Sur le smartphone de Sylvain Hajri, s’affiche une liste d’applications utilisées par un homme politique français influent, l’heure de sa dernière connexion à ces services, et les derniers avis Google qu’il a laissés sur des restaurants ou commerces.
Du vol? Du piratage? Non, juste de l’exploitation de données numériques librement accessibles, réalisée par Epieos, la start-up de Sylvain Hajri, invitée cette semaine au Forum international de la cybersécurité (FIC) de Lille avec la fine fleur du renseignement en source ouverte (OSINT) français. À partir de n’importe quelle adresse email, Epieos est capable de retrouver quels sont les services et applications utilisés avec cette adresse, ainsi que l’heure de la dernière connexion, le tout sans violer aucune loi ni les conditions générales d’utilisation.
Epieos est un exemple de toute cette palette de limiers numériques, professionnels ou bénévoles, qui fouillent sans cesse les entrailles d’internet pour y recueillir des informations, à des fins très diverses. “Parmi mes clients, j’ai beaucoup de forces de l’ordre, d’entreprises de renseignement cyber, des assurances”, explique Sylvain Hajri. “Mais j’ai eu aussi un client spécialisé dans la pose de gazon artificiel qui voulait repérer qui, parmi ses clients potentiels, avait l’habitude de poster des revues négatives, pour éviter de contracter avec eux…”
– Besoin de “méthodologie” –
Artus Huot de Saint-Albin utilise l’investigation en source ouverte pour les clients de son entreprise spécialisée dans l’intelligence économique, Axis&Co. Pour identifier l’auteur d’une escroquerie au SMS payant, il est parti du numéro de téléphone figurant sur le faux message. Il a trouvé divers pseudos liés au numéros de téléphone sur WhatsApp, Telegram, Facebook, puis a rebondi sur d’autres applications comme Roblox (jeux vidéo). De fil en aiguille, des photos ont permis d’identifier des proches, grâce notamment à la redoutable application de reconnaissance faciale PimEyes…
L’arnaqueur a fini par être complètement identifié, avec son adresse en Bulgarie et son numéro de passeport italien, grâce à un registre des sociétés. “Il faut avoir de la méthodologie” pour ne pas se perdre dans ce labyrinthe, explique Arthus Huot de Saint-Albin, qui a utilisé l’équivalent d’une journée de travail pour remplir sa mission.
Ce renseignement en source ouverte est tellement riche que la société israélienne Cellebrite a décidé de commercialiser un service d’automatisation de ces recherches. Destiné notamment aux services de police et de renseignement, ce service est capable de collationner automatiquement des sources très diverses – notamment les posts des réseaux sociaux – pour faire des recherches sur une thématique ou un individu. “Notre plateforme vient avec des centaines de sources, mais vous pouvez rajouter des sources supplémentaires si vous le souhaitez”, a expliqué Arie Ben-Dayan, de Cellebrite.
D’autres utilisent la fouille de la toile à des fins civiques. OpenFacto est une jeune ONG française, qui rassemble aujourd’hui près de 400 limiers bénévoles de l’internet.
– Ceux “qui se mettent en scène” –
À son actif, un rapport par exemple en 2020 sur des violations de l’embargo sur les armes en Libye par des acteurs turcs, réalisé uniquement en sources ouvertes. Les enquêteurs ont utilisé toutes les bases de données publiquement accessibles: MarineTraffic (suivi des navires), FlightRadar (suivi du trafic aérien), Equasis (informations sur la propriété des navires), SentinelHub (images satellites), les registres de sociétés… et bien sûr les photos publiées sur les réseaux sociaux. “On essaie de repérer les gens qui se mettent en scène, on parie beaucoup sur la bêtise humaine”, a expliqué Hervé Letoqueux, l’un des fondateurs de l’association.
Alors, trouve-t-on tout sur internet ? Non, bien sûr, répondent tous les acteurs, qui soulignent en choeur le besoin de corroborer ailleurs que sur la Toile les informations obtenues.
“Attention, vous allez dans un domaine extrêmement glissant parce qu’extrêmement exposé à toutes sortes de manipulations”, a averti le général Serge Cholley, ancien de la direction du renseignement militaire français (DRM) et désormais directeur de la sûreté d’Eutelsat (télécomunications par satellite). “J’en ai été le témoin, et j’en ai été l’acteur”, a-t-il dit. “Daech, ce n’était pas des perdreaux de l’année et pourtant ils se sont bien fait manipuler” par les fausses traces numériques laissées par les services français.
