Les renseignements et la sécurité à l’épreuve du numérique : Les apports du Web 2.0 et de la Cybersécurité

technology 662833 960 720

Introduction
Les renseignements et la sécurité à l’épreuve du numérique : Les apports du Web 2.0 et de la Cybersécurité.
Ma note de ce mois s’organisera autour de 7 parties :

  1. Partie 1 : Cybersécurité et renseignements : une collaboration plus que circonstancielle
  2. Partie 2 : Les apports du Web 2.0 aux services de renseignements
  3. Partie 3 : Les renseignements en sources ouvertes (OSINT) qu’est-ce que c’est ?
  4. Partie 4 : Application des OSINT aux renseignements dans le contexte africain
  5. Partie 5 : Pourquoi pratiquer le renseignement via le Web 2.0 ?
  6. Partie 6 : Exemple d’utilisation de Twitter pour surveiller les terroristes comme Boko Haram ?
  7. Partie 7 : Vers des services de renseignements 2.0


Bien que, à l’origine contrôlées par les forces de sécurité, les agences de renseignement africaines ont, encore, du mal à prendre en compte Internet et surtout le Web comme source d’information.
L’exploitation organisée des sources numériques est freinée par le manque d’intérêt des services de renseignement pour des informations librement accessibles et la valeur supérieure attribuée, a tort, à des éléments recueillis par des sources confidentielles basée sur un coût supérieur d’acquisition qui s’agisse d’un coût humain, financier, ou en termes de risques.
Le Web, en tant qu’une des parties les plus visibles et accessibles d’internet, représente une telle source de données, d’informations et de renseignements que les services occidentaux s’en sont servis dès sa mise au point. C’est le cœur de sujet du renseignement de sources ouvertes (OSINT) qui depuis une dizaine d’années, tout en recommandant fortement une prise en compte intégrale de l’ensemble des sources libres d’accès, se concentre sur l’exploitation d’internet et du Web.


Partie 1 : Cybersécurité et renseignements : une collaboration plus que circonstancielle
Certaines organisations disposent désormais de véritables capacités offensives en matière de Cybersécurité en mesure de déstabiliser l’économie et la politique. Ma publication du mois de septembre 2016 traite du sujet. Aujourd’hui, les terroristes de Boko Haram, ACMI, Mujaho se servent efficacement des réseaux sociaux pour leurs campagnes de communication. De YouTube à Twitter en passant par Facebook, les contenus propagandistes abondent. Présenté comme une véritable puissance par les analystes et les journalistes, cela pourrait bien être également un point faible. Un point faible que les services de renseignements africains pourraient exploiter. En effet il est techniquement possible via la combinaison d’outils et de méthodes d’analyses sémantiques et syntaxiques, du learning machine et du Big data.
Les groupes terroristes comme Boko Haram ont acquis une telle maitrise du Web qu’ils sont en mesure d’influencer l’opinions publique, de remettre en cause les informations officielles.
Le problème est évident : Comment faire en sorte que les services de renseignements africains ne se laissent pas dépasser non seulement par la technologie mais par les groupes contre lesquelles ils sont censés protéger les états, les entreprises et les citoyens ?


Partie 2 : Les apports du Web 2.0 aux services de renseignements
Le Web 2.0 marque inéluctablement les nouveaux modes de communication des états et des entreprises. Désormais, chaque état et chaque entreprise est soumis au jugement d’un nombre incroyable d’acteurs protéiformes (pays amis ou non, organisations internationales, terroristes, salariés, fournisseurs, clients, actionnaires, ONG…). La communication de l’état et de l’entreprise ne peut donc plus se restreindre à un model verticale, car le Web 2.0 est participatif et interactif. Les experts du renseignement et de l’intelligence économique dans un bon nombre de pays ont saisi l’intérêt de ces changements pour alimenter le renseignement et le renseignement économique à partir de la recherche et du traitement de sources ouvertes 2.0. Il est désormais possible de déployer sa surveillance et sa veille stratégique à partir du Web 2.0 et d’avoir accès à de nombreuses informations qualitatives à forte valeur ajoutée comme des avis, des opinions et des commentaires. Au-delà de cela la surveillance des groupes terroristes est une des applications les plus prisées depuis quelques années.


Partie 3 : Les renseignements en sources ouvertes (OSINT) qu’est-ce que c’est ?
Le renseignement n’est pas une finalité, le renseignement sert à avoir une capacité autonome d’appréciation en améliorant la structure des prises de décisions par la réduction de l’incertitude. Le Web 2.0 quant à eux renforcent toutes les fonctions essentielles à la conduite des opérations : le commandement, le contrôle, la communication, l’informatique, le renseignement, la surveillance et la reconnaissance. Le renseignement appliqué aux Web 2.0 va au-delà du simple recueil et au-delà de la surveillance.
Par exemple, sur les forums ou les réseaux sociaux l’OSINT se teinte de pratique de gestion de sources humaines. Le Web devient même un espace d’opérations dans lequel sont menées des actions sur l’information et des actions de communication réunies sous le concept de guerre de l’information ou plus diplomatiquement dit, actions sur les perceptions et l’environnement. Cela s’illustre par les campagnes structurées des groupes terroristes par exemples.
Il Est important de ne pas confondre OSINT (open source intelligence) avec l'information en source ouverte (OSIF, Open Source Information) sur laquelle OSINT repose.
OSIF est toute information disponible publiquement quel qu’en soit l’origine ;
OSINT peut donc être définie comme une méthode de renseignement composée d'OSIF, qui est conçue pour répondre à des tâches spécifiques ou en support à la prise de décision stratégique.
Bien que l'on croie que le renseignement ne traite que d'informations secrètes ou dissimulées (communément dites noires), ce n'est pas toujours le cas puisque beaucoup d'informations essentielles au processus d'intelligence peuvent être trouvées dans l'espace public, ou peuvent être simplement obtenues par des moyens non conventionnels.
La quantité exponentielle de l'information exploitable augmente le nombre de sources accessible aux analystes. Même une action secrète peut désormais avoir des conséquences qui ne le sont pas ; il est donc parfois possible aux analystes de reconstituer une activité cachée à partir de diverses sources ouvertes.
Dans le renseignement en sources ouvertes, le mécanisme d’obtention des informations est habituellement différent de celui des autres branches du renseignement, où l'obtention de l'information brute à analyser peut-être une difficulté majeure, particulièrement si on doit l'obtenir de cibles non coopératives.
Pour le renseignement en sources ouvertes, le principal obstacle est de repérer les sources pertinentes et fiables dans la quantité en permanence grandissante d'informations accessible publiquement. L'obtention de l'information elle-même est comparativement plus facile puisqu'elle est, par définition, accessible publiquement.
Beaucoup de nations maintiennent déjà des unités opérationnelles de renseignement en sources ouvertes depuis plusieurs années, par exemple l' Office of National Assessments (ONA) australien, le BBC Monitoring Service(BBCM) du Royaume-Uni, et le Swiss Army General Stab de la Suisse. La NSA aux Etats-Unis l’a érigé au même rang que les renseignements dits classiques.
Les tâches de recueil et d'analyse sont allouées de différentes manières par plusieurs agences : par exemple, l'ONA est responsable de l'analyse et est une agence de renseignement du gouvernement australien, alors que le BBCM est une organisation civile financée par le gouvernement qui ne s'occupe que du recueil et de l'agrégation de sources nouvelles, et qui emploie des journalistes et des civils.


Partie 4 : Application des OSINT aux renseignements dans le contexte africain
Mais si l’on comprend l’intérêt d’une telle démarche dans le cadre de l’intelligence économique, par exemple pour une entreprise qui voudrait mieux connaître un partenaire ou un concurrent, quel peut en être l’intérêt pour les services de renseignements, en particulier dans un cadre sécuritaire africain ?
La réponse repose sur l’imbrication de plus en plus importante des enjeux civils et militaires sur les théâtres d’opération africaines. Mais aussi dans le fait que de plus en plus d’acteurs produisent des traces numériques. Le partenariat de Facebook et WhatsApp permettra au premier, en utilisant des outils et méthodes dignes des services de renseignements, de profiler les utilisateurs afin de cibler les services commerciaux augmentant ainsi les revenus publicitaires.
En matière de renseignement, il ne suffit plus de recenser les divisions. Il faut reconnaitre et cibler chacun des acteurs que nos forces vont rencontrer. Les connaitre, être en mesure d’anticiper leurs mouvements avec une marge d’erreur faible. Or ces acteurs sont aussi des groupements, des entreprises, des ONG ou des personnes privées, tous susceptibles d’avoir laissé des traces numériques de leurs actions, de leur activité, sur le Web.
Obtenir ces données ne permettra peut-être pas de répondre à l’ensemble des questions soulevées au sujet de tel ou tel acteur. Par contre, les éléments obtenus permettront, au minimum, de mieux cibler les autres actions non ouvertes jugées nécessaires. Ainsi, les campagnes de privatisation des entreprises étatiques font systématiquement entrer des nouveaux acteurs industriels et commerciaux, tous justifiables d’un ciblage initial au moyen de ces sources ouvertes.
De façon générale, épuiser les possibilités des sources ouvertes avant de lancer sur une cible des moyens de collecte « non ouverts » devrait être un réflexe systématique pour nos états africains. Cela permettra dans le pire des cas de mieux cibler les actions futures ; dans le meilleur des cas cela permettra de réduire le niveau d’incertitude. Equation à résoudre en permanence pour les services de renseignements.
L’acquisition de données et d’informations ouvertes ne pose plus de difficultés techniques aujourd’hui sur le continent africain : les outils et méthodes développés ces dix dernières années permettent de maîtriser la phase « recherche » du cycle du renseignement. Moteurs de recherche surpuissant, agrégateurs de bases de données, indexeurs locaux, métamoteurs, RSS, alertes, graphes etc., tous ces outils servant à la recherche automatisée et ciblée sont redoutablement efficaces.
L’outil n’est là que pour aider à traiter une masse très significative d’informations, à en réduire l’aspect chronophage, lui permettant en particulier de détecter dans cette masse des régularités, des modèles ou des organisations qui n’auraient pas été visibles à l’œil nu.


Partie 5 : Pourquoi pratiquer le renseignement via le Web 2.0 ?
Je présente dans cette partie quelques applications concrètes des OSINT pour les services de renseignements.
1. Faire des recherches en simultanés sur plusieurs moteurs de recherches
2. Identifier les utilisateurs avec des numéros privés
3. Accéder à des informations classifiées via les caches
4. Superviser en direct les communications sur les réseaux sociaux
5. Accéder à des informations publiques ou privées sur les réseaux sociaux
6. Géolocaliser des utilisateurs via les réseaux sociaux
7. Géolocaliser des zones d’évènements ou d’incidents en temps réel via les réseaux sociaux (Twitter est redoutable pour cela)
8. Obtenir des informations détaillées sur les images et les photos (Lieu, date etc…)
9. Rechercher des informations sur des sites n’existant plus ou ayant été modifiés
10. Localiser des documents spécifiques à un individu, a un groupe d’individus ou à un sujet spécifique
11. Accéder à des images satellite et des vues des rues de n’importe quel endroit du monde
12. Identifier des photos truquées
13. Identifier facilement tous les réseaux sociaux utilisés par un individu
14. Utiliser les images et les photos pour localier un individu
Cette liste, bien que non exhaustive illustre pourquoi les états africains, montre des applications concrètes et utiles. Il serait entrainement couteux en termes de ressources humaines, de temps et de moyens financiers d’obtenir les mêmes renseignements via les dispositifs classiques. De plus les outils et méthodes utilisés sont pour la plupart accessibles en ligne gratuitement ou en open source. Mettre en place un dispositif OSINT national s’avère donc rentable et pertinent.

Partie 6 : Exemple d’utilisation de Twitter pour surveiller les terroristes comme Boko Haram ?
Aujourd’hui, les terroristes de Boko Haram se servent efficacement des réseaux sociaux pour leurs communication. De Google+ à Twitter en passant par Facebook, les messages de propagande pullulent. Présenté comme une force par les analystes, cela est aussi une véritable faiblesse. Nous allons brièvement exposer un procédé efficace qui permettra de les surveiller.
Sur Twitter, nous suivons les gens non pas par amitié mais par intérêt. Et nous pouvons définir chaque relation entre les gens comme étant une relation entre un point A et un point B :
De plus, il se peut que Koudjo suivent Aboubakar mais que ce dernier ne suive pas Koudjo. En clair, il peut y avoir une relation « in » (on reçoit un follower) et une relation « out » (on suit quelqu’un). Pour quelques centaines d’utilisateurs, il n’y a pas un grand intérêt, mais si nous fixons la masse critique a plusieurs milliers, cela devient intéressant. Nous allons pouvoir identifier les centres (ceux qui sont suivis par beaucoup de personnes) et les communautés/clusters (ceux qui ont beaucoup de connexions entre eux mais peu avec l’extérieur).
Pourquoi est-ce intéressant ? Tout simplement parce qu’une fois que l’on pourra disposer d’une liste de potentiels sympathisants sur Twitter, on pourra isoler les différentes constituantes et exclure les biais. Pour constituer une liste, nous allons utiliser la méthode de la triangulation.
L’objectif ici est d’établir une cartographie de départ des potentiels sympathisants de Boko Haram. Pour ce faire, nous allons partir de compte dont il est certain qu’ils appartiennent à des membres de Boko Haram. Comment ? Deux solutions simples :
Soit en partant de comptes identifiés par les médias comme étant des comptes à but de propagande. Tout simplement en tapant « Boko Haram sur les réseaux sociaux »
Soit en en utilisant l’outil Followerwonk pour scanner les biographies des utilisateurs de Twitter.
Une fois un certain nombre d’utilisateurs identifiés, nous allons pratiquer une technique proche de la triangulation pour isoler les plus actifs.
Nous sommes certains que la majeure partie des comptes appartient à Boko Haram et met en place des techniques de propagande. Il y a donc de fortes chances que les personnes qui suivent ces comptes aient un intérêt pour Boko Haram. Nous allons ensuite extraire l’intégralité des followers de chacun de ces comptes. Nous croisons ensuite les fichiers de followers entre eux pour voir les concordances de followers. Si quelqu’un suit un pourcentage de l’ordre de 90% ou la totalité des comptes, il y a de fortes chances que son intérêt pour Boko Haram est avéré. Une surveillance des publications de cet ensemble peut alors commencer.
Une autre méthode plus rapide que celle proche de la triangulation est celle des hashtags. Les habitués de réseaux sociaux ont besoin d’un lieu de ralliement virtuel. C’est le rôle des hashtags très spécifiques. Ainsi, l’hashtag #Bokoharam est particulièrement utilisé. En effet, là où des cartographies par triangulation peuvent mettre plusieurs jours à être conçues, la cartographie de hashtags n’est qu’une question de minutes ou d’heures. Nous pouvons utiliser cette approche pour des groupes de personnes ayant des centres d’intérêts comme la drogue, les armes a feux etc.


Partie 7 : Vers des services de renseignements 2.0

Le rôle du renseignement en sources ouvertes a augmenté ces dernières années. Pour les services de renseignement, l’OSINT restera une manière de recueillir des renseignements parmi d’autres. Pour les services gouvernementaux africains, l’OSINT peut devenir un moyen efficace, peu couteux et fiable d’obtenir des informations. L’élaboration de stratégies OSINT continentales et nationales ainsi que la mise sur pied d’un centre OSINT devront être examinées de manière à pouvoir exploiter plus méthodiquement les informations provenant de sources ouvertes.
L’enjeux est de taille. Il s’agit de ne pas se faire distancer par les groupes terroristes et criminelles de toutes natures mais aussi de maitriser la technologie pour en tirer parti plus efficacement de manière à impacter l’ensemble de l’écosystème des renseignements.
La formulation d’une stratégie OSINT des pays africains coordonnant ces activités au niveau po-litique, définissant les rôles et responsa¬bilités et donnant éventuellement lieu à la création d’une infrastructure OSINT centralisée pour tous les acteurs intéres¬sés se fait attendre. Il faudrait profiter des discussions actuelles concernant une révision des services de renseignement civils et la création d’un département de la sécurité pour examiner de manière ap¬profondie et éclaircir aussi la question du rôle futur et de l’ancrage institutionnel d’OSINT en Afrique.

Aziz Da Silva

Consultant Senior en Stratégies et Innovations Technologiques (CSSIT)
Consultant en Sécurité Economique et Protection du Patrimoine (CSEPP)
http://azizdasilva.cloudaccess.host