« Toutes nos actions sur Internet laissent des traces » : c’est vrai aussi pour les entreprises, qui n’ont pas forcément conscience de toutes les informations disponibles en ligne à leur sujet et des empreintes numériques laissées par leurs collaborateurs.

Le problème ? Ces informations peuvent être collectées via les méthodes de l’OSINT (une technique issue du renseignement et qui utilise des sources d’informations publiques) et utilisées à des fins malveillantes.

Qu’est ce que l’OSINT ? Quelles informations peuvent être collectées et comment les hackers peuvent-ils les exploiter pour des attaques de phishing ou de spear-phishing ?

Qu'est-ce que l'OSINT ?

L’OSINT, une méthode de recherche d’informations publiques - notamment sur Internet

Ce qu’on appelle « Open Source INTelligence » ou « renseignement de sources ouvertes » vient du milieu du renseignement. Le principe ? Rechercher sur Internet des informations disponibles publiquement, les regrouper et les croiser pour les transformer en données stratégiques.

Comment réaliser cette collecte d’informations publiques ? En utilisant des moteurs de recherche (Google évidemment, mais pas uniquement, car il existe des moteurs de recherche spécifiques à l’OSINT), des outils de cartographie, les métadonnées des photos, etc.

Née dans le milieu du renseignement, cette activité peut être utilisée dans le monde de l’entreprise, à des niveaux divers : veille concurrentielle, intelligence économique, veille sur la réputation en ligne, cybersécurité, etc. Si l’OSINT est une activité légale, elle peut en revanche être utilisée dans un but malveillant.

Quelles informations sur une entreprise peut-on trouver via l’OSINT ?

Différents « canaux » peuvent être utilisés pour rechercher des données relatives à une entreprise : la communication « officielle » de l’entreprise (ses différents sites Internet), librement accessible via des moteurs de recherche, les bases de photos satellites (datées et disponibles dans les historiques de Google Earth, par exemple), les réseaux sociaux (posts, photos, vidéos, commentaires, etc.), les forums de discussion, etc.

Concrètement, l’OSINT peut donner accès à une multitude d’informations sur une entreprise. Certaines d’entre elles peuvent ensuite être réutilisées dans le cadre de tentatives de phishing :

Personnelles

  • Les noms et adresses des employés
  • Des informations accessibles via les réseaux sociaux (vacances, achats, animaux de compagnie…) qui peuvent servir pour la personnalisation

Professionnelles

  • Les adresses email des équipes, la signature électronique, leur poste (via LinkedIn par exemple)
  • Les noms des dirigeants et des salariés occupant des postes à responsabilité (le nom du CEO / PDG, CFO ou encore DRH est un sésame qui peut ouvrir bien des portes aux hackers)
  • Les noms et coordonnées de certains clients, fournisseurs ou sous-traitants 
  • Des renseignements personnels ou financiers qui n’ont pas vocation à être publics, mais sont malheureusement accessible (une page ou un répertoire d’un site Internet qui n’a pas été désindexé ou une base de données malencontreusement accessible, par exemple)

Techniques

  • Les outils et logiciels utilisés au quotidien par les salariés (messagerie professionnelle, suite collaborative, outil de visio, logiciel RH ou finances, outil de ticketing, etc.)

Si certains professionnels de la cybersécurité utilisent toutes ces informations pour permettre à l’entreprise de prendre conscience de ses failles (et de les corriger), les hackers y voient en revanche une vraie « mine d’or » pour préparer des campagnes de phishing.

OSINT + phishing, une recette gagnante pour les hackers

Les hackers utilisent les outils et les techniques de l’OSINT pour trouver des informations pertinentes sur les entreprises qu’ils ciblent et ainsi mieux préparer leurs tentatives de phishing.

C’est donc un outil essentiel de la phase de reconnaissance qui précède une cyberattaque.

Comment les hackers utilisent-ils l'OSINT ?

Google est évidemment un outil essentiel en OSINT, mais les hackers ne se contentent pas d’un usage basique du moteur de recherche. Ils vont beaucoup plus loin en utilisant par exemple « Google Dorks », qui permet de réaliser des requêtes intégrant des possibilités de recherches avancées. Ce type de requête fait ressortir des informations qui ne sont pas forcément visibles avec une recherche « simple », et que les entreprises n’avaient généralement pas l’intention de dévoiler sur la place publique.

Les hackers utilisent également des moteurs de recherche ou logiciels spécifiques permettant de « scanner » le web (logiciels de cartographie du web) ou les réseaux sociaux. Si certains outils sont « grand public », d’autres en revanche sont payants et requièrent des compétences techniques. Leur point commun est d’agréger un grand nombre d’informations et de les recouper. On peut citer Searx ou Kali Tools par exemple.

Préparer des attaques de phishing (encore) plus ciblées, personnalisées et réalistes

Le phishing « de masse » (un même email de phishing envoyé au même moment à tous les salariés) a-t-il vécu ? Si cette technique n’a pas disparu, elle laisse en tous les cas de plus en plus place au développement d’attaques ciblées. On parle désormais de « spear-phishing », un type particulier de phishing qui consiste à cibler avec des attaques personnalisées des utilisateurs en fonction de leur département et/ou de leur rôle dans l’entreprise.

Mieux ciblées, les attaques sont également plus réalistes. Un email semblant provenir du CEO (le fameux « Email du PDG »), d’un collègue, d’un prestataire ou d’un sous-traitant est toujours plus réaliste et semble plus légitime… mais n’est pas forcément fiable pour autant. Ces attaques hyper ciblées et personnalisées, mieux préparées, sont donc plus dangereuses que les attaques de masse.

Des groupes de hackers comme Exotic Lily (un Initial Access Broker) se servent de l’OSINT pour personnaliser manuellement leurs attaques de spear-phishing, notamment en utilisant des fausses entreprises et prétextes pour communiquer propres au secteur de la cible.

De la même manière, le groupe Cobalt Dickens (un acteur affilié à l’Iran) a conduit des attaques de spear-phishing contre des universités au Royaume-Uni qui s’appuyaient sur une recherche extensive des équipes, sujets de recherche, structures organisationnelles des chercheurs ciblés pour les contacter avec des propositions personnalisées.

Quelques exemples d’utilisation d’OSINT dans les tentatives de phishing

Concrètement, à quoi peut bien ressembler un email de phishing réalisé en s’appuyant sur les techniques de l’OSINT ? Petit florilège avec trois exemples (il y en bien sur beaucoup plus) :

  • Un email semblant émaner d’un collègue proche, indiquant qu’il a partagé un document et qui invite à cliquer sur le lien de partage pour modifier le document. Petit plus ? L’email est habillé aux couleurs de la plateforme de stockage de documents utilisée par l’entreprise (OneDrive de Microsoft, par exemple).
  • Un email envoyé à quelques personnes de l’équipe RH, demandant de cliquer sur un lien pour réaliser des mises à jour du logiciel RH réellement utilisé par l’entreprise. L’email ressemble à ceux légitimement issus de ce logiciel.
  • Un email personnalisé indiquant au salarié que celui-ci a reçu un document à signer. Pour davantage de réalisme, l’email est charté avec les couleurs de la solution de signature électronique utilisée par l’entreprise et mentionne le nom du CFO ou du CEO.

Comment intégrer l’OSINT dans un programme de formation et de sensibilisation à la cybersécurité ?

Sensibiliser et mieux « outiller » les collaborateurs

Si l’OSINT en tant que discipline fait de plus en plus parler d’elle, elle reste encore peu connue du grand public. Intégrer l’OSINT pour sensibiliser des collaborateurs nécessite dans un premier temps de faire émerger une prise de conscience des différentes traces laissées par nos activités numériques et de la quantité d’informations disponibles en ligne.

Les réseaux sociaux ont par exemple habitué bon nombre d’entre nous à partager en toute confiance des selfies, captures d’écran et autres informations qui peuvent représenter du « pain béni » pour les hackers. Toute information n’est pas forcément bonne à partager.

Un exemple ? En 2020, la ministre néerlandaise de la Défense a partagé une photo sur Twitter qui affichait le code de zoom de la conférence à laquelle elle participait. Cela a permis à un journaliste de se connecter à l'appel normalement confidentiel. Cela aurait pu être inoffensif, mais cela montre à quel point le partage peut être dangereux.

Développer les bons réflexes en intégrant l’OSINT dans les simulations de phishing

La sensibilisation ne va pas suffire pour former efficacement les collaborateurs contre les attaques de spear-phishing des hackers.

Il faut intégrer l’OSINT dans les simulations de phishing afin d’entraîner les équipes contre les attaques qu’ils pourraient subir et les aider à développer les bons réflexes d’analyse face aux emails qu’ils reçoivent.

Les simulations de phishing seront donc plus efficaces en formant les équipes en conditions réelles si elles intègrent des éléments comme les outils utilisés par les collaborateurs, les noms de leurs clients ou fournisseurs, des membres du COMEX, les signatures électroniques de l’entreprise… tout comme le feraient les hackers. 

L’OSINT offre de nombreuses possibilités pour les hackers en termes de phishing et spear-phishing.

Il n’y a toutefois aucune raison de leur en laisser le monopole. L’inventivité des hackers est illimitée, mais l’intégration de leurs techniques adossées à l’OSINT et du sujet dans les programmes de sensibilisation à la cybersécurité et dans les permet de familiariser et de protéger les équipes.