’identification sans consentement. La distinction se situe entre l’observation de publications publiques et l’intrusion dans un compte privé pour lire des messages.
En général, l’OSINT est gratuit. Certains outils spécialisés fonctionnent sur un modèle freemium, mais globalement, l’OSINT est peu risqué, gratuit et très efficace. Il est donc logique que les acteurs malveillants l’utilisent dans la phase de reconnaissance précédant les cyberattaques telles que le phishing, l’ingénierie sociale, ou des actions dommageables telles que le chantage d’entreprise ou individuel. Pour se protéger, il est essentiel de connaître l’étendue des informations disponibles concernant votre organisation et son personnel.
Pourquoi l’OSINT est-elle une arme pour les cybercriminels ?
L’OSINT aide les équipes de sécurité à identifier les informations, indices et autres éléments qui, laissés par vos employés dans leur empreinte numérique publique, peuvent compromettre votre sécurité.
Par exemple, un développeur web peut avoir un profil LinkedIn. Ces profils mentionnent les technologies maîtrisées et celles en cours d’utilisation. Cela donne des indices sur les technologies utilisées par votre site web, et donc les vulnérabilités potentielles. Il est probable que cette même personne dispose d’un compte administrateur sur votre site web. D’autres informations qu’elle pourrait publier, comme des noms d’animaux de compagnie ou de proches, sont souvent utilisées comme base de mots de passe, et sont donc autant d’éléments que les acteurs malveillants peuvent exploiter.
Le Dark Web abrite des bases de données de fuites de données. Une fuite chez LinkedIn en mai 2016 a exposé 164 millions d’adresses e-mail et de mots de passe. Si les informations de votre développeur ont été compromises lors de cette fuite, et qu’il a réutilisé le même mot de passe sur votre site web, les cybercriminels ont désormais un accès facile à celui-ci.
À lire également: Comment vérifier si les emails de vos employés ont été compromis.
L’OSINT : Un outil de défense
Les organisations utilisent fréquemment des tests d’intrusion pour détecter les failles de sécurité des infrastructures connectées à Internet. L’OSINT peut être employée de façon similaire pour mettre en lumière les vulnérabilités causées par la diffusion d’informations.
Un de vos employés divulgue-t-il involontairement trop d’informations ? Quel volume d’informations est déjà accessible et pourrait être utilisée par un acteur malveillant ? De fait, la majorité des tests d’intrusion et des missions d’équipe rouge incluent des recherches OSINT dans leurs phases initiales de collecte et de reconnaissance d’informations.
Quelle est l’étendue des informations que d’autres pourraient découvrir sur votre organisation et vos employés grâce à leur empreinte numérique ? Le moyen le plus direct de le savoir est d’effectuer une recherche OSINT sur votre propre organisation.
Techniques simples d’OSINT
Quelle que soit la méthode utilisée, il est préférable de débuter avec une recherche large pour ensuite l’affiner progressivement. Une approche trop ciblée dès le départ risque de faire passer à côté d’informations qui n’apparaissent qu’avec des termes de recherche plus généraux.
Il est important de se rappeler que les employés ne sont pas les seuls à posséder une empreinte numérique. Votre organisation en a une elle aussi, à travers des sources non techniques comme les registres de commerce ou financiers, mais également sur les sites de recherche de matériel comme Shodan ou ZoomEye. Ces sites permettent de rechercher des périphériques par type, marque, modèle ou par catégorie, comme des « webcams IP ». Vous pouvez également chercher des protocoles, des ports ouverts ou des caractéristiques comme « mot de passe par défaut ». Ces recherches peuvent être affinées par zone géographique.
Votre site web peut lui aussi receler des informations précieuses pour les acteurs malveillants. La page « Notre équipe » donne des rôles, des noms et parfois des adresses e-mail. Si le format des adresses e-mail est évident ( « prénom.nom@ », « initial.nom@ », etc.), l’adresse de n’importe quel employé peut être déduite en connaissant son nom. Une liste de clients peut être récupérée à partir des témoignages.
Ces informations suffisent à un acteur malveillant pour lancer une attaque de phishing ciblé. Un e-mail urgent, semblant émaner d’un responsable, pourrait être envoyé à une personne du service financier pour demander un paiement immédiat à un client spécifique. Bien entendu, les coordonnées bancaires fournies seraient celles de l’acteur malveillant.
Les photographies sur les réseaux sociaux et les blogs doivent être examinées avec attention, en prêtant attention aux informations en arrière-plan ou sur les bureaux. Écrans d’ordinateurs, tableaux blancs, documents, badges d’accès peuvent révéler des informations utiles pour les acteurs malveillants.
Des plans de bâtiments sensibles ont été découverts sur des portails de demandes de permis de construire. Des dépôts Git non protégés peuvent révéler des vulnérabilités ou permettre d’injecter du code malveillant.
Les profils sur LinkedIn, Facebook et Twitter sont une mine d’informations. Un simple tweet annonçant l’anniversaire d’un employé, par exemple, peut révéler son nom et son année de naissance. Si cette personne s’appelle Shirley et que son anniversaire est célébré, il est aisé de déduire que son mot de passe pourrait être « Shirley1999 » ou « Shirley99 ».
Les informations collectées sur les réseaux sociaux sont particulièrement utiles pour l’ingénierie sociale, qui consiste à manipuler les employés pour obtenir un accès non autorisé aux informations ou aux systèmes de l’entreprise.
Cette pratique est-elle légale ?
L’utilisation des méthodes OSINT est légale aux États-Unis et au Royaume-Uni. Dans d’autres pays, il est nécessaire de vérifier la législation locale. En règle générale, si les données ne sont pas protégées par un mot de passe et qu’il n’est pas nécessaire de recourir à la tromperie ou à l’infiltration pour y accéder, leur consultation est légale. Les acteurs malveillants, eux, ne se soucient pas de ces détails.
Le Protocole de Berkeley fournit un cadre d’orientation pour les enquêtes OSINT liées aux crimes de guerre et aux violations des droits de l’homme. Ce protocole, ou un équivalent, est un bon point de départ pour s’informer sur les aspects légaux et éthiques de la recherche OSINT.
Voici quelques outils OSINT parmi les plus connus et les plus utilisés. Kali Linux en contient beaucoup, d’autres sont disponibles sous forme d’images conteneurisées, sur GitHub, ou en tant qu’installations autonomes. La plupart fonctionnent uniquement sous Linux. Les sites web sont bien sûr accessibles depuis n’importe où.
- Ghunt: Recherche un maximum d’informations sur une personne à partir de son adresse Gmail, en utilisant tout ce qui y est lié.
- ReNgine: Rassemble et affiche les résultats de différentes analyses d’outils OSINT, offrant une vue agrégée des informations.
- Shodan: Moteur de recherche de périphériques, protocoles et matériels. Il est souvent utilisé pour identifier les appareils non sécurisés, en particulier les objets connectés.
- ZoomEye: Une alternative à Shodan.
- Social Mapper: Utilise la reconnaissance faciale et les noms pour suivre les cibles sur différents réseaux sociaux. L’inscription est gratuite.
- SpiderFoot: Un outil d’automatisation OSINT, disponible en version open-source ou commerciale. La version open-source est amputée de certaines fonctionnalités avancées.
- Sublist3r: Un outil d’énumération de sous-domaines basé sur Python.
- theHarvester: Permet d’évaluer les menaces externes en collectant « emails, noms, sous-domaines, adresses IP et URL ».
- Maltgo: Un outil qui collecte des données à partir de nombreuses sources OSINT et affiche un graphe des liens entre les données et les individus.
- Google Dorking: Utilise des techniques de recherche avancées pour trouver des informations qui ne sont pas accessibles par une recherche classique, comme des fichiers de configuration ou des listes de mots de passe. Des sites comme Exploit Database sont dédiés au partage des termes de recherche pour Google Dorking.
Un outil (principalement) gratuit: Ne vous en privez pas !
Si votre équipe de sécurité ne pratique pas l’OSINT, elle se prive d’un atout essentiel. Identifier, modifier ou supprimer des informations sensibles rendues publiques est un excellent moyen de réduire les vulnérabilités liées à l’information et de se prémunir contre les accès malveillants.
