Différences entre les versions de « C’est quoi l’OSINT »
| Ligne 25 : | Ligne 25 : | ||
==Transcription== | ==Transcription== | ||
| + | |||
| + | <b>Raphaël Grably : </b>Parfois, les informations les plus précieuses et les plus inattendues sont juste sous nos yeux, en fait, il faut simplement savoir les chercher. C’est le grand principe de l’OSINT, la recherche en sources ouvertes, dont certains journalistes d’ailleurs se sont fait une spécialité. Mais au fait, ça fonctionne comment, l’OSINT ? Est ce qu’on peut tous devenir un détective Google ? Bienvenue dans Métadonnées, le podcast qui revient aux fondamentaux de la tech. | ||
| + | |||
| + | Bonjour, Jean-Marc Manach. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Bonjour. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Tu est journaliste d’investigation sur internet. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Mon terrain d’investigation, c’est internet. Je ne vais pas dans les arrières salles des cafés rencontrer des sources humaines. | ||
| + | |||
| + | <b>Raphaël Grably : </b>C’est ça, voilà. Donc tu restes derrière ton écran en fait, pour enquêter. Tu fais de l’investigation derrière un écran. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Je cherche sur le web. Mais le plus important, ça n’est pas de chercher. C’est de trouver, de vérifier, de contextualiser. C’est ce qu’on appelle le cycle du renseignement. On y reviendra. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Et alors, justement, je voulais revenir avec toi sur l’OSINT. L’OSINT, c’est <em>open source intelligence</em>. C’est un terme qui n’est pas totalement nouveau, mais est-ce que tu pourrais le définir ? C’est la recherche en sources ouvertes : est-ce que tu pourrais définir ce terme qu’on voit de plus en plus ? | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Les premières mentions de ce qui allait devenir l’OSINT remonteraient au début du vingtième siècle, dans un rapport de la gendarmerie qui expliquait comment les gendarmes devaient aussi enquêter en source ouverte. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Ils n’avaient pas internet à l’époque. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Ils n’avaient pas internet ; après, l’OSINT s’est vraiment constitué pendant la deuxième guerre mondiale, quand les services de renseignement britanniques et surtout américains se sont aperçus que, pour planifier des bombardements en Allemagne, c’était super important d’écouter la radio allemande. Pourquoi ? Et bien parce qu’il y avait un bulletin météo, et les météorologues allemands étaient meilleurs que les météorologues anglo-saxons pour prédire la météo au-dessus de Berlin, Hambourg et en Allemagne, et donc ils se sont aperçus de l’intérêt des sources ouvertes. Un autre exemple, c’est quand, via des sources humaines, donc <em>human intelligence</em>, les services de renseignements anglo-saxons ont découvert que les Allemands travaillaient aussi la bombe nucléaire - à l’époque, c’était pour faire des fusées - : ils ont cherché sur des annuaires qui étaient les producteurs en Europe d’eau lourde, parce qu’il fallait bien se procurer de l’eau lourde pour travailler la filière nucléaire. Et donc, c’est là qu’ils ont identifié - je ne sais plus si c’était en Norvège ou en Suède - le fabricant qui fournissait les Nazis, et là, ils ont envoyé une opération commando pour détruire, et pas seulement pour récupérer l’eau lourde, pour la confier aux Alliés et empêcher les Nazis de continuer à développer. Donc ça, c’est là où vraiment l’OSINT a commencé. Et là où ça a, littéralement, ré-explosé, c’est avec l’apparition du web. Parce qu’avec Internet et le web, on n’a jamais eu accès à autant d’informations, et ça veut dire que ça décuple quasiment tous les ans. | ||
| + | |||
| + | Et donc, moi, j’ai commencé à faire de l’OSINT sans même connaître le mot, dès que j’ai commencé à faire une investigation sur le web, à la fin des années 90. Au milieu des années 2000 j’ai découvert la notion d’OSINT, et Bellingcat <ref>[https://www.bellingcat.com/ Bellingcat, en anglais]</ref>le collectif, on aura peut-être l’occasion d’y revenir. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Oui, bien sûr. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Un collectif d’origine britannique a popularisé l’OSINT dans le milieu journalistique et, depuis la guerre en Ukraine, l’OSINT s’est imposé dans le narratif parce qu’il y a tellement d’informations, il y a tellement de vidéos, c’est la guerre la plus documentée. Il y avait déjà eu le phénomène en Syrie, où on a eu beaucoup d’OSINT, mais c’était moins médiatique que la guerre en Ukraine. Et là on a de plus en plus de collectifs, et pas seulement de journalistes, parce que l’OSINT est énormément pratiquée également par les professionnels de la sécurité informatique. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Il y a quelque chose qu’on peut rappeler, c’est que l’OSINT, nous en parlons en tant que journalistes, mais c’est avant tout un truc - tu parlais de la Deuxième Guerre mondiale - c’est avant tout un truc d’agences de renseignement. Souvent quand on parle d’agences de renseignement, on se dit : c’est de l’espionnage, on doit trouver des trucs secrets pour être performant. Or, en fait, on s’aperçoit qu’il y a plein d’éléments publiques qui vont servir, un bulletin météo par exemple. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Dans les différentes branches du renseignement, tu as donc l’HUMINT, le renseignement humain, le SIGINT, le <em>signal intelligence</em>, ou renseignement d’origine électromagnétique en français, là, c’est l’écoute d’internet ou des téléphones ou des satellites, l’ELINT [electronic intelligence], c’est la surveillance des radars, le SOCMINT, c’est <em>social media intelligence</em>, la surveillance des réseaux sociaux. Et donc l’OSINT qui regroupe une bonne partie de ces différents « INT ». Il y a une affiche au musée de l’espionnage de Washington qui explique qu’on estime que, pour ce qui est des services de renseignements occidentaux, 80 % du renseignement collecté par les services de renseignement occidentaux vient de l’OSINT. On n’a plus besoin de faire des fric-frac ou de mettre des gens sur écoute, à ce niveau... | ||
| + | |||
| + | <b>Raphaël Grably : </b>fric-frac ? | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Rentrer chez quelqu’un pour dérober des informations dans son coffre-fort ou poser un micro espion ou implanter un logiciel espion dans son ordinateur. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Oui, c’est pas James Bond. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Oui, et d’ailleurs James Bond c’est une très, très mauvaise image de ce que sont les services de renseignement. Il vaut mieux regarder le <em>Bureau des légendes<em>, qui est plus réaliste. Minus le côté cyber où c’est assez caricatural, le côté hacker, où il tapait comme ça [il tape très vite et n’importe quoi] | ||
| + | |||
| + | <b>Raphaël Grably : </b>Ça, c’est tous les films ! | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>C’est pas parce que tu tapes très vite que tu es un hacker... Et si tu regardes, par exemple, on a une association en France qui s’appelle Open Facto | ||
| + | <ref>[https://openfacto.fr/ Open Facto]</ref> : en fait, c’est beaucoup de professionnels, et pas forcément journalistes, qui viennent se former, parce qu’Open Facto fait des formations. Mais si tu regardes Ozint FR <ref>[https://osintfr.com/fr/bienvenue-sur-osint-fr/ Ozint FR]</ref>, là c’est un serveur Discord : il y a quelques mois ils étaient 8000. Je ne sais pas aujourd’hui combien ils sont, mais la majeure partie des gens qui sont sur Ozint FR, ce sont des étudiants ou des professionnels qui travaillent en cybersécurité ou en intelligence économique. Pourquoi ? Parce que le b-a ba d’un hacker, d’un professionnel de la cybersécurité, c’est de connaître les failles d’un système. Donc, pour connaître les failles d’un système, tu fais d’abord une enquête OSINT pour savoir quels sont les logiciels utilisés, si ils sont à jour et ceux qui ne sont pas à jour, qui est l’admin-sys [administrateur système]. | ||
| + | |||
| + | Si je prends un exemple d’une attaque qui avait été faite par le GCHQ [<em>Government Communications Headquarters</em>, littéralement « quartier-général des communications du gouvernement »] qui est donc l’équivalent britannique de la NSA : ils s’étaient attaqués à l’un des principaux fournisseurs d’accès belge parce qu’il fournissait les différentes instances européennes. Ils avaient fait la cartographie des admins-systèmes de cet opérateur FAI et ils avaient envoyé des logiciels espions... | ||
| + | |||
| + | <b>Raphaël Grably : </b>Opérateur FAI, c’est un fournisseur d’accès Internet. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Oui. Ils avaient envoyé des logiciels espions aux admins système parce que si l’admin-système a un logiciel espion, tu es root, comme on dit, tu es admin ! | ||
| + | |||
| + | <b>Raphaël Grably : </b>En gros, l’OSINT permet de savoir où frapper. Après tu regardes comment frapper. Mais ça permet de savoir où frapper. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>En matière de cybersécurité. | ||
| + | |||
| + | <b>Raphaël Grably : </b>En matière de cybersécurité, évidemment. On repasse maintenant un peu sur un plan plus large. Toi, tu es journaliste, tu dis : voilà, je vais faire de l’OSINT, j’ai envie de chercher quelque chose, de trouver un scoop. Tu es devant Google concrètement pour clarifier les choses : qu’est-ce que tu fais ? Qu’est-ce que tu cherches et comment tu le cherches ? | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Alors déjà, c’est pas que Google. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Non, mais je caricature un peu, volontairement. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>J’ai coutume de dire que je suis un peu comme un chercheur d’or. Le chercheur d’or passe sa vie, ses journées, à mettre de la boue dans un tamis avec l’espoir de trouver la pépite. Moi, c’est un peu ça. Je vais surveiller les marchés publics parce que souvent il y a des pépites dans les marchés publics qui sont très sous-exploitées. Je vais chercher des signaux faibles. Donc j’ai mis certaines alertes, que ce soit sur Twitter ou sur Google, pour que dès que tel mot est prononcé, parce ce mot-là m’intéresse, mais il arrive très, très rarement. Et quand il arrive, je vais m’en saisir. Je surveille bien évidemment un certain nombre de comptes sur Twitter pour des signaux faibles. Je cherche en permanence et comme je cherche en permanence, ben des fois je trouve. | ||
| + | |||
| + | <b>Raphaël Grably : </b>En fait c’est un peu presque un état d’esprit ? Alors, il faut de la rigueur et il faut beaucoup de choses, mais c’est un état d’esprit ? | ||
| + | |||
| + | <b>Jean-Marc Manach : </b> Je fais pas mal de formations également à l’OSINT : ce que j’explique, c’est d’abord et avant tout un état d’esprit, une méthodologie bien plus que des compétences techniques. Bien sûr, il faut avoir un minimum d’appétence technique, en tout cas avec internet. Et il y a beaucoup de gens, des professionnels de l’OSINT, qui ont développé des scripts en python, en R, qui sont des langages de programmation pour automatiser des systèmes de veille. Moi, je n’ai pas fait de cursus informatique, d’école, donc je n’ai pas du tout de compétences en programmation. Par contre, ce qui nous relie tous, c’est effectivement cet état d’esprit, c’est une méthodologie qui renvoie à ce dont je parlais tout à l’heure, qui renvoie à ce qu’on appelle le cycle du renseignement. C’est un truc fondamental pour comprendre ce que c’est que l’OSINT et comment fonctionnent les services de renseignement. Parce que l’OSINT n’est pas juste « Je vais chercher des trucs sur internet, et une fois que j’ai trouvé sur internet, c’est bon », non. Le cycle du renseignement définit comment travaillent les services de renseignement : il y a l’expression de besoin, c’est : Quelle est la question qu’on se pose. Ensuite, on va chercher des éléments de réponse. Une fois qu’on a trouvé des éléments de réponse, ensuite on va analyser, recouper, vérifier ; est-ce que les éléments de réponse qu’on a trouvés, c’est cohérent, c’est opportun, ça répond à la question ou pas ? Et ensuite, on va synthétiser les éléments de réponse en expliquant pourquoi on pense que ceci et cela répond à la question qui a été posée, et on diffuse. | ||
| + | |||
| + | Donc contre-exemple de ce que l’OSINT n’est pas : au début du coronavirus on a une vidéo qui est devenue virale, où il y a quelqu’un qui n’a pas de compétences particulières, ni en OSINT, ni en journalisme, ni en santé, ni médicales, mais qui avait trouvé un brevet de Pasteur sur le coronavirus. Donc c’était la preuve du complot, parce qu’il a trouvé sur internet le brevet. Ben oui, mais sauf que c’était un brevet que Pasteur avait déposé pour le coronavirus de 2003. Donc ça n’avait rien à voir. Et en fait, tous les laboratoires pharmaceutiques, quand ils développent des molécules, vont déposer des brevets pour la propriété intellectuelle. Donc ça n’est pas parce qu’on trouve quelque chose sur internet que c’est vrai. L’OSINT ça n’est pas ça, l’OSINT c’est le cycle du renseignement qui fait qu’on va vérifier une information. | ||
| + | |||
| + | Je vais donner un autre exemple. C’était il y a quatre ans maintenant. Il y a un pro de l’OSINT pour le coup, son réflexe depuis des années dès qu’il trouvait une nouvelle carte il allait regardé à quoi ressemblait la Syrie. Pourquoi ? Parce qu’il s’était formé à l’OSINT au moment de la guerre civile en Syrie. Et il y a tellement de choses qu’on a fait en Syrie, notamment en ce moment en Ukraine, grâce aux cartographies, que lui, c’était son réflexe. Et donc là c’était la carte de Strava, un réseau social de sportifs, où les gens qui font du jogging, de la natation ou du vélo vont géolocaliser leurs courses pour comparer leurs performances avec leurs pairs ou l’évolution de leur propre performance. Et quand Nathan Ruser est allé en Syrie sur Strava, il a découvert, à sa grande stupeur, que des gens se géolocalisaient. Il se dit : Mais qui sont ces gens ? | ||
| + | |||
| + | <b>Raphaël Grably : </b>Qui fait du footing en Syrie ? | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Entre l’État islamique, l’armée de Bachar el-Assad et la coalition de l’OTAN... Et donc, en regardant, il en est arrivé à la déduction que c’était probablement des forces spéciales des armées américaines et de l’OTAN qui étaient là-bas en train de combattre l’État islamique. Parce que ça ne pouvait pas être des soldats de l’État islamique, ça n’était probablement pas non plus des soldats de Bachar el-Assad. Et par capillarité ensuite il a commencé à regarder dans des bases militaires un peu partout dans le monde - en tous cas occidental - et il a découvert qu’il y avait plein de soldats, ce qui est logique : les soldats font du footing et donc il y en a qui utilisent Strava. Je me souviens : ça sort le samedi, il y a plein d’articles dans la presse tech anglo-saxonne, il y a un papier dans <em>Le Monde</em> le dimanche soir où un porte-parole du ministère des Armées explique « nous sommes au courant, bien évidemment, des problèmes posés par la géolocalisation » | ||
| + | |||
| + | <b>Raphaël Grably : </b>Le ministère des Armées français ? | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Oui. « Ça fait des années qu’on prévient nos soldats qu’il ne faut pas se géolocaliser, a fortiori quand on est en opex, en opérations spéciales, et nous avons renvoyé un message à tout le monde, à tous nos soldats, à ce sujet. » Donc, moi, réflexe : comme l’essentiel des papiers étaient sur les forces étasuniennes et anglo-saxonnes, je regarde le lendemain matin s’il y avait des soldats français en opex qui se géolocalisaient. En fait, c’était tellement simple de trouver des centaines de soldats français qui se géolocalisaient sur Strava, à Gao, au Mali ou dans d’autres unités françaises, que je me suis dit : « moi, je suis journaliste indépendant pigiste, il y a d’autres journalistes qui vont trouver pareil que moi, c’est tellement simple de trouver : il faut que je trouve autre chose ». Et je me suis posé la question : « qui sont les personnes les plus improbables a priori à se géolocaliser ? C’était des gens de la DGSE ». | ||
| + | |||
| + | <b>Raphaël Grably : </b>DGSE, le service de renseignement extérieur français. | ||
| + | |||
| + | ==12:01== | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Dont il est interdit de révéler l’identité ; eux-mêmes n’ont pas le droit de révéler qu’ils travaillent à la DGSE, c’est un service secret dont le QG [quartier général] est boulevard Mortier. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Le siège de la DGSE. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>J’ai donc commencé à regarder s’il y avait des gens qui se géolocalisaient du côté du boulevard Mortier. Ça m’a pris un peu de temps, parce que je ne comprenais pas du tout ce travail, il a fallu que je me forme, c’est un logiciel un peu compliqué. Mais bon, au bout de cinq jours, j’ai réussi à démontrer qu’il y avait au moins une personne qui s’était géolocalisée plusieurs fois à l’intérieur du boulevard Mortier, donc plusieurs fois c’était vraiment un faisceau d’indices, mais également au Fort de Noisy, qui est une annexe du service Action à Romainville, ainsi qu’en mission dans un pays du Moyen-Orient. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Je décris juste deux secondes Strava pour que les gens qui nous écoutent puissent un peu s’illustrer. En fait, c’est une carte et on voit en rouge des parcours de footing avec des temps. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>En rouge, en orange, en jaune, plus c’est en jaune, plus il y a de personnes. En fait, ce sont tous les parcours de tous les gens qui se sont géolocalisés sur Strava. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Mais effectivement, quand tu dis : tiens, je vois quelqu’un qui fait ce parcours, le même utilisateur qui peut être sous pseudonyme, mais qui fait le même parcours tous les jours, soit il peut habiter là, soit il peut travailler là. Tu es parti de ce principe. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Je savait où il habitait, mais il était sur liste rouge, donc je n’avais pas son téléphone, et il était sous pseudonyme. Pour arriver à identifier son identité, à un moment je me suis aperçu que - parce que le diable se niche dans les détails -, certaines de ses courses faisaient 21 ou 42 kilomètres. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Il s’entrainait à un marathon. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Marathon et semi marathon. Donc, j’ai comparé les performances de cet utilisateur de Strava avec les résultats des marathons qui étaient disponibles sur les sites web des résultats des marathons. Et j’ai trouvé un nom qui matchait. Et ensuite, quand j’ai été sur le profil Facebook de ce nom-là, j’ai trouvé quelqu’un qui se photographiait en tenue de sportif en train de faire un footing, et la photo était géolocalisée le 15 juillet à Pléneuf-Val-André. Sur Strava, le 15 juillet à Pléneuf-Val-André, c’était lui. Donc j’avais la confirmation. Donc le cycle du renseignement, je partais d’une hypothèse de travail... | ||
| + | |||
| + | <b>Raphaël Grably : </b>Donc tu as trouvé, mais tu ne sais pas encore qui est cette personne, son métier... | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Je sais qu’en tout cas, il a été envoyé pour une mission au Proche-Orient à un moment précis. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Tu l’avais déjà localisé au Proche-Orient. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Oui, sur Strava il s’était géolocalisé au Proche-Orient et c’était au lendemain de la démission du Président du pays en question où il était allé. Donc je le savais en plus, probablement, la mission qu’il avait effectuée, et tout ça en mode OSINT. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Ça veut dire que tout est public, en fait, et ce que tu as fait, entre guillemets, « tout le monde » aurait pu le faire, avec une certaine réflexion et une rigueur, évidemment. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>C’est là où on revient à l’état d’esprit et à la méthodologie. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Mais en gros tu l’as fait devant ton ordinateur et chez toi. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Oui. Et ensuite, quand j’ai contacté un ancien de la DGSE pour savoir ce qu’il risquait si jamais je faisais savoir que j’en ai trouvé un, il m’a dit : « il va prendre pour les autres », sous-entendu ta mission, si tu ne veux pas qu’il paye pour les autres, c’est d’en trouver d’autres. Parce que, on vient de l’apprendre, ils sont 4000. Ça, c’est dans un appel d’offres : on vient d’apprendre qu’il y 4000 employés de la DGSE à Mortier et 2000 au Fort de Noisy. Donc la probabilité, sur 4000 personnes, qu’il y ait des utilisateurs de Strava... Je m’y suis réattelé et en l’espace de cinq, six jours, j’en ai trouvé une vingtaine d’autres. | ||
| + | |||
| + | <b>Raphaël Grably : </b>D’accord. Donc tu as trouvé une vingtaine d’agents de la >DGSE, probables en tout cas... | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>...qui s’étaient géolocalisés à l’intérieur. Agent, je ne sais pas : employés, parce qu’à la DGSE il y a aussi des personnes qui font le ménage, il y a des cantinières... | ||
| + | |||
| + | <b>Raphaël Grably : </b>Oui, mais des gens qui ont pour point commun d’aller faire leur footing autour du siège de la DGSE. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>À l’intérieur, pas autour. Qui avaient activé ou désactivé leur GPS à l’intérieur. Parce que quelqu’un qui court autour de la DGSE, je n’ai aucun moyen de savoir si c’est de la DGSE ou pas. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Sauf si de temps en temps il va en Syrie, là ça commence à chauffer. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>C’est arrivé une fois, et ça n’était pas en Syrie, mais bref. | ||
| + | |||
| + | J’ai refait l’expérience il n’y a pas très longtemps : quatre ans après, j’ai voulu revérifier et, pour te répondre sur le n’importe qui peut faire ça, je forme des étudiants en journalisme, donc j’avais une dizaine d’étudiants pendant trois jours. Je me dis, tiens, je vais leur proposer pendant trois jours, on va essayer de regarder. Et la dizaine d’étudiants, en trois jours, a réussi à en identifier un ou deux. Et moi j’étais frustré : il n’y en a qu’un ou deux ? Je m’y suis ré-attelé, j’ai repassé l’intégralité des <em>usual suspects</em>, ceux que je pensais potentiellement être de la DGSE et - signe que c’est à la fois l’état d’esprit et la méthodologie -, j’en ai trouvé près de dix. Donc, en fait, oui, n’importe qui peut, mais après c’est comme un chasseur... Il faut avoir de l’expérience. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Oui, il faut de l’habitude. Mais en fait, j’ai l’impression que quand tu fais de la recherche en science ouverte, tu profites tout le temps des négligences. Mais les négligences, tu me parlais de la Seconde Guerre mondiale, finalement c’est parce que les Allemands ne se sont pas dit qu’un bulletin météo pouvait servir à les attaquer. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Non, c’est que la radio allemande a besoin de diffuser des bulletins météo. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Ou alors c’est parce que tu n’as pas le choix. Là, on parlait d’un temps où les canaux de distribution de l’info étaient quand même relativement maîtrisés, mais là, avec la nuée de données, en fait, on a l’impression que c’est impossible de maîtriser ce qui sort sur nous. Alors là, on peut dire que ça n’est quand même pas très malin de la part de la DGSE, mais à priori, c’est quand même des gens qui ne sont pas totalement stupides. Donc, comment est-ce que tu expliques ça ? | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>En fait, le truc, c’est que je suis persuadé qu’il y en a beaucoup plus de la DGSE qui se géolocalisent sur Strava. Sauf que ce qu’ils font, c’est qu’ils activent et éteignent leur GPS ailleurs, en dehors de la DGSE. Les gens que j’ai identifiés ont tous pour point commun d’avoir éteint ou allumé le GPS à l’intérieur de la caserne Mortier ou de la caserne des Tourelles, qui est en face. Ils ont fait des erreurs, et c’est parce que l’erreur est humaine. On fait tous des erreurs, et voilà. Donc, il y a ça. | ||
| + | |||
| + | Il y a d’autre part un autre niveau. Je vais te donner un autre exemple. Il y a quelques années, des journalistes, qui n’étaient pas de sources ouvertes mais de sources fermées, avaient recueilli des témoignages qui listait la liste des stations d’écoute de la DGSE. Mais on n’a aucun moyen de vérifier parce que quand elle est sur Google Street View - à l’époque ça n’était pas flouté, maintenant c’est flouté - tu voyais le terrain militaire, mais avec les antennes satellites derrière. Sauf que les antennes satellites, c’est soit la DIRISI, la direction communication de l’armée, qui permet de communiquer par les satellites avec les forces militaires en opex, soit c’est la DGSE pour surveiller les satellites, mais dans les deux cas, c’est marqué Terrain militaire, défense d’entrer et interdiction de photographier. Moi, comme je regarde les appels d’offres, je suis tombé sur un appel d’offres de la DGSE qui recrutait des jardiniers. Pourquoi ? Parce qu’un champ d’antennes, c’est des antennes pour écouter les satellites, mais c’est un champ d’herbe et il faut tondre la pelouse et donc ils recrutaient des jardiniers pour tondre la pelouse. Et donc là, il y avait les coordonnées de tous les centres radioélectriques de l’administration : centre radioélectrique, ça veut dire station d’écoute. Donc là, c’était dans un appel d’offres. | ||
| + | |||
| + | <b>Raphaël Grably : </b>En fait, il faut avoir une réflexion très concrète, en fait, très terre à terre finalement. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Ce que j’ai coutume de dire, c’est que un hacker - puisque je me définis aussi comme journaliste hacker - un hacker va chercher des failles de sécurité. Donc, s’il n’arrive pas à rentrer par la porte parce que la porte est fermée, il va essayer de voir s’il ne peut pas rentrer par la fenêtre ou s’il n’y a pas une deuxième porte, ou par le faux plafond, ou activer la webcam, ou est-ce qu’il peut pas choper la clé... C’est un billard à plein de bandes. Et moi, c’est pareil : quand je cherche une information, je vais la chercher de façon assez orthodoxe, en fait. Je vais donner un autre exemple : la liste des stations d’écoute, des dates des détachements avancés, des transmissions, qui sont les stations d’écoute opérées par la direction du renseignement militaire et la DGSE dans les territoires d’Outre-Mer ou à l’étranger. La réponse ? Je les ai trouvés sur eBay. Pourquoi ? Parce que la DRM [Direction du Renseignement militaire], ce sont des militaires, donc ils portent des uniformes et des insignes, contrairement à nombre des employés de la DGSE. Et les insignes, en fait, chaque station d’écoute, chaque DAT ??? [+ déplier l’acronyme 19:34] a une couleur différente et les collectionneurs d’insignes précisaient que le DAT de Gien ??? [19:38], c’était telle couleur, le DAT ??? de Ouagadougou, c’était telle couleur... Et donc après, j’allais sur Google Maps pour regarder où il y avait des champs d’antenne à Gien, à Libreville, etc. Donc c’est sur eBay que j’ai trouvé la réponse à ma question, alors que ces informations normalement sont classifiées. | ||
| + | |||
| + | Parfois j’arrive également en trouver sur Legifrance, dans le journal officiel, dans des rapports parlementaires. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Donc, c’est regarder là où les autres ne regardent pas aussi souvent, j’ai l’impression | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>La majeure partie des journalistes se contente de regarder le flux des dépêches AFP : on sait que 80 % du contenu journalistique, c’est du copié-collé résumé de ce que d’autres journalistes ont fait, parce qu’ils n’ont pas le temps. Alors que moi, je prends le temps, voilà : j’écris 5 papiers par jour, mais c’est pour faire des revues de presse, pas des enquêtes. Je ne fais pas une enquête par jour, ça n’est pas possible. La majeure partie des journalistes, déjà ils n’ont pas le temps d’enquêter et donc ils reprennent ce que d’autres ont fait. Alors que moi, je cherche en permanence. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Tu donnes des exemples avec des histoires, par exemple sur eBay, la cartographie. Il y a un exemple qui me vient en tête, et tu parlais de la guerre en Ukraine tout à l’heure, c’est le nombre de photos que, par exemple, beaucoup de soldats russes ont diffusé. Des soldats russes qui diffusent une photo d’eux, on va dire un peu parfois pour se vanter d’une victoire ou simplement pour se mettre en scène. Ils balancent ça sur les réseaux sociaux. Et derrière, ils se font bombarder ! Et c’est là où l’OSINT version 2022 et 2023 prend une autre ampleur. Toi, tu parles de tes enquêtes : quand tu es 1 pour enquêter, c’est déjà pas mal, mais quand tu es 1000 - tu parles des collectifs. Aujourd’hui sur Twitter, tu balances une photo de deux soldats russes devant tel arbre qui a telle forme, avec telle météo, et devant tel bâtiment qui a telle forme. Si tu donnes ça à 1000 personnes qui savent à peu près chercher, en fait, dans quasiment 100 % des cas, tu peux donner leur géolocalisation. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>C’est une des raisons pour laquelle l’État islamique avait formellement interdit à ses soldats de se prendre en selfie. C’est à dire qu’au début, ils se prenaient en selfie pour qu’il y ait d’autres personnes qui viennent faire le Djihad, qui aillent en Syrie et en Irak combattre aux côtés de l’État islamique. Sauf qu’à force de faire des selfies, les Américains ont commencé à géolocaliser où ils se prenaient en selfie et à balancer des bombes avec les drones. Donc l’État islamique a dit : Bon, maintenant vous arrêtez les selfies, vous passez à Telegram. Et ils arrêtaient de balancer des photos, ils ne conversaient plus qu’en mode texte ou voix. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Mais les Russes le font... | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Sauf qu’à l’époque, il y avait bien évidemment sur les chaînes Telegram des djihadistes énormément de services de renseignement français, anglo-saxons, etc., pour arriver à identifier les erreurs que commettraient tel ou tel. Et on sait que, par exemple, le terroriste de l’attentat de Vouvray, celui qui a égorgé un prêtre, eh bien il y avait trois personnes des services de renseignements français sur sa chaîne telegram d’une vingtaine de personnes. Sauf qu’ils n’ont pas eu le temps de faire remonter l’information suffisamment en temps et en heure, et empêcher le terroriste. Et donc ce que l’État islamique a essayé d’empêcher de faire, eh bien aujourd’hui, les Russes sont pareils parce qu’ils n’ont pas suivi... | ||
| + | |||
| + | <b>Raphaël Grably : </b>C’est comme l’histoire des soldats russes qui ont allumé leur téléphone le 31 décembre pour envoyer probablement des SMS de bonne année à leurs familles... | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>...qui ont été géolocalisés, ce qui a permis aux Ukrainiens d’identifier où ils résidaient. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Alors là ça n’était pas forcément de l’OSINT. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Ça n’est pas de l’OSINT, c’est du CYBINT [Cyber or digital network intelligence], il faut pouvoir espionner les communications. | ||
| + | |||
| + | <b>Raphaël Grably : </b>C’était le réseau ukrainien, donc ça n’était pas très compliqué pour eux... | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Après on a eu l’exemple, il y a quelques mois, où, en fait, on s’apercevait qu’il y a des stations d’écoute radar qu’on peut écouter par internet, et par internet, on arrivait à écouter les communications par talkie-walkie. Parce qu’un des problèmes auxquels les Russes ont été confrontés, c’est que leur téléphone sécurisé fonctionne en Russie, mais pas en Ukraine. Et donc, comme il ne fonctionne pas en Ukraine, ils devaient utiliser soit leur numéro téléphone normal, soit utiliser un talkie-walkie. Sauf que le talkie-walkie, les ondes transitent en clair. Et donc plein de gens, dont moi, on a commencé à écouter les communications des Russes en mars avril, parce que certaines circulaient en clair. | ||
| + | |||
| + | La grosse différence entre ce qui se passait en Syrie et ce qui se passe avec la guerre en Ukraine, c’est qu’aujourd’hui, il y a des milliers ou des centaines de milliers de personnes qui font de l’OSINT en permanence. Et en dehors des services de renseignements, je parle de civils. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Même en dehors des journalistes, j’ai envie de dire : ça devient presque un jeu. Évidemment, c’est terrible de dire ça quand on parle d’un conflit, mais il y a un côté gamification du truc. On voit une photo et on dit : vas-y, devine où c’est ? Et en fait on peut y arriver, ça paraît incroyable, mais on peut y arriver. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Parce que c’est un jeu. Quand je fais des formations, je fais faire des jeux aux gens que je forme, parce qu’effectivement, c’est comme un escape game, c’est comme un jeu de plateau effectivement. Et tu as l’adrénaline quand tu arrives à trouver ce que tu cherchais. Je me décrivait un peu comme un chercheur d’or qui passe de la boue dans un tamis, mais quand le chercheur d’or trouve la pépite, il est super content. Ben moi, c’est pareil. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Tu as envie d’en refaire, du coup, il y a un côté addictif... | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>La majeure partie du temps, je ne trouve rien ou de la merde, je mets à la poubelle, poubelle, poubelle. Et puis, de temps en temps, je trouve des trucs. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Bon écoute Jean-Marc, merci beaucoup d’être venu nous voir dans Métadonnées. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Et donc j’insiste : le plus important, ça n’est pas de trouver sur Internet. Le plus important, c’est le cycle du renseignement, c’est la méthodologie, l’état d’esprit et le fait de vérifier. C’est pas parce qu’on trouve quelque chose sur le web que c’est forcément vrai. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Une recherche Google, ça n’est pas de l’OSINT. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>C’est le cycle du renseignement qui va permettre de vérifier si oui ou non, ce qu’on a trouvé est pertinent ou pas. | ||
| + | |||
| + | <b>Raphaël Grably : </b>Merci beaucoup, Jean-Marc Manach. | ||
| + | |||
| + | <b>Jean-Marc Manach : </b>Je vous en prie. | ||
Version du 5 février 2023 à 12:44
Titre : C’est quoi l’OSINT ?
Intervenants : Jean-Marc Manach (Journaliste d’investigation)
Lieu : Magazine Métadonnées, de Tech & Co
Date : 13 janv. 2023
Durée : 24 min 57
Licence de la transcription : Verbatim
Illustration : Photo de Jean-Marc Manach sur sa page wikipedia = https://fr.wikipedia.org/wiki/Jean-Marc_Manach
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Introduction
Parfois, les informations les plus précieuses et les plus inattendues sont sous nos yeux, et il faut simplement savoir les chercher. C’est le grand principe de l’OSINT, la recherche en sources ouvertes, dont certains journalistes se sont fait une spécialité. Mais comment fonctionne l’OSINT? Peut-on tous devenir des détectives Google ?
Transcription
Raphaël Grably : Parfois, les informations les plus précieuses et les plus inattendues sont juste sous nos yeux, en fait, il faut simplement savoir les chercher. C’est le grand principe de l’OSINT, la recherche en sources ouvertes, dont certains journalistes d’ailleurs se sont fait une spécialité. Mais au fait, ça fonctionne comment, l’OSINT ? Est ce qu’on peut tous devenir un détective Google ? Bienvenue dans Métadonnées, le podcast qui revient aux fondamentaux de la tech.
Bonjour, Jean-Marc Manach.
Jean-Marc Manach : Bonjour.
Raphaël Grably : Tu est journaliste d’investigation sur internet.
Jean-Marc Manach : Mon terrain d’investigation, c’est internet. Je ne vais pas dans les arrières salles des cafés rencontrer des sources humaines.
Raphaël Grably : C’est ça, voilà. Donc tu restes derrière ton écran en fait, pour enquêter. Tu fais de l’investigation derrière un écran.
Jean-Marc Manach : Je cherche sur le web. Mais le plus important, ça n’est pas de chercher. C’est de trouver, de vérifier, de contextualiser. C’est ce qu’on appelle le cycle du renseignement. On y reviendra.
Raphaël Grably : Et alors, justement, je voulais revenir avec toi sur l’OSINT. L’OSINT, c’est open source intelligence. C’est un terme qui n’est pas totalement nouveau, mais est-ce que tu pourrais le définir ? C’est la recherche en sources ouvertes : est-ce que tu pourrais définir ce terme qu’on voit de plus en plus ?
Jean-Marc Manach : Les premières mentions de ce qui allait devenir l’OSINT remonteraient au début du vingtième siècle, dans un rapport de la gendarmerie qui expliquait comment les gendarmes devaient aussi enquêter en source ouverte.
Raphaël Grably : Ils n’avaient pas internet à l’époque.
Jean-Marc Manach : Ils n’avaient pas internet ; après, l’OSINT s’est vraiment constitué pendant la deuxième guerre mondiale, quand les services de renseignement britanniques et surtout américains se sont aperçus que, pour planifier des bombardements en Allemagne, c’était super important d’écouter la radio allemande. Pourquoi ? Et bien parce qu’il y avait un bulletin météo, et les météorologues allemands étaient meilleurs que les météorologues anglo-saxons pour prédire la météo au-dessus de Berlin, Hambourg et en Allemagne, et donc ils se sont aperçus de l’intérêt des sources ouvertes. Un autre exemple, c’est quand, via des sources humaines, donc human intelligence, les services de renseignements anglo-saxons ont découvert que les Allemands travaillaient aussi la bombe nucléaire - à l’époque, c’était pour faire des fusées - : ils ont cherché sur des annuaires qui étaient les producteurs en Europe d’eau lourde, parce qu’il fallait bien se procurer de l’eau lourde pour travailler la filière nucléaire. Et donc, c’est là qu’ils ont identifié - je ne sais plus si c’était en Norvège ou en Suède - le fabricant qui fournissait les Nazis, et là, ils ont envoyé une opération commando pour détruire, et pas seulement pour récupérer l’eau lourde, pour la confier aux Alliés et empêcher les Nazis de continuer à développer. Donc ça, c’est là où vraiment l’OSINT a commencé. Et là où ça a, littéralement, ré-explosé, c’est avec l’apparition du web. Parce qu’avec Internet et le web, on n’a jamais eu accès à autant d’informations, et ça veut dire que ça décuple quasiment tous les ans.
Et donc, moi, j’ai commencé à faire de l’OSINT sans même connaître le mot, dès que j’ai commencé à faire une investigation sur le web, à la fin des années 90. Au milieu des années 2000 j’ai découvert la notion d’OSINT, et Bellingcat [1]le collectif, on aura peut-être l’occasion d’y revenir.
Raphaël Grably : Oui, bien sûr.
Jean-Marc Manach : Un collectif d’origine britannique a popularisé l’OSINT dans le milieu journalistique et, depuis la guerre en Ukraine, l’OSINT s’est imposé dans le narratif parce qu’il y a tellement d’informations, il y a tellement de vidéos, c’est la guerre la plus documentée. Il y avait déjà eu le phénomène en Syrie, où on a eu beaucoup d’OSINT, mais c’était moins médiatique que la guerre en Ukraine. Et là on a de plus en plus de collectifs, et pas seulement de journalistes, parce que l’OSINT est énormément pratiquée également par les professionnels de la sécurité informatique.
Raphaël Grably : Il y a quelque chose qu’on peut rappeler, c’est que l’OSINT, nous en parlons en tant que journalistes, mais c’est avant tout un truc - tu parlais de la Deuxième Guerre mondiale - c’est avant tout un truc d’agences de renseignement. Souvent quand on parle d’agences de renseignement, on se dit : c’est de l’espionnage, on doit trouver des trucs secrets pour être performant. Or, en fait, on s’aperçoit qu’il y a plein d’éléments publiques qui vont servir, un bulletin météo par exemple.
Jean-Marc Manach : Dans les différentes branches du renseignement, tu as donc l’HUMINT, le renseignement humain, le SIGINT, le signal intelligence, ou renseignement d’origine électromagnétique en français, là, c’est l’écoute d’internet ou des téléphones ou des satellites, l’ELINT [electronic intelligence], c’est la surveillance des radars, le SOCMINT, c’est social media intelligence, la surveillance des réseaux sociaux. Et donc l’OSINT qui regroupe une bonne partie de ces différents « INT ». Il y a une affiche au musée de l’espionnage de Washington qui explique qu’on estime que, pour ce qui est des services de renseignements occidentaux, 80 % du renseignement collecté par les services de renseignement occidentaux vient de l’OSINT. On n’a plus besoin de faire des fric-frac ou de mettre des gens sur écoute, à ce niveau...
Raphaël Grably : fric-frac ?
Jean-Marc Manach : Rentrer chez quelqu’un pour dérober des informations dans son coffre-fort ou poser un micro espion ou implanter un logiciel espion dans son ordinateur.
Raphaël Grably : Oui, c’est pas James Bond.
Jean-Marc Manach : Oui, et d’ailleurs James Bond c’est une très, très mauvaise image de ce que sont les services de renseignement. Il vaut mieux regarder le Bureau des légendes, qui est plus réaliste. Minus le côté cyber où c’est assez caricatural, le côté hacker, où il tapait comme ça [il tape très vite et n’importe quoi]
Raphaël Grably : Ça, c’est tous les films !
Jean-Marc Manach : C’est pas parce que tu tapes très vite que tu es un hacker... Et si tu regardes, par exemple, on a une association en France qui s’appelle Open Facto [2] : en fait, c’est beaucoup de professionnels, et pas forcément journalistes, qui viennent se former, parce qu’Open Facto fait des formations. Mais si tu regardes Ozint FR [3], là c’est un serveur Discord : il y a quelques mois ils étaient 8000. Je ne sais pas aujourd’hui combien ils sont, mais la majeure partie des gens qui sont sur Ozint FR, ce sont des étudiants ou des professionnels qui travaillent en cybersécurité ou en intelligence économique. Pourquoi ? Parce que le b-a ba d’un hacker, d’un professionnel de la cybersécurité, c’est de connaître les failles d’un système. Donc, pour connaître les failles d’un système, tu fais d’abord une enquête OSINT pour savoir quels sont les logiciels utilisés, si ils sont à jour et ceux qui ne sont pas à jour, qui est l’admin-sys [administrateur système].
Si je prends un exemple d’une attaque qui avait été faite par le GCHQ [Government Communications Headquarters, littéralement « quartier-général des communications du gouvernement »] qui est donc l’équivalent britannique de la NSA : ils s’étaient attaqués à l’un des principaux fournisseurs d’accès belge parce qu’il fournissait les différentes instances européennes. Ils avaient fait la cartographie des admins-systèmes de cet opérateur FAI et ils avaient envoyé des logiciels espions...
Raphaël Grably : Opérateur FAI, c’est un fournisseur d’accès Internet.
Jean-Marc Manach : Oui. Ils avaient envoyé des logiciels espions aux admins système parce que si l’admin-système a un logiciel espion, tu es root, comme on dit, tu es admin !
Raphaël Grably : En gros, l’OSINT permet de savoir où frapper. Après tu regardes comment frapper. Mais ça permet de savoir où frapper.
Jean-Marc Manach : En matière de cybersécurité.
Raphaël Grably : En matière de cybersécurité, évidemment. On repasse maintenant un peu sur un plan plus large. Toi, tu es journaliste, tu dis : voilà, je vais faire de l’OSINT, j’ai envie de chercher quelque chose, de trouver un scoop. Tu es devant Google concrètement pour clarifier les choses : qu’est-ce que tu fais ? Qu’est-ce que tu cherches et comment tu le cherches ?
Jean-Marc Manach : Alors déjà, c’est pas que Google.
Raphaël Grably : Non, mais je caricature un peu, volontairement.
Jean-Marc Manach : J’ai coutume de dire que je suis un peu comme un chercheur d’or. Le chercheur d’or passe sa vie, ses journées, à mettre de la boue dans un tamis avec l’espoir de trouver la pépite. Moi, c’est un peu ça. Je vais surveiller les marchés publics parce que souvent il y a des pépites dans les marchés publics qui sont très sous-exploitées. Je vais chercher des signaux faibles. Donc j’ai mis certaines alertes, que ce soit sur Twitter ou sur Google, pour que dès que tel mot est prononcé, parce ce mot-là m’intéresse, mais il arrive très, très rarement. Et quand il arrive, je vais m’en saisir. Je surveille bien évidemment un certain nombre de comptes sur Twitter pour des signaux faibles. Je cherche en permanence et comme je cherche en permanence, ben des fois je trouve.
Raphaël Grably : En fait c’est un peu presque un état d’esprit ? Alors, il faut de la rigueur et il faut beaucoup de choses, mais c’est un état d’esprit ?
Jean-Marc Manach : Je fais pas mal de formations également à l’OSINT : ce que j’explique, c’est d’abord et avant tout un état d’esprit, une méthodologie bien plus que des compétences techniques. Bien sûr, il faut avoir un minimum d’appétence technique, en tout cas avec internet. Et il y a beaucoup de gens, des professionnels de l’OSINT, qui ont développé des scripts en python, en R, qui sont des langages de programmation pour automatiser des systèmes de veille. Moi, je n’ai pas fait de cursus informatique, d’école, donc je n’ai pas du tout de compétences en programmation. Par contre, ce qui nous relie tous, c’est effectivement cet état d’esprit, c’est une méthodologie qui renvoie à ce dont je parlais tout à l’heure, qui renvoie à ce qu’on appelle le cycle du renseignement. C’est un truc fondamental pour comprendre ce que c’est que l’OSINT et comment fonctionnent les services de renseignement. Parce que l’OSINT n’est pas juste « Je vais chercher des trucs sur internet, et une fois que j’ai trouvé sur internet, c’est bon », non. Le cycle du renseignement définit comment travaillent les services de renseignement : il y a l’expression de besoin, c’est : Quelle est la question qu’on se pose. Ensuite, on va chercher des éléments de réponse. Une fois qu’on a trouvé des éléments de réponse, ensuite on va analyser, recouper, vérifier ; est-ce que les éléments de réponse qu’on a trouvés, c’est cohérent, c’est opportun, ça répond à la question ou pas ? Et ensuite, on va synthétiser les éléments de réponse en expliquant pourquoi on pense que ceci et cela répond à la question qui a été posée, et on diffuse.
Donc contre-exemple de ce que l’OSINT n’est pas : au début du coronavirus on a une vidéo qui est devenue virale, où il y a quelqu’un qui n’a pas de compétences particulières, ni en OSINT, ni en journalisme, ni en santé, ni médicales, mais qui avait trouvé un brevet de Pasteur sur le coronavirus. Donc c’était la preuve du complot, parce qu’il a trouvé sur internet le brevet. Ben oui, mais sauf que c’était un brevet que Pasteur avait déposé pour le coronavirus de 2003. Donc ça n’avait rien à voir. Et en fait, tous les laboratoires pharmaceutiques, quand ils développent des molécules, vont déposer des brevets pour la propriété intellectuelle. Donc ça n’est pas parce qu’on trouve quelque chose sur internet que c’est vrai. L’OSINT ça n’est pas ça, l’OSINT c’est le cycle du renseignement qui fait qu’on va vérifier une information.
Je vais donner un autre exemple. C’était il y a quatre ans maintenant. Il y a un pro de l’OSINT pour le coup, son réflexe depuis des années dès qu’il trouvait une nouvelle carte il allait regardé à quoi ressemblait la Syrie. Pourquoi ? Parce qu’il s’était formé à l’OSINT au moment de la guerre civile en Syrie. Et il y a tellement de choses qu’on a fait en Syrie, notamment en ce moment en Ukraine, grâce aux cartographies, que lui, c’était son réflexe. Et donc là c’était la carte de Strava, un réseau social de sportifs, où les gens qui font du jogging, de la natation ou du vélo vont géolocaliser leurs courses pour comparer leurs performances avec leurs pairs ou l’évolution de leur propre performance. Et quand Nathan Ruser est allé en Syrie sur Strava, il a découvert, à sa grande stupeur, que des gens se géolocalisaient. Il se dit : Mais qui sont ces gens ?
Raphaël Grably : Qui fait du footing en Syrie ?
Jean-Marc Manach : Entre l’État islamique, l’armée de Bachar el-Assad et la coalition de l’OTAN... Et donc, en regardant, il en est arrivé à la déduction que c’était probablement des forces spéciales des armées américaines et de l’OTAN qui étaient là-bas en train de combattre l’État islamique. Parce que ça ne pouvait pas être des soldats de l’État islamique, ça n’était probablement pas non plus des soldats de Bachar el-Assad. Et par capillarité ensuite il a commencé à regarder dans des bases militaires un peu partout dans le monde - en tous cas occidental - et il a découvert qu’il y avait plein de soldats, ce qui est logique : les soldats font du footing et donc il y en a qui utilisent Strava. Je me souviens : ça sort le samedi, il y a plein d’articles dans la presse tech anglo-saxonne, il y a un papier dans Le Monde le dimanche soir où un porte-parole du ministère des Armées explique « nous sommes au courant, bien évidemment, des problèmes posés par la géolocalisation »
Raphaël Grably : Le ministère des Armées français ?
Jean-Marc Manach : Oui. « Ça fait des années qu’on prévient nos soldats qu’il ne faut pas se géolocaliser, a fortiori quand on est en opex, en opérations spéciales, et nous avons renvoyé un message à tout le monde, à tous nos soldats, à ce sujet. » Donc, moi, réflexe : comme l’essentiel des papiers étaient sur les forces étasuniennes et anglo-saxonnes, je regarde le lendemain matin s’il y avait des soldats français en opex qui se géolocalisaient. En fait, c’était tellement simple de trouver des centaines de soldats français qui se géolocalisaient sur Strava, à Gao, au Mali ou dans d’autres unités françaises, que je me suis dit : « moi, je suis journaliste indépendant pigiste, il y a d’autres journalistes qui vont trouver pareil que moi, c’est tellement simple de trouver : il faut que je trouve autre chose ». Et je me suis posé la question : « qui sont les personnes les plus improbables a priori à se géolocaliser ? C’était des gens de la DGSE ».
Raphaël Grably : DGSE, le service de renseignement extérieur français.
12:01
Jean-Marc Manach : Dont il est interdit de révéler l’identité ; eux-mêmes n’ont pas le droit de révéler qu’ils travaillent à la DGSE, c’est un service secret dont le QG [quartier général] est boulevard Mortier.
Raphaël Grably : Le siège de la DGSE.
Jean-Marc Manach : J’ai donc commencé à regarder s’il y avait des gens qui se géolocalisaient du côté du boulevard Mortier. Ça m’a pris un peu de temps, parce que je ne comprenais pas du tout ce travail, il a fallu que je me forme, c’est un logiciel un peu compliqué. Mais bon, au bout de cinq jours, j’ai réussi à démontrer qu’il y avait au moins une personne qui s’était géolocalisée plusieurs fois à l’intérieur du boulevard Mortier, donc plusieurs fois c’était vraiment un faisceau d’indices, mais également au Fort de Noisy, qui est une annexe du service Action à Romainville, ainsi qu’en mission dans un pays du Moyen-Orient.
Raphaël Grably : Je décris juste deux secondes Strava pour que les gens qui nous écoutent puissent un peu s’illustrer. En fait, c’est une carte et on voit en rouge des parcours de footing avec des temps.
Jean-Marc Manach : En rouge, en orange, en jaune, plus c’est en jaune, plus il y a de personnes. En fait, ce sont tous les parcours de tous les gens qui se sont géolocalisés sur Strava.
Raphaël Grably : Mais effectivement, quand tu dis : tiens, je vois quelqu’un qui fait ce parcours, le même utilisateur qui peut être sous pseudonyme, mais qui fait le même parcours tous les jours, soit il peut habiter là, soit il peut travailler là. Tu es parti de ce principe.
Jean-Marc Manach : Je savait où il habitait, mais il était sur liste rouge, donc je n’avais pas son téléphone, et il était sous pseudonyme. Pour arriver à identifier son identité, à un moment je me suis aperçu que - parce que le diable se niche dans les détails -, certaines de ses courses faisaient 21 ou 42 kilomètres.
Raphaël Grably : Il s’entrainait à un marathon.
Jean-Marc Manach : Marathon et semi marathon. Donc, j’ai comparé les performances de cet utilisateur de Strava avec les résultats des marathons qui étaient disponibles sur les sites web des résultats des marathons. Et j’ai trouvé un nom qui matchait. Et ensuite, quand j’ai été sur le profil Facebook de ce nom-là, j’ai trouvé quelqu’un qui se photographiait en tenue de sportif en train de faire un footing, et la photo était géolocalisée le 15 juillet à Pléneuf-Val-André. Sur Strava, le 15 juillet à Pléneuf-Val-André, c’était lui. Donc j’avais la confirmation. Donc le cycle du renseignement, je partais d’une hypothèse de travail...
Raphaël Grably : Donc tu as trouvé, mais tu ne sais pas encore qui est cette personne, son métier...
Jean-Marc Manach : Je sais qu’en tout cas, il a été envoyé pour une mission au Proche-Orient à un moment précis.
Raphaël Grably : Tu l’avais déjà localisé au Proche-Orient.
Jean-Marc Manach : Oui, sur Strava il s’était géolocalisé au Proche-Orient et c’était au lendemain de la démission du Président du pays en question où il était allé. Donc je le savais en plus, probablement, la mission qu’il avait effectuée, et tout ça en mode OSINT.
Raphaël Grably : Ça veut dire que tout est public, en fait, et ce que tu as fait, entre guillemets, « tout le monde » aurait pu le faire, avec une certaine réflexion et une rigueur, évidemment.
Jean-Marc Manach : C’est là où on revient à l’état d’esprit et à la méthodologie.
Raphaël Grably : Mais en gros tu l’as fait devant ton ordinateur et chez toi.
Jean-Marc Manach : Oui. Et ensuite, quand j’ai contacté un ancien de la DGSE pour savoir ce qu’il risquait si jamais je faisais savoir que j’en ai trouvé un, il m’a dit : « il va prendre pour les autres », sous-entendu ta mission, si tu ne veux pas qu’il paye pour les autres, c’est d’en trouver d’autres. Parce que, on vient de l’apprendre, ils sont 4000. Ça, c’est dans un appel d’offres : on vient d’apprendre qu’il y 4000 employés de la DGSE à Mortier et 2000 au Fort de Noisy. Donc la probabilité, sur 4000 personnes, qu’il y ait des utilisateurs de Strava... Je m’y suis réattelé et en l’espace de cinq, six jours, j’en ai trouvé une vingtaine d’autres.
Raphaël Grably : D’accord. Donc tu as trouvé une vingtaine d’agents de la >DGSE, probables en tout cas...
Jean-Marc Manach : ...qui s’étaient géolocalisés à l’intérieur. Agent, je ne sais pas : employés, parce qu’à la DGSE il y a aussi des personnes qui font le ménage, il y a des cantinières...
Raphaël Grably : Oui, mais des gens qui ont pour point commun d’aller faire leur footing autour du siège de la DGSE.
Jean-Marc Manach : À l’intérieur, pas autour. Qui avaient activé ou désactivé leur GPS à l’intérieur. Parce que quelqu’un qui court autour de la DGSE, je n’ai aucun moyen de savoir si c’est de la DGSE ou pas.
Raphaël Grably : Sauf si de temps en temps il va en Syrie, là ça commence à chauffer.
Jean-Marc Manach : C’est arrivé une fois, et ça n’était pas en Syrie, mais bref.
J’ai refait l’expérience il n’y a pas très longtemps : quatre ans après, j’ai voulu revérifier et, pour te répondre sur le n’importe qui peut faire ça, je forme des étudiants en journalisme, donc j’avais une dizaine d’étudiants pendant trois jours. Je me dis, tiens, je vais leur proposer pendant trois jours, on va essayer de regarder. Et la dizaine d’étudiants, en trois jours, a réussi à en identifier un ou deux. Et moi j’étais frustré : il n’y en a qu’un ou deux ? Je m’y suis ré-attelé, j’ai repassé l’intégralité des usual suspects, ceux que je pensais potentiellement être de la DGSE et - signe que c’est à la fois l’état d’esprit et la méthodologie -, j’en ai trouvé près de dix. Donc, en fait, oui, n’importe qui peut, mais après c’est comme un chasseur... Il faut avoir de l’expérience.
Raphaël Grably : Oui, il faut de l’habitude. Mais en fait, j’ai l’impression que quand tu fais de la recherche en science ouverte, tu profites tout le temps des négligences. Mais les négligences, tu me parlais de la Seconde Guerre mondiale, finalement c’est parce que les Allemands ne se sont pas dit qu’un bulletin météo pouvait servir à les attaquer.
Jean-Marc Manach : Non, c’est que la radio allemande a besoin de diffuser des bulletins météo.
Raphaël Grably : Ou alors c’est parce que tu n’as pas le choix. Là, on parlait d’un temps où les canaux de distribution de l’info étaient quand même relativement maîtrisés, mais là, avec la nuée de données, en fait, on a l’impression que c’est impossible de maîtriser ce qui sort sur nous. Alors là, on peut dire que ça n’est quand même pas très malin de la part de la DGSE, mais à priori, c’est quand même des gens qui ne sont pas totalement stupides. Donc, comment est-ce que tu expliques ça ?
Jean-Marc Manach : En fait, le truc, c’est que je suis persuadé qu’il y en a beaucoup plus de la DGSE qui se géolocalisent sur Strava. Sauf que ce qu’ils font, c’est qu’ils activent et éteignent leur GPS ailleurs, en dehors de la DGSE. Les gens que j’ai identifiés ont tous pour point commun d’avoir éteint ou allumé le GPS à l’intérieur de la caserne Mortier ou de la caserne des Tourelles, qui est en face. Ils ont fait des erreurs, et c’est parce que l’erreur est humaine. On fait tous des erreurs, et voilà. Donc, il y a ça.
Il y a d’autre part un autre niveau. Je vais te donner un autre exemple. Il y a quelques années, des journalistes, qui n’étaient pas de sources ouvertes mais de sources fermées, avaient recueilli des témoignages qui listait la liste des stations d’écoute de la DGSE. Mais on n’a aucun moyen de vérifier parce que quand elle est sur Google Street View - à l’époque ça n’était pas flouté, maintenant c’est flouté - tu voyais le terrain militaire, mais avec les antennes satellites derrière. Sauf que les antennes satellites, c’est soit la DIRISI, la direction communication de l’armée, qui permet de communiquer par les satellites avec les forces militaires en opex, soit c’est la DGSE pour surveiller les satellites, mais dans les deux cas, c’est marqué Terrain militaire, défense d’entrer et interdiction de photographier. Moi, comme je regarde les appels d’offres, je suis tombé sur un appel d’offres de la DGSE qui recrutait des jardiniers. Pourquoi ? Parce qu’un champ d’antennes, c’est des antennes pour écouter les satellites, mais c’est un champ d’herbe et il faut tondre la pelouse et donc ils recrutaient des jardiniers pour tondre la pelouse. Et donc là, il y avait les coordonnées de tous les centres radioélectriques de l’administration : centre radioélectrique, ça veut dire station d’écoute. Donc là, c’était dans un appel d’offres.
Raphaël Grably : En fait, il faut avoir une réflexion très concrète, en fait, très terre à terre finalement.
Jean-Marc Manach : Ce que j’ai coutume de dire, c’est que un hacker - puisque je me définis aussi comme journaliste hacker - un hacker va chercher des failles de sécurité. Donc, s’il n’arrive pas à rentrer par la porte parce que la porte est fermée, il va essayer de voir s’il ne peut pas rentrer par la fenêtre ou s’il n’y a pas une deuxième porte, ou par le faux plafond, ou activer la webcam, ou est-ce qu’il peut pas choper la clé... C’est un billard à plein de bandes. Et moi, c’est pareil : quand je cherche une information, je vais la chercher de façon assez orthodoxe, en fait. Je vais donner un autre exemple : la liste des stations d’écoute, des dates des détachements avancés, des transmissions, qui sont les stations d’écoute opérées par la direction du renseignement militaire et la DGSE dans les territoires d’Outre-Mer ou à l’étranger. La réponse ? Je les ai trouvés sur eBay. Pourquoi ? Parce que la DRM [Direction du Renseignement militaire], ce sont des militaires, donc ils portent des uniformes et des insignes, contrairement à nombre des employés de la DGSE. Et les insignes, en fait, chaque station d’écoute, chaque DAT ??? [+ déplier l’acronyme 19:34] a une couleur différente et les collectionneurs d’insignes précisaient que le DAT de Gien ??? [19:38], c’était telle couleur, le DAT ??? de Ouagadougou, c’était telle couleur... Et donc après, j’allais sur Google Maps pour regarder où il y avait des champs d’antenne à Gien, à Libreville, etc. Donc c’est sur eBay que j’ai trouvé la réponse à ma question, alors que ces informations normalement sont classifiées.
Parfois j’arrive également en trouver sur Legifrance, dans le journal officiel, dans des rapports parlementaires.
Raphaël Grably : Donc, c’est regarder là où les autres ne regardent pas aussi souvent, j’ai l’impression
Jean-Marc Manach : La majeure partie des journalistes se contente de regarder le flux des dépêches AFP : on sait que 80 % du contenu journalistique, c’est du copié-collé résumé de ce que d’autres journalistes ont fait, parce qu’ils n’ont pas le temps. Alors que moi, je prends le temps, voilà : j’écris 5 papiers par jour, mais c’est pour faire des revues de presse, pas des enquêtes. Je ne fais pas une enquête par jour, ça n’est pas possible. La majeure partie des journalistes, déjà ils n’ont pas le temps d’enquêter et donc ils reprennent ce que d’autres ont fait. Alors que moi, je cherche en permanence.
Raphaël Grably : Tu donnes des exemples avec des histoires, par exemple sur eBay, la cartographie. Il y a un exemple qui me vient en tête, et tu parlais de la guerre en Ukraine tout à l’heure, c’est le nombre de photos que, par exemple, beaucoup de soldats russes ont diffusé. Des soldats russes qui diffusent une photo d’eux, on va dire un peu parfois pour se vanter d’une victoire ou simplement pour se mettre en scène. Ils balancent ça sur les réseaux sociaux. Et derrière, ils se font bombarder ! Et c’est là où l’OSINT version 2022 et 2023 prend une autre ampleur. Toi, tu parles de tes enquêtes : quand tu es 1 pour enquêter, c’est déjà pas mal, mais quand tu es 1000 - tu parles des collectifs. Aujourd’hui sur Twitter, tu balances une photo de deux soldats russes devant tel arbre qui a telle forme, avec telle météo, et devant tel bâtiment qui a telle forme. Si tu donnes ça à 1000 personnes qui savent à peu près chercher, en fait, dans quasiment 100 % des cas, tu peux donner leur géolocalisation.
Jean-Marc Manach : C’est une des raisons pour laquelle l’État islamique avait formellement interdit à ses soldats de se prendre en selfie. C’est à dire qu’au début, ils se prenaient en selfie pour qu’il y ait d’autres personnes qui viennent faire le Djihad, qui aillent en Syrie et en Irak combattre aux côtés de l’État islamique. Sauf qu’à force de faire des selfies, les Américains ont commencé à géolocaliser où ils se prenaient en selfie et à balancer des bombes avec les drones. Donc l’État islamique a dit : Bon, maintenant vous arrêtez les selfies, vous passez à Telegram. Et ils arrêtaient de balancer des photos, ils ne conversaient plus qu’en mode texte ou voix.
Raphaël Grably : Mais les Russes le font...
Jean-Marc Manach : Sauf qu’à l’époque, il y avait bien évidemment sur les chaînes Telegram des djihadistes énormément de services de renseignement français, anglo-saxons, etc., pour arriver à identifier les erreurs que commettraient tel ou tel. Et on sait que, par exemple, le terroriste de l’attentat de Vouvray, celui qui a égorgé un prêtre, eh bien il y avait trois personnes des services de renseignements français sur sa chaîne telegram d’une vingtaine de personnes. Sauf qu’ils n’ont pas eu le temps de faire remonter l’information suffisamment en temps et en heure, et empêcher le terroriste. Et donc ce que l’État islamique a essayé d’empêcher de faire, eh bien aujourd’hui, les Russes sont pareils parce qu’ils n’ont pas suivi...
Raphaël Grably : C’est comme l’histoire des soldats russes qui ont allumé leur téléphone le 31 décembre pour envoyer probablement des SMS de bonne année à leurs familles...
Jean-Marc Manach : ...qui ont été géolocalisés, ce qui a permis aux Ukrainiens d’identifier où ils résidaient.
Raphaël Grably : Alors là ça n’était pas forcément de l’OSINT.
Jean-Marc Manach : Ça n’est pas de l’OSINT, c’est du CYBINT [Cyber or digital network intelligence], il faut pouvoir espionner les communications.
Raphaël Grably : C’était le réseau ukrainien, donc ça n’était pas très compliqué pour eux...
Jean-Marc Manach : Après on a eu l’exemple, il y a quelques mois, où, en fait, on s’apercevait qu’il y a des stations d’écoute radar qu’on peut écouter par internet, et par internet, on arrivait à écouter les communications par talkie-walkie. Parce qu’un des problèmes auxquels les Russes ont été confrontés, c’est que leur téléphone sécurisé fonctionne en Russie, mais pas en Ukraine. Et donc, comme il ne fonctionne pas en Ukraine, ils devaient utiliser soit leur numéro téléphone normal, soit utiliser un talkie-walkie. Sauf que le talkie-walkie, les ondes transitent en clair. Et donc plein de gens, dont moi, on a commencé à écouter les communications des Russes en mars avril, parce que certaines circulaient en clair.
La grosse différence entre ce qui se passait en Syrie et ce qui se passe avec la guerre en Ukraine, c’est qu’aujourd’hui, il y a des milliers ou des centaines de milliers de personnes qui font de l’OSINT en permanence. Et en dehors des services de renseignements, je parle de civils.
Raphaël Grably : Même en dehors des journalistes, j’ai envie de dire : ça devient presque un jeu. Évidemment, c’est terrible de dire ça quand on parle d’un conflit, mais il y a un côté gamification du truc. On voit une photo et on dit : vas-y, devine où c’est ? Et en fait on peut y arriver, ça paraît incroyable, mais on peut y arriver.
Jean-Marc Manach : Parce que c’est un jeu. Quand je fais des formations, je fais faire des jeux aux gens que je forme, parce qu’effectivement, c’est comme un escape game, c’est comme un jeu de plateau effectivement. Et tu as l’adrénaline quand tu arrives à trouver ce que tu cherchais. Je me décrivait un peu comme un chercheur d’or qui passe de la boue dans un tamis, mais quand le chercheur d’or trouve la pépite, il est super content. Ben moi, c’est pareil.
Raphaël Grably : Tu as envie d’en refaire, du coup, il y a un côté addictif...
Jean-Marc Manach : La majeure partie du temps, je ne trouve rien ou de la merde, je mets à la poubelle, poubelle, poubelle. Et puis, de temps en temps, je trouve des trucs.
Raphaël Grably : Bon écoute Jean-Marc, merci beaucoup d’être venu nous voir dans Métadonnées.
Jean-Marc Manach : Et donc j’insiste : le plus important, ça n’est pas de trouver sur Internet. Le plus important, c’est le cycle du renseignement, c’est la méthodologie, l’état d’esprit et le fait de vérifier. C’est pas parce qu’on trouve quelque chose sur le web que c’est forcément vrai.
Raphaël Grably : Une recherche Google, ça n’est pas de l’OSINT.
Jean-Marc Manach : C’est le cycle du renseignement qui va permettre de vérifier si oui ou non, ce qu’on a trouvé est pertinent ou pas.
Raphaël Grably : Merci beaucoup, Jean-Marc Manach.
Jean-Marc Manach : Je vous en prie.
