S’approprier la méthode OSINT : le guide pratique

Un professeur de dos donnant cours à des élèves dans un amphithéâtre
© Yan Krukov via Pexels

Faire de l’OSINT, oui, mais ne s’improvise pas détective qui veut. Pour être efficace dans sa recherche d’informations, une stratégie rigoureuse s’impose ! Éclairages de Serge Courrier, professeur spécialisé.

« Tout le monde fait de l’OSINT sans le savoir », estime Serge Courrier. Cet ancien journaliste enseigne les techniques d’OSINT depuis une quinzaine d’années à l’École Européenne d’Intelligence Économique (EEIE). Avis aux apprentis enquêteurs : on ne se lance pas dans l’OSINT sans une bonne préparation. « Avant de s’intéresser aux outils, il faut s’intéresser à la méthode », assure-t-il. Explications.

Premier pilier : apprendre à bien chercher

« Ça n’est peut-être pas très flamboyant, mais la première chose à faire, c’est d’établir de solides bases de recherche », explique Serge Courrier. Un message évident mais qui ne trouve pas toujours d’écho auprès de celles et ceux qui s’imaginent l’OSINT comme une espèce d’escape game grandeur nature. « Pas question de partir dans une recherche avancée tous azimuts : le sourcing par spécialité demande une exploration qui peut être très longue. Où sont les bonnes bases de données ? Les nouvelles ? Comment les comparer en fonction de ce qu’elles recèlent ? » interroge l’expert, qui estime qu’il est crucial de se former aux techniques de recherche avant même de chercher quoi que ce soit.

Deuxième pilier : définir ce que l’on cherche pour savoir comment le chercher

Une fois que l’on sait où chercher, il est important de savoir quoi chercher en fonction de ses besoins. Il existe plusieurs sous-spécialités de l’OSINT : l’IMINT (Imagery Intelligence, ou renseignement d’origine image), le GEOINT (Geospatial Intelligence, ou le renseignement par informations géospatiales), le CORPINT (Corporate Intelligence, ou renseignement par informations corporate)… Chacune ne fait pas appel aux mêmes canaux. Ainsi, le CORPINT utilisera les bases de données d’entreprises ou les informations provenant des appels d’offres, par exemple, tandis que l’IMINT pourra se concentrer sur la recherche visuelle via de l’imagerie aérienne, entre autres.

Troisième pilier : maîtriser tous les réseaux sociaux

L’une des sous-parties de l’OSINT, le SOCMINT, s’intéresse aux informations disponibles publiquement sur les médias sociaux. Circonscrire le profil d’une personne, par exemple, s’organise par étapes. « On commence par les ‘réseaux classiques’ : LinkedIn, Facebook, Twitter, éventuellement Instagram et YouTube, énumère Serge Courrier. Mais pas question de s’arrêter là : aujourd’hui, nous étudions aussi ce qui se passe sur Discord, Twitch ou Telegram. » À ce titre, il rappelle qu’il est indispensable de ne pas se contenter des connaissances existantes, et de se mettre à jour en permanence. Contrairement à ce que l’on pourrait supposer, ces réseaux plus récents ou alternatifs attirent aussi des prises de parole liées au monde de l’entreprise. « Il est indispensable que les enquêteurs aient une appétence pour ces canaux, ou en perçoivent l’intérêt. » Il souligne l’intérêt d’avoir des équipes mixtes, d’un point de vue générationnel, dans l’entreprise. « Les plus jeunes vont pouvoir initier de nouveaux usages en matière de réseaux sociaux. »

Quatrième pilier : évaluer les ressources techniques nécessaires

Pas question d’imaginer s’approprier les méthodes d’OSINT sans compétences techniques. Serge Courrier rappelle qu’il faut « au moins une personne technophile » pour tenir les rênes. Les premiers niveaux (maîtrise des techniques de sourcing, usages standards des réseaux sociaux et de ceux des médias moins connus, veille…) ne demandent pas de compétences particulières, mais il existe des étapes plus techniques pour orchestrer les informations récoltées. « Il peut être utile de comprendre le langage Python », admet Serge Courrier. Ce langage de programmation permet d’automatiser certaines tâches ou de recouper les informations qui viennent d’endroits divers. « Pas besoin d’être développeur informatique pour autant, ajoute-t-il, rassurant. C’est un langage lisible qui demande des efforts, mais tout le monde peut s’y mettre. »

Quelques pièges à éviter

Pour conclure, Serge Courrier met en garde sur les erreurs à éviter. « La plus grosse erreur est de mal évaluer ses connaissances. En général, elles sont faibles en matière de recherche d’informations et de structuration de sourcing. La seconde erreur est de vouloir aller trop vite. Chaque petit pas peut être éclairant, s’il est approfondi. »

Enfin, rappelons que l’OSINT se base sur des données publiques… et légales. « Il existe un vrai risque juridique à récupérer des éléments piratés, même accessibles librement. » Il rappelle qu’en 2015, le blogueur Olivier Laurelli (connu sous le pseudonyme de « Bluetouff ») avait été condamné à 3 000 euros d’amende pour avoir récupéré des données piratées de l’ANSES (Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail) en naviguant librement depuis l’arborescence des fichiers du site. Appréhendé par la DCRI (ex-DGSI), il a été accusé d’avoir accédé à ces données et de les avoir maintenues dans un système de traitement automatisé des données (STAD). « C’est aussi pour éviter ce type de situations que l’OSINT ne fouille pas dans les données qui se trouvent sur le dark web », conclut Serge Courrier.

Biographie de Serge Courrier

Ex-journaliste spécialisé, Serge Courrier a traité entre 1990 et 2014 de sujets liés à Internet et à l’Intelligence économique pour des magazines spécialisés et grand public (Micro Hebdo, Science & Vie, Science et Vie Micro, Télérama, Le Figaro, etc.). Il a précédemment occupé les postes de rédacteur en chef adjoint de Génie Industriel, Science et Vie Micro (SVM) et Micro Hebdo. Aujourd’hui consultant (depuis 2005) et formateur indépendant (depuis 1996), il est notamment responsable de l’enseignement de la veille et de l’OSINT à l’Ecole européenne d’intelligence économique (EEIE).

à la Newsletter
Partager

Inscrivez-vous gratuitement à la newsletter de Major !

Major ne vendra pas votre e-mail et aucune pub ne vous sera envoyée. Vous pouvez vous désabonner à tout moment.