Sur le smartphone de Sylvain Hajri, s’affiche une liste d’applications utilisées par un homme politique français influent, l’heure de sa dernière connexion à ces services, et les derniers avis Google qu’il a laissés sur des restaurants ou commerces. Du vol? Du piratage? Non, juste de l’exploitation de données numériques librement accessibles, réalisée par Epieos, la start-up de Sylvain Hajri, invitée cette semaine au Forum international de la cybersécurité (FIC) de Lille avec la fine fleur du renseignement en source ouverte (OSINT) français. A partir de n’importe quelle adresse email, Epieos est capable de retrouver quels sont les services et applications utilisés avec cette adresse, ainsi que l’heure de la dernière connexion, le tout sans violer aucune loi ni conditions générales d’utilisation. Epieos est un exemple de toute cette palette de limiers numériques, professionnels ou bénévoles, qui fouillent sans cesse les entrailles d’internet pour y recueillir des informations, à des fins très diverses. «Parmi mes clients, j’ai beaucoup de forces de l’ordre, d’entreprises de renseignement cyber, des assurances», explique Sylvain Hajri. «Mais j’ai eu aussi un client spécialisé dans la pose de gazon artificiel, qui voulait repérer qui, parmi ses clients potentiels, avait l’habitude de poster des revues négatives, pour éviter de contracter avec eux…». Artus Huot de Saint-Albin utilise l’investigation en source ouverte pour les clients de son entreprise spécialisée dans l’intelligence économique, Axis&Co. Pour identifier l’auteur d’une arnaque au SMS payant, il est parti du numéro de téléphone figurant sur le faux message. Il a trouvé divers pseudos liés au numéros de téléphone sur WhatsApp, Telegram, Facebook, puis a rebondi sur d’autres applications comme Roblox (jeux vidéo). De fil en aiguille, des photos ont permis d’identifier des proches, grâce notamment à la redoutable application de reconnaissance faciale PimEyes… L’arnaqueur a fini par être complètement identifié, avec son adresse en Bulgarie et son numéro de passeport italien, grâce à un registre des sociétés. «Il faut avoir de la méthodologie» pour ne pas se perdre dans ce labyrinthe, explique Arthus Huot de Saint-Albin, qui a utilisé l’équivalent d’une journée de travail pour remplir sa mission. Ce renseignement en source ouverte est tellement riche que la société israélienne Cellebrite a décidé de commercialiser un service d’automatisation de ces recherches. Destiné notamment aux services de police et de renseignement, ce service est capable de collationner automatiquement des sources très diverses – notamment les posts des réseaux sociaux – pour faire des recherches sur une thématique ou un individu. D’autres utilisent la fouille de la toile à des fins civiques. OpenFacto est une jeune ONG française, qui rassemble aujourd’hui près de 400 limiers bénévoles de l’internet. A son actif, un rapport par exemple en 2020 sur des violations de l’embargo sur les armes en Libye par des acteurs turcs, réalisé uniquement en sources ouvertes. Les enquêteurs ont utilisé toutes les bases de données publiquement accessibles: MarineTraffic (suivi des navires), FlightRadar (suivi du trafic aérien), Equasis (informations sur la propriété des navires), SentinelHub (images satellites), les registres de sociétés… et bien sûr les photos publiées sur les réseaux sociaux. «On essaie de repérer les gens qui se mettent en scène, on parie beaucoup sur la bêtise humaine», a expliqué Hervé Letoqueux, l’un des fondateurs de l’association. Alors, est-ce qu’on trouve tout sur internet? Non, bien sûr, répondent tous les acteurs, qui soulignent en choeur le besoin de corroborer ailleurs que sur la Toile les informations obtenues. «Attention, vous allez dans un domaine extrêmement glissant parce que extrêmement exposé à toute sorte de manipulations», a averti le général Serge Cholley, ancien de la direction du renseignement militaire français (DRM) et désormais directeur de la sûreté d’Eutelsat.
