Dans le cadre du portrait du mois de juin de sa newsletter « Mag’OSINT », le club OSINT & Veille AEGE donne la parole à des experts et expertes de l’Intelligence Économique afin de découvrir leur parcours, leur rapport au renseignement d’origine sources ouvertes (OSINT), leur vision du métier et leur avenir professionnel.
Pour évoquer ces sujets, nous avons rencontré Assiya EL HARCHI, plus connue sous le pseudo madame_https, ingénieure en sécurité de l’information et analyste en Open Source Intelligence.
Club OSINT & Veille (COV) : Bonjour Assiya, pouvez-vous vous présenter à nos lecteurs ?
Assiya EL HARCHI (AEH) : Je travaille au sein d’un cabinet d’intelligence stratégique en tant qu’analyste en Open Source Intelligence. Les informations que je collecte sur Internet sur l’environnement de mes clients (contexte, partenaires, concurrents) les aident à prendre des décisions et à défendre leurs intérêts.
En dehors de cela, je suis également une passionnée d’OSINT. C’est derrière le pseudonyme madame_https, en hommage à la série Mr.Robot, que je suis active au sein de communautés dédiées à la cybersécurité, la géopolitique ou au ROSO (Renseignement d’Origine Sources Ouvertes – traduction française d’OSINT).
COV : Quel a été votre parcours ?
AEH : Après un diplôme universitaire en génie électrique et informatique industrielle, j’ai intégré l’ESIEA, une école d’ingénieurs généraliste en alternance. J’y ai d’ailleurs suivi une spécialisation en cybersécurité, reconnue par le label SecNumEdu de l’ANSSI. Ma formation m’a ensuite permis d’exercer le métier d’ingénieure en cyberdéfense peu de temps avant de me lancer dans l'Open Source Intelligence.
Aujourd'hui, je suis passionnée par mon métier. Il concilie ma passion pour l’OSINT, rigueur et spontanéité, car il est difficilement possible de savoir à l’avance quelles vont être les informations que l’on va trouver sur une personne physique ou morale.
COV : Comment avez-vous découvert l’Open Source Intelligence (OSINT) et comment vous êtes-vous formée à cette discipline ?
AEH : C’est dans le cadre de mon cursus en école d’ingénieurs que j'ai suivi un module d'initiation à la Cyber Threat Intelligence et à l’Open Source Intelligence. J’ai ensuite décidé d’aller à la recherche d’outils et de techniques pour acquérir un savoir-faire qui me fut précieux aux balbutiements de ma carrière.
J'ai eu la chance de débuter cette quête en partant du postulat que l’Open Source Intelligence est avant tout une méthodologie, et non pas une panoplie d’outils. L'objectif n'est pas de disposer d'une multitude d'outils, mais plutôt de savoir les utiliser correctement pour trouver un maximum d'informations pertinentes. Pour être un bon “osinter”, il faut donc une rigueur méthodologique, des capacités d’analyse et d’investigation.
Avec cet état d’esprit en tête, j’ai pu monter en compétences en intégrant des communautés francophones (telle que osint-fr, openfacto ou projetfox) et en participant à des challenges tels que les Trace Labs Search Parties (ayant pour but de retrouver des personnes disparues), les défis sur les plateformes d'apprentissage TryHackMe ou HackTheBox, ou encore récemment la Hunt EGE organisée par l’AEGE (mêlant OSINT et course d’orientation à Paris intramuros).
COV : En quoi l’OSINT est une démarche utile pour réaliser une due diligence ?
AEH : Aujourd’hui, les sociétés font face à des criminels concevant des schémas de fraudes plus ingénieux, allant du blanchiment d'argent au financement du terrorisme, en passant par la fraude et la cybercriminalité financière.
Face à cela, les sociétés cherchent donc à avancer avec des partenaires de confiance. La due diligence vient répondre à cela en permettant d’effectuer des vérifications poussées avant tout engagement avec un partenaire potentiel. L’objectif est de déterminer s'il s'agit d'un investisseur légitime, prouver l'existence et la viabilité d'une société ou encore vérifier la réputation d'une entreprise.
Ces vérifications réalisables en sources ouvertes sont importantes car elles protègent la responsabilité des dirigeants, ainsi que la réputation et l'image de l’entreprise. Profil financier, réputation, dirigeants, employés ou environnement, tout y passe. Et c'est grâce à toutes ces informations collectées en sources ouvertes et accessibles à tous que l'on peut faire en sorte que les entreprises avancent plus sereinement.
L'OSINT s'inscrit donc parfaitement dans une démarche de due diligence.
COV : Pouvez-vous nous parler de votre rapport à l’OSINT et la veille dans vos missions au quotidien. Quels sont les outils et sources indispensables dans votre domaine d’activité ?
AEH : Les investigations sur lesquelles je travaille tournent autour du monde des affaires. Étant donné qu’il s’agit d’un domaine en constante évolution, il est vital que nos clients puissent en évaluer les tendances et indices de changement dans le but d’anticiper et s’adapter. C’est donc avec des noms de dirigeants, d’actionnaires ou de sociétés que l’on commence nos investigations. À titre d’exemple, c’est grâce à des techniques d’OSINT et aux sites Pappers ou OpenCorporates, que l’on peut facilement trouver des statuts, comptes sociaux, marques, voire même les adresses postales personnelles des dirigeants.
L'utilisation de bases de données telles que celle du Consortium International des Journalistes d'Investigation (ICIJ) peut également se montrer intéressante dans le cadre d'investigations concernant des actifs au sein de paradis fiscaux (nommée Offshore Leaks). Sinon, le reste du web, et plus particulièrement les réseaux sociaux, représentent une véritable mine d’or d'informations. Que ce soit sur LinkedIn, Facebook, Twitter ou encore Copains d’Avant, il est toujours pertinent d’y jeter un œil et d’analyser minutieusement leurs contenus.
COV : Très répandues dans le monde de la cybersécurité et de l'OSINT, les compétitions de type Capture The Flag (CTF) mettent les joueurs au défi de résoudre une variété de challenges. Pouvez-vous nous parler de la ludification de l'OSINT ?
AEH : L'objectif principal de la gamification de l’Open Source Intelligence est d'apporter un aspect ludique à l’apprentissage de ce domaine grâce à des challenges ou des compétitions. Aujourd’hui, les challenges les plus connus reposent sur la géolocalisation de photos, le fact-checking ou l’exploitation d’informations sur les réseaux sociaux. Ces challenges sont souvent basés sur des microcosmes composés de comptes en ligne fictifs pour éviter des maladresses des joueurs. Par contre, ce n’est pas le cas de la compétition Trace Labs. Mis en place par une ONG trimestriellement, ce challenge réunit les “osinters” autour de cas de disparitions réelles afin de faciliter le travail de recherches des forces de l’ordre avec des informations supplémentaires.
COV : Vous êtes engagée et participez à de nombreux événements en ligne. Aujourd’hui, vous êtes considérée comme une des premières “femmes” à faire de l’OSINT en France. À l’instar du CErcle des Femmes de la CYberSécurité (CEFCYS), existe-t-il selon-vous des initiatives de ce type dans l’OSINT ?
AEH : Tout comme l'informatique, l'OSINT est un domaine dans lequel on peut encore trouver un fossé des genres. Il est difficile d'établir des statistiques à ce propos car la majorité des osinters sont très discrets. Certains d’entre nous accordent une grande importance à leur pseudonymat et sont réticents à divulguer des informations personnelles (dont leur genre).
Toutefois, depuis quelques mois, nous avons vu fleurir des initiatives visant à mettre en avant les professionnelles de l’OSINT, comme celle de Maltego en octobre dernier avec sa série d’articles nommée “Women in OSINT Spotlight”.
COV : Quels sont les projets sur lesquels vous travaillez en ce moment en lien avec l’Open Source Intelligence ?
AEH : J’ai pendant quelque temps été fortement intéressée par les investigations sur des cold cases, l’intelligence géospatiale (nommée GEOINT) et la mise en place ou participation à des challenges. J’ai notamment remporté la première place aux challenges Trace Labs (200 équipes internationales), Unlock Your Brain (70 équipes) et Stranger Case (90 équipes) avec mes coéquipiers. Du côté de l’organisation, à l’occasion d’un challenge organisé par Yogosha et BZhack, j’ai également mis en place le défi CLUEDOSINT.
Aujourd’hui j’essaie de développer mes compétences dans d’autres branches de l’OSINT. Mon objectif est d’apprendre à mener des investigations sur le deep web, sur les crypto-monnaies ou sur de la vérification de faits. En ce moment, je suis davantage intéressée par le contenu des darknets. Je suis même en train de rédiger une série d’articles à ce propos destinée à être publiée sur mon site : THE OSINTERY.
Le premier article de cette série portera sur les CAPTCHAs que l’on peut trouver sur le darkweb.
COV : Quel regard portez-vous sur l’avenir de l’OSINT ?
AEH : Globalement positif. La profession tend à se populariser en France, notamment pour faire face à l’infobésité et, par conséquent, à la désinformation.
Du côté de la méthodologie, je pense que nous n’avons pas de souci à nous faire car de plus en plus de formations certifiantes, tutoriels et workshops voient le jour. Même chose du côté des outils, avec la perspective supplémentaire d'assister à l'émergence de solutions renforcées par de l’intelligence artificielle. Les algorithmes sont toutefois assez décriés car rien ne vaut les compétences analytiques d’un vrai “osinter”.
Ensuite, je suis curieuse de voir l’évolution du domaine avec la démocratisation du Web3 (génération du web exploitant la technologie de la blockchain), des metaverses (version future d'Internet où des mondes numériques 3D immersifs basés sur des expériences de réalité virtuelle) et des token non-fongibles, également appelé NFT (titre de propriété numérique, unique et ne pouvant être reproduit, émis par une blockchain, et associé à un actif numérique tel qu'une photo, vidéo, etc).
Ces technologies vont commencer à influencer le travail des cyber-enquêteurs car, en réalité, le Web3 regorge d'arnaques pures et simples. Il est courant d’y trouver des projets intrigants, qui disparaissent dès que les organisateurs collectent l’argent de leurs victimes, des arnaques pump-and-dump (augmentation artificielle de la demande) de NFT ou encore des vols de parcelles de terrain dans le metaverse grâce à des tentatives de phishing et de social engineering.
Enfin, j’attends également de voir si un cadre légal viendrait restreindre les capacités des “osinters” en France vis-à-vis de la collecte d’informations en sources ouvertes à cause du RGPD [qui encadre le traitement des données et notamment celles à caractère personnel, ndlr].
COV : Avez-vous des suggestions et des recommandations pour une personne souhaitant découvrir et se mettre à cette discipline ?
AEH : Je recommanderais à toute personne souhaitant se lancer dans l’OSINT de se concentrer sur les trois points suivants :
Le mindset : Avoir le bon état d’esprit dans ce domaine, c’est être curieux, être patient et avoir un œil critique face aux informations que l’on analyse et collecte.
La montée en compétences : Comme on dit, c’est en forgeant que l’on devient forgeron. Ce fameux dicton s’applique également ici. C’est en résolvant des challenges de tous types en ligne que l’on a le plus de chance d’acquérir de nouvelles compétences.
La veille : Que ce soit sur les réseaux sociaux, via des flux RSS ou des communautés dédiées, il est primordial de rester à l'affût des nouveautés. Une veille technique permet d’être à la pointe des nouvelles méthodologies, outils et événements.
Propos recueillis par Steven Deffous pour le Club OSINT & Veille AEGE
Vous pouvez retrouver la newsletter « Mag’OSINT » de juin en cliquant ici
Pour aller plus loin :