Expert en cybersécurité, Baptiste Robert explique les secrets de l'OSINT, cette discipline qui transforme les données publiques en renseignements exploitables, du conflit ukrainien aux divorces contentieux. Mal sollicitée, la pratique peut très vite être à la limite de la légalité.
L'OSINT est une discipline aussi utile que dangereuse, que l'on pratique tous plus ou moins sans le savoir au quotidien, avec plus ou moins de bienveillance. Baptiste Robert, hacker éthique et chercheur en cybersécurité réputé, en est l'un de ses plus fervents experts. Il en a même fait la raison d'être de sa société, Predicta Lab. Celui qui s'est fait connaître il y a dix ans en dénichant des failles de sécurité dans son téléphone, revient pour Clubic sur cet univers fascinant qu'est l'Open Source Intelligence, ou comment faire du renseignement avec ce qui traîne sur internet… et ailleurs.
L'OSINT, ou l'art de transformer la donnée en certitude
« L'OSINT, c'est un acronyme pour Open Source Intelligence. Il ne faut pas oublier qu'en anglais, le mot intelligence se traduit par renseignement », explique d'emblée Baptiste Robert. Une nuance linguistique loin d'être anecdotique. « Le français est une très belle langue, mais quand on a deux mots différents, c'est probablement qu'ils expriment deux choses différentes. » Information contre renseignement, la frontière entre les deux définit tout son métier.
Pour mieux comprendre la subtilité, Baptiste Robert nous invite à imaginer un chef d'État qui reçoit l'information qu'un chef terroriste sera à tel endroit, à telle heure. Doit-on bombarder ? Envoyer des troupes ? « Cette décision implique des moyens, de l'argent, des hommes. Elle a besoin d'être basée sur du renseignement, une information avec un haut degré de certitude », explique-t-il. Voilà toute la différence.
« Notre métier, c'est d'essayer d'amener une certaine certitude sur les choses qui vont potentiellement se dérouler. » Qualifier les informations, déterminer ce qui est probable, ce qui l'est moins, ce qui est certain… Le chercheur transforme la donnée brute en intelligence exploitable. « L'OSINT, c'est la capacité à créer du renseignement à partir d'informations disponibles publiquement. » Est-ce si simple ? Vous allez voir que oui et non.
Vous vous posez sans doute la question de la légalité de la discipline. « Faire de l'OSINT, c'est légal, il n'y a pas de sujet là-dessus », assure Baptiste Robert. Mais attention, « ce n'est pas parce que la donnée est disponible publiquement que vous avez le droit de la récupérer, de faire n'importe quoi avec. » Le RGPD, l'utilisation de fuites de données, les zones grises juridiques sont à considérer. Et le bon sens doit rester l'indispensable boussole.
De Google à la guerre en Ukraine : l'OSINT partout, parfois sans le savoir
Rassurez-vous, vous faites déjà de l'OSINT sans le savoir. « Quand vous faites une recherche Google, parce que par exemple vous avez vu un bien immobilier qui vous intéresse, vous essayez de retrouver l'endroit sans vouloir forcément passer par l'agent. Ça, c'est faire de l'OSINT », démystifie Baptiste Robert. La généalogie familiale ? De l'OSINT aussi, fondamentalement. Loin du fantasme de l'espionnage, la discipline s'invite dans le quotidien de chacun.
Chez Predicta Lab, la société fondée par notre spécialiste il y a cinq ans, il est intéressant de voir que les applications se déclinent en différentes verticales. Il y a les services d'analyse : « On travaille beaucoup avec des avocats, avec des enquêteurs privés, dans le cadre de procédures qui ont lieu dans la vie de tous les jours. » La recherche inversée d'information (obtenir tous les comptes associés à un e-mail ou à un numéro de téléphone en un éclair), c'est monnaie courante. Des divorces, des litiges commerciaux, de la recherche d'actifs, oui, l'OSINT peut aider à reconstituer des parcours, à vérifier des déclarations. Son entreprise propose aussi de sécuriser l'empreinte numérique de PDG, membres de COMEX ou hommes politiques, dont les données personnelles exposées peuvent créer de vrais risques de sécurité physique.
L'OSINT s'est aussi popularisée dans les conflits armés. Là, Baptiste n'a pas à chercher bien loin pour nous le faire comprendre. « Dans la guerre en Ukraine, la discipline est un flux de données particulier, qui permet d'obtenir de l'information sur ses ennemis, de savoir où sont placées les troupes, quelle est l'activité à un endroit donné. » Des images satellites aux posts sur les réseaux sociaux, tout devient source de renseignement.
Le revers de la médaille peut, par exemple, être la fuite de données de la Fédération française de tir du mois d'octobre, qui illustre les risques. Car l'OSINT ne se limite pas à internet. Il y a aussi les archives publiques, les registres officiels, et… le dark web. Il faut partir du principe que toutes les sources ouvertes sont exploitables. Des malfrats ont en effet exploité les adresses publiques des licenciés pour se faire passer pour des policiers et voler leurs armes à domicile. Il pourrait d'ailleurs prochainement se passer la même chose avec les chasseurs, dont la fédération a également été victime d'une cyberattaque il y a quelques jours.
L'anonymat sur internet, un faux débat
L'OSINT et l'anonymat sur internet sont deux sujets à la fois si éloignés, et si proches. Car en dire le moins sur soi en ligne est le meilleur moyen d'échapper à l'Open Source Intelligence. Sauf que « l'anonymat sur internet, ça n'existe pas », tranche Baptiste Robert. Pour lui, le débat politique qui pose le dossier sur la table rate sa cible. Le vrai sujet serait d'« avoir plus de moyens pour les forces de l'ordre, pour qu'elles puissent mieux faire leur boulot. » Car les policiers cyber, les gendarmes cyber manquent davantage de temps et de ressources, que d'outils pour identifier les malfaiteurs.
L'une des questions importantes, et cela rejoint justement le débat autour de l'interdiction – votée par l'Assemblée nationale lundi soir – des réseaux sociaux au moins de 15 ans, concerne l'addiction aux réseaux sociaux. « Les réseaux sociaux rendent addict, c'est une drogue. On y passe des heures et des heures à scroller », constate-t-il. Un phénomène qu'il observe de près, Baptiste Robert étant lui-même père de filles adolescentes. Mais on l'observe toutes et tous. Et on sait que l'impact dépasse largement la simple consommation de temps.
« L'exposition aux réseaux sociaux, quand on est en construction de soi-même, construction de l'image de soi-même et qu'on nous diffuse de l'information avec des top-modèles, qu'on est soi-même en train de se construire, pour des jeunes filles, des jeunes hommes, c'est un problème aussi, c'est un vrai sujet. » Le débat sur l'interdiction aux mineurs touche un point sensible, mais « le débat politique, il n'est pas sur l'anonymat, ce n'est pas un débat technique », constate-t-il.
Une philosophie que Baptiste Robert applique à tous les sujets qu'il aborde. « Le monde est compliqué, il est de plus en plus compliqué. La cybersécurité, c'est compliqué. » Dans un univers où tout le monde simplifie à outrance, lui préfère apporter de la nuance. Car en matière de cyber comme ailleurs, « c'est jamais blanc ou noir, c'est toujours un peu gris. La question, c'est quelle nuance de gris ». Cela s'applique bien à l'OSINT, tiens.
