Discipline récente, apparue dans le sillage du web 2.0, l’OSINT, le « renseignement de source libre », s’impose désormais, aussi bien pour les États que pour la société civile, comme un outil essentiel dans la guerre de l’information qui fait rage. Décodage.
Le 4 août 2011, Mark Duggan, petit malfrat londonien, est tué d’une balle dans le torse au cours de son arrestation par la police britannique. Trafiquant de drogue notoire et membre du Tottenham Mandem Gang, il est en possession d’une arme à feu au moment de son arrestation et soupçonné de préparer une exécution dans le but de venger son cousin, tué à coups de couteau à la sortie d’un bar de l’East End cinq mois auparavant. Sur fond de tensions ethniques, la mort de Duggan conduit à une série d’émeutes, du 6 au 11 août, qui touchent de multiples quartiers de Londres mais aussi de grandes villes comme Birmingham, Bristol, Liverpool ou Manchester, provoquant plus de 200 millions de £ de dégâts. Dans les jours qui suivent les émeutes, les réseaux sociaux sont massivement mis à contribution pour poster les images ou les vidéos des pillards, quand ce ne sont pas les images ou selfies postés par les pillards eux-mêmes qui sont récupérés sur leurs comptes Facebook ou Instagram pour être transmis à la police britannique. Celle-ci s’appuie largement sur cette mobilisation pour tenter d’appréhender les coupables. Le hashtag #catchalooter se répand comme une traînée de poudre, associé à des pages Tumblr, Flickr ou Facebook pour permettre l’identification et la condamnation de plus de 1500 personnes impliquées dans les pillages[1].
Le 17 juillet 2014, le Boeing 777-200ER assurant le vol 17 de Malaysia Airlines (code MH17) reliant Amsterdam à Kuala Lumpur est abattu en plein vol au-dessus de la région de Donetsk (Ukraine). L’accident ne laisse aucun survivant parmi les 283 passagers et les 15 membres de l’équipage. Bien évidemment, l’armée ukrainienne et les séparatistes pro-russes s’accusent mutuellement d’avoir abattu l’appareil. Malgré une demande de résolution déposée par la Malaisie et en dépit de la majorité des votes obtenue au Conseil de Sécurité, la Russie oppose son veto à la tenue d’un tribunal international. Mais bien avant qu’une enquête internationale ne débute le site web d’investigation Bellingcat retrace, dès novembre 2014, le parcours précis de la batterie de missile Buk responsable de la destruction de l’avion, de la Russie jusqu’à l’Ukraine, grâce à une série d’images obtenues à l’aide de Google Earth et des profils Vkontakte des soldats de la 53e brigade anti-aérienne russe[2]. Le 28 septembre 2016, le parquet néerlandais présente les conclusions préliminaires de son enquête, affirmant qu’un missile Buk a bien été tiré depuis la partie du territoire ukrainien contrôlée par les séparatistes pro-russes. En dépit des violentes dénégations du gouvernement russe, les enquêteurs internationaux parviennent à la même conclusion, précisant que le missile Buk ayant abattu le vol MH17 a été acheminé par des éléments de la 53e brigade anti-aérienne de l’armée russe.
Une discipline nouvelle
Chacun de ces deux exemples emblématiques illustre un aspect particulier de ce que l’on nomme aujourd’hui en français le « renseignement de sources ouvertes » et en anglais OSINT, pour Open Source INTelligence, qui se décline aussi en SOCMINT, SOCMediaINTelligence, c’est-à-dire la collecte de renseignement opérée à l’aide des réseaux sociaux. Les émeutes de Londres de 2011 et la manière dont les réseaux sociaux ont été mis à contribution pour retrouver les pillards constitue l’un des premiers exemples de l’utilisation à grande échelle des techniques de SOCMINT et l’acronyme a d’ailleurs été forgé en 2012 par David Omand, dans un article intitulé Introducing Social Media Intelligence (SOCMINT), publié dans la revue Intelligence & National Security en décembre 2012[3]. Ex-directeur du renseignement électronique britannique, David Omand a assez tôt pris conscience de l’importance de ces nouvelles sources de renseignement, ce qui l’amène à co-écrire en 2012, avec le journaliste Jaimie Bartlett et le chercheur Carl Miller, un article qui pose les jalons historiques de la reconnaissance de l’OSINT.
Après les émeutes de 2011, écrivent les auteurs de l’article, la police britannique a réalisé quel puissant instrument de recherche elle avait ainsi sous la main, mais aussi toutes les insuffisances des moyens de renseignements mis à disposition en la matière. « Un professionnel du renseignement déclara que cela s’apparentait à chercher une page dans un livre à la British Library sans avoir d’index auquel se référer[4]. » Cette prise de conscience amena le gouvernement britannique et les pouvoirs publics à réagir pour se doter de moyens en rapport avec l’énormité de ce nouveau domaine de renseignement, redéfini comme une priorité stratégique par le ministère de la Défense à partir de 2016[5]. De l’autre côté de la Manche, on assista à la mise en chantier d’une « cyberarmée » que Jean-Yves Le Drian appelait de ses vœux après les attentats de novembre 2015 et dont le « renseignement à partir de sources ouvertes », devait constituer l’une des missions essentielles. À partir des années 2010, les réseaux sociaux et bien d’autres applications web deviennent donc des outils à part entière du renseignement militaire ou policier.
À lire également
Désinformation en ligne : sortir de la dictature du temps court
Du militaire au civil
Mais bien vite, c’est une autre corporation qui s’empare de cet outil pour tirer parti des possibilités qu’il offre. Les journalistes sont logiquement destinés à s’intéresser de très près à cette nouvelle manière de collecter des informations dans le cadre d’une enquête. « Identifier les membres d’un commando des services secrets russes qui sont responsables de l’empoisonnement d’un opposant, prouver que ce sont bien des canons made in France qui sont utilisés pour bombarder des civils au Yémen, ou bien encore déconstruire en 3D les versions policières des événements qui ont conduit aux morts d’Adama Traoré ou de Zineb Redouane […] c’est une nouvelle forme de journalisme que l’on appelle ‘journalisme en sources ouvertes’ », explique la présentatrice et rédactrice en chef de l’émission Arrêt sur images, diffusée en ligne le 15 janvier 2021.
Médiapart, Disclose, Le Monde, Libération mais aussi d’innombrables blogs et sites d’information dit alternatifs font, en France, un grand usage de ces outils qui proviennent en grande partie du monde anglo-saxon. Si l’exemple des émeutes de 2011 a mis en avant le rôle de Facebook comme outil de renseignement open source, l’enquête, trois ans plus tard, sur les causes du crash du vol MH-17, a illustré le rôle essentiel joué par le logiciel Google Earth pour fournir de l’imagerie satellitaire ou encore par les réseaux sociaux d’autres aires culturelles, comme Vkontakte en Russie. Beaucoup plus récemment, c’est l’application Tinder qui a servi aux renseignements ukrainiens et occidentaux à localiser les mouvements de troupes russes dans le Donbass. En plus de Google Earth, il est aussi possible d’utiliser aujourd’hui le très complet Climate Viewer[6], pour bénéficier d’une gamme très complète d’outils d’imagerie satellitaire. Flightradar24[7] ou Firemap[8] sont d’autres exemples d’outils cartographiques plus spécialisés qui permettent de suivre les itinéraires d’aviation civile sur un territoire en temps réel ou de localiser précisément les incendies en cours, qu’ils aient des causes naturelles ou humaines. Ces outils sont aussi largement mis à contribution aujourd’hui par des sites de renseignements qui se donnent pour mission de fournir un décompte détaillé des pertes matérielles relevées dans l’actuel conflit ukrainien – comme c’est le cas avec le site néerlandais Oryx[9] – ou un relevé journalier et précisément cartographié des opérations militaires, avec, par exemple, la chaîne YouTube Les Conflits en carte[10]. On pourrait encore citer le très puissant outil cartographique Overpass Turbo, qui permet d’exploiter des données tirées d’OpenStreetMap, équivalent en matière de cartographie open source, de ce que Wikipédia représente pour les données textuelles.
On pourrait citer des outils plus précis encore, tels que Shodan[11], moteur de recherche créé en 2009 qui permet de recenser les objets connectés sur Internet et leur adresse IP. Ou encore Epieos[12], qui permet de retrouver les comptes de média sociaux qui peuvent être rattachés à un email, sans oublier l’outil Maigret qui fournit le même type de résultat à partir d’un pseudo. Enfin, parmi les multiples outils de l’OSINT, il faut compter aussi avec les « Google Dorks », ses termes de recherche spécifiques qui permettent de faire remonter des résultats parfois extrêmement précis des entrailles du moteur de recherche Google, de la même manière que le réseau social Twitter et l’emploi avisé des différents hashtags est devenu une source d’information terriblement efficace pour obtenir des renseignements qui ne sont pas nécessairement censés être aisément accessibles sur le web. On peut en dire autant des métadonnées – date, localisation, origine, chemin d’accès dans un répertoire, voire nom de l’auteur – qui sont attachées à une image sans que l’auteur ou les propriétaires de celle-ci aient pensé à les supprimer. Par voie de conséquence, l’OSINT a aussi donné naissance à un marché de plus en plus lucratif qui trouve notamment asile sur les darknets. Sur ces réseaux alternatifs, on peut s’échanger à prix d’or les informations confidentielles obtenues bien souvent grâce à de simples recherches effectuées grâce à des Google Dorks : mail professionnel, documentation interne, compte-rendu de réunion d’entreprise, mots de passe. La frontière entre OSINT et crime informatique peut dans de nombreux cas devenir très floue. Quant aux darkwebs eux-mêmes, ils sont devenus des sources d’informations précieuses, à la fois pour les lanceurs d’alerte qui peuvent y déposer anonymement des documents chez Wikileaks ou dans les boîtes aux lettres sécurisées du New-Yorker que pour les journalistes qui vont chercher sur ces réseaux des informations en utilisant les moteurs de recherche du darkweb, pas encore très efficaces, mais en plein développement, comme Torch, Recon ou Ahmia.
À l’heure de la société de l’information, l’OSINT s’affirme donc comme un élément clé de la discipline émergente de « l’infocyndinique ». Du grec κίνδυνος, « danger », et impulsé dans les années 1980 par Georges-Yves Kervern, les « cyndiniques », ou « sciences du danger », se double aujourd’hui de « l’infocyndinique », la « science du risque informationnel » – risque lié à la captation ou à la manipulation à grande échelle de l’information – dans le contexte plus large de « l’ultraguerre », la guerre « hors limites » décrite par les généraux chinois Qiao Liang et Wang Xiangsui, dans leur ouvrage du même titre en 1999. L’OSINT, « information de source libre », devient peu à peu le nerf de la guerre du futur.
À lire également
Désinformation, arme de guerre
[1] Deux exemples d’appels à témoins diffusés dans la presse ou en ligne : https://www.dailymail.co.uk/news/article-2024120/London-riots-2011-suspects-Photos-released-know-looters.html / https://techland.time.com/2011/08/09/after-riots-london-crowdsources-cleanup-identifying-looters/
[2] https://www.bellingcat.com/news/uk-and-europe/2014/11/08/origin-of-the-separatists-buk-a-bellingcat-investigation/
[3] https://www.researchgate.net/publication/262869934_Introducing_social_media_intelligence_SOCMINT / https://www.researchgate.net/profile/David-Omand/publication/262869934_Introducing_social_media_intelligence_SOCMINT/links/5703ebaf08ae74a08e245b3c/Introducing-social-media-intelligence-SOCMINT.pdf?origin=publication_detail
[4] Her Majesty’s Inspectorate of the Constabulary (HMIC), The Rules of Engagement: A Review of the August 2011 Disorders (London: Crown Copyright 2011) especially pp.36–9. Cité dans : “Introducing Social Media Intelligence (SOCMINT)”. Intelligence and National Security. Vol. 27, No. 6, 801–823, December 2012. p. 802
[5] https://www.dst.defence.gov.au/nsstc
[6] https://climate-adapt.eea.europa.eu/knowledge/tools/map-viewer
[7] https://www.flightradar24.com/
[8] https://firms.modaps.eosdis.nasa.gov/map/#d:24hrs;@0.0,0.0,3z
[9] https://www.oryxspioenkop.com/2022/02/attack-on-europe-documenting-equipment.html
[10] https://www.youtube.com/channel/UCkLlDQmNhyGpaTWDsBs4lqA