Raphaël Grably : Parfois, les informations les plus précieuses et les plus inattendues sont juste sous nos yeux, en fait il faut simplement savoir les chercher. C’est le grand principe de l’OSINT [OpenSource INTelligence] [1], la recherche en sources ouvertes, dont certains journalistes d’ailleurs se sont fait une spécialité. Mais au fait, ça fonctionne comment, l’OSINT ? Est-ce qu’on peut tous devenir un détective Google ? Bienvenue dans Métadonnées, le podcast qui revient aux fondamentaux de la tech.
Bonjour, Jean-Marc Manach.
Jean-Marc Manach : Bonjour.
Raphaël Grably : Tu es journaliste d’investigation sur Internet.
Jean-Marc Manach : Mon terrain d’investigation c’est Internet. Je ne vais pas dans les arrière-salles des cafés rencontrer des sources humaines.
Raphaël Grably : Donc tu restes derrière ton écran, en fait, pour enquêter. Tu fais de l’investigation derrière un écran et tu cherches sur le Web.
Jean-Marc Manach : Je cherche sur le Web, mais le plus important, ça n’est pas de chercher. C’est de trouver, de vérifier, de contextualiser ; c’est ce qu’on appelle le cycle du renseignement. On y reviendra.
Raphaël Grably : Je voulais revenir avec toi sur l’OSINT. L’OSINT, c’est Open Source INTelligence. C’est un terme qui n’est pas totalement nouveau, c’est la recherche en sources ouvertes. Est-ce que tu pourrais définir ce terme qu’on voit de plus en plus ?
Jean-Marc Manach : Les premières mentions de ce qui allait devenir l’OSINT remonteraient, apparemment, au début du 20e siècle, dans un rapport de la gendarmerie qui expliquait comment les gendarmes devaient aussi enquêter en source ouverte.
Raphaël Grably : Ils n’avaient pas Internet à l’époque.
Jean-Marc Manach : Ils n’avaient pas Internet. Après, l’OSINT s’est vraiment constituée pendant la Deuxième Guerre mondiale, quand les services de renseignement britanniques et surtout américains se sont aperçus que, pour planifier des bombardements en Allemagne, c’était super important d’écouter la radio allemande. Pourquoi ? Parce qu’il y avait des bulletins météo et les météorologues allemands étaient meilleurs que les météorologues anglo-saxons pour prédire la météo au-dessus de Berlin, Hambourg et en Allemagne, donc ils se sont aperçus de l’intérêt des sources ouvertes.
Un autre exemple quand, via des sources humaines, donc HUMINT, Human intelligence, les services de renseignement anglo-saxons ont découvert que les Allemands travaillaient aussi la bombe nucléaire – à l’époque, c’était pour faire des fusées –, ils ont cherché sur des annuaires qui étaient les producteurs en Europe d’eau lourde, parce qu’il fallait bien se procurer de l’eau lourde pour travailler la filière nucléaire. C’est là qu’ils ont identifié – je ne sais plus si c’était en Norvège ou en Suède – le fabricant qui fournissait les Nazis et ils ont envoyé une opération commando pour, pas seulement détruire, récupérer l’eau lourde pour la confier aux Alliés et empêcher les Nazis de continuer à développer. C’est là où l’OSINT a vraiment commencé et là où ça a littéralement à nouveau explosé c’est avec l’apparition du Web. Avec Internet et le Web, on n’a jamais eu accès à autant d’informations, et autant veut dire que ça décuple quasiment tous les ans.
J’ai commencé à faire de l’OSINT sans même connaître le mot, dès que j’ai commencé à faire de l’investigation sur le Web, à la fin des années 90. Au milieu des années 2000 j’ai découvert la notion d’OSINT et Bellingcat [2], on aura peut-être l’occasion d’y revenir, le collectif d’origine britannique qui a popularisé l’OSINT dans le milieu journalistique. Depuis la guerre en Ukraine, l’OSINT s’est imposée dans le narratif parce qu’il y a tellement d’informations, il y a tellement de vidéos, c’est la guerre la plus documentée. Il y avait déjà eu le phénomène en Syrie, où on a déjà eu beaucoup d’OSINT, mais c’était moins médiatique que la guerre en Ukraine. Là on a de plus en plus de collectifs, et pas seulement de journalistes, parce que l’OSINT est énormément pratiqué également par les professionnels de la sécurité informatique.
Raphaël Grably : On peut rappeler que l’OSINT, nous en parlons en tant que journalistes – tu parlais de la Deuxième Guerre mondiale –, c’est avant tout un truc d’agences de renseignement. Souvent, quand on parle d’agences de renseignement, on se dit « c’est de l’espionnage, on doit trouver des trucs secrets pour être performant ». Or, en fait, on s’aperçoit qu’il y a plein d’éléments publics qui vont servir, un bulletin météo par exemple.
Jean-Marc Manach : Dans les différentes branches du renseignement, tu as donc l’HUMINT, le renseignement humain, le SIGINT, le Signals Intelligence, ou renseignement d’origine électromagnétique en français, là, c’est l’écoute d’Internet ou des téléphones ou des satellites, l’ELINT Electronic Intelligence c’est la surveillance des radars, le SOCMINT, Social Media Intelligence, la surveillance des réseaux sociaux, et l’OSINT regroupe une bonne partie de ces différents « INT ». Une affiche au musée de l’espionnage de Washington explique qu’on estime que 80 % du renseignement collecté par les services de renseignement occidentaux vient de l’OSINT. On n’a plus besoin de faire des fric-frac ou de mettre des gens sur écoute.
Raphaël Grably : Fric-frac ?
Jean-Marc Manach : Rentrer chez quelqu’un pour dérober des informations dans son coffre-fort, poser un micro espion ou implanter un logiciel espion dans son ordinateur.
Raphaël Grably : Ce n’est pas James Bond !
Jean-Marc Manach : Ce n’est pas James Bond ! De toute façon James Bond est une très mauvaise image de ce que sont les services de renseignement. Il vaut mieux regarder Le Bureau des Légendes qui est un peu plus réaliste, minus le côté cyber où c’est assez caricatural comme le côté hacker du Le Bureau des Légendes où il tapait comme ça [jean-Marc mime le fait de taper très vite sur un clavier, NdT].
Raphaël Grably : C’est tous les films !
Jean-Marc Manach : Ce n’est pas parce que tu tapes très vite que tu es un hacker !
On a une association en France qui s’appelle Open Facto [3] ; ce sont beaucoup de professionnels, et pas forcément journalistes, qui viennent se former, parce qu’OpenFacto fait des formations. Si tu regardes OSINT-FR [4], là c’est un serveur Discord, il y a quelques mois ils étaient 8000, je ne sais pas combien ils sont aujourd’hui. La majeure partie des gens qui sont sur OSINT-FR sont des étudiants ou des professionnels qui travaillent en cybersécurité ou en intelligence économique. Pourquoi ? Parce que le b.a.-ba d’un hacker, d’un professionnel de la cybersécurité, c’est de connaître les failles d’un système. Pour connaître les failles d’un système, tu fais d’abord une enquête OSINT pour savoir quels sont les logiciels utilisés, s’ils sont à jour, s’ils ne sont pas à jour, qui est l’admin sys.
Si je prends l’exemple d’une attaque qui avait été faite par le GCHQ [Government Communications Headquarters] [5], l’équivalent britannique de la NSA, ils s’étaient attaqués à l’un des principaux fournisseurs d’accès belge parce qu’il fournissait les différentes instances européennes. Ils avaient fait la cartographie des admins système de cet opérateur FAI, ce fournisseur d’accès à Internet, et ils avaient envoyé des logiciels espions aux admins système parce que si l’admin système a un logiciel espion, tu es root comme on dit, tu es admin.
Raphaël Grably : En gros, l’OSINT permet de savoir où frapper. Après tu regardes comment frapper, mais ça permet de savoir où frapper en matière de cybersécurité, évidemment.
On repasse, maintenant, sur un plan un peu plus large. Tu es journaliste, tu dis « je vais faire de l’OSINT, j’ai envie de chercher quelque chose, de trouver un scoop ». Tu es devant Google. Pour clarifier les choses, concrètement, qu’est-ce que tu fais ? Qu’est-ce que tu cherches et comment tu le cherches ?
Jean-Marc Manach : Déjà, ce n’est pas que Google.
Raphaël Grably : Non, mais je caricature un peu, volontairement.
Jean-Marc Manach : J’ai coutume de dire que je suis un peu comme un chercheur d’or. Le chercheur d’or passe sa vie, ses journées, à mettre de la boue dans un tamis avec l’espoir de trouver la pépite, eh bien moi c’est un peu ça. Je vais surveiller les marchés publics parce que souvent, dans les marchés publics, il y a des pépites très sous-exploitées. Je vais chercher des signaux faibles. J’ai mis certaines alertes, que ce soit sur Twitter ou sur Google, pour que, dès que tel mot est prononcé, parce ce mot-là m’intéresse, mais il arrive très rarement et, quand il arrive, je vais m’en saisir. Je surveille bien évidemment un certain nombre de comptes sur Twitter pour des signaux faibles. Je cherche en permanence et, comme je cherche en permanence, des fois je trouve et des fois je ne trouve pas !
Raphaël Grably : C’est presque un état d’esprit ! Il faut de la rigueur et il faut beaucoup de choses, mais c’est avant tout un état d’esprit.
Jean-Marc Manach : Je fais également pas mal de formation à l’OSINT et j’explique que c’est d’abord et avant tout un état d’esprit et une méthodologie bien plus que des compétences techniques. Bien sûr, il faut avoir un minimum d’appétence technique, en tout cas avec Internet. Beaucoup de professionnels de l’OSINT ont développé des scripts en Python ou en R, qui sont des langages de programmation, pour automatiser des systèmes de veille. Moi je n’ai pas fait de cursus informatique, d’école, donc je n’ai pas du tout de compétences en programmation. Par contre, ce qui nous relie tous, c’est effectivement cet état d’esprit, cette méthodologie qui renvoie à ce dont je parlais tout à l’heure, à ce qu’on appelle le cycle du renseignement qui est un truc fondamental pour comprendre ce qu’est que l’OSINT et comment fonctionnent les services de renseignement.
L’OSINT ce n’est pas juste « je vais chercher des trucs sur Internet, et une fois que j’ai trouvé sur Internet, c’est bon ! », non » !
Le cycle du renseignement définit comment travaillent les services de renseignement. Il y a l’expression de besoin : quelle est la question qu’on se pose. Ensuite, on va chercher des éléments de réponse. Une fois qu’on a trouvé des éléments de réponse, on va analyser, recouper, vérifier : est-ce que les éléments de réponse qu’on a trouvés, c’est cohérent, c’est opportun, ça répond à la question, ou pas ? Ensuite, on va synthétiser les éléments de réponse en expliquant pourquoi on pense que ceci et cela répond à la question qui a été posée, et on diffuse.
Contre-exemple de ce que l’OSINT n’est pas. Au début du coronavirus, une vidéo est devenue virale, où il y a quelqu’un qui n’a pas de compétences particulières, ni en OSINT, ni en journalisme, ni en santé, ni médicales, mais qui avait trouvé un brevet de l’Institut Pasteur sur le coronavirus. C’était donc la preuve du complot, parce qu’il avait trouvé sur Internet le brevet. Oui ! Sauf que c’était un brevet que l’institut avait déposé pour le coronavirus de 2003, donc ça n’avait rien à voir. En fait, quand ils développent des molécules, tous les laboratoires pharmaceutiques vont déposer des brevets pour la propriété intellectuelle, donc ça n’est pas parce qu’on trouve quelque chose sur Internet que c’est vrai. L’OSINT ça n’est pas ça. L’OSINT c’est le cycle du renseignement qui fait qu’on va vérifier l’information.
Je vais donner un autre exemple, il y a quatre ans maintenant. Le réflexe d’un pro de l’OSINT, pour le coup, c’était, depuis des années, dès qu’il trouvait une nouvelle carte il allait regarder à quoi ressemblait la Syrie. Pourquoi ? Parce qu’il s’était formé à l’OSINT au moment de la guerre civile en Syrie et on a fait tellement de choses en Syrie, et en ce moment en Ukraine, notamment grâce aux cartographies, que c’était son réflexe. Là c’était la carte de Strava, un réseau social de sportifs, où des gens qui font du jogging, de la natation ou du vélo vont géolocaliser leurs courses pour comparer leurs performances avec leurs pairs ou l’évolution de leurs propres performances. Quand Nathan Ruser est allé en Syrie sur Strava, il a découvert, à sa grande stupeur, que des gens se géolocalisaient. Il s’est demandé « mais qui sont ces gens qui se géolocalisent en Syrie ? »
Raphaël Grably : Qui fait du footing en Syrie ?
Jean-Marc Manach : Entre l’État islamique, l’armée de Bachar el-Assad et la coalition de l’OTAN ! En regardant, il en est arrivé à la déduction que c’était probablement des forces spéciales des armées américaines et de l’OTAN, qui étaient là-bas en train de combattre l’État islamique, parce que ça ne pouvait pas être des soldats de l’État islamique, ça n’était probablement pas non plus des soldats de Bachar el-Assad. Par capillarité, ensuite, il a commencé à regarder dans des bases militaires un peu partout dans le monde – en tous cas occidentales – et il a découvert qu’il y avait plein de soldats. Les soldats font du footing, c’est logique, donc il y en a qui utilisent Strava. Ça sort le samedi, il y a plein d’articles dans la presse tech anglo-saxonne, il y a un papier dans Le Monde le dimanche soir où un porte-parole du ministère des Armées explique « nous sommes au courant, bien évidemment, des problèmes posés par la géolocalisation ».
Raphaël Grably : Le ministère des Armées français ?
Jean-Marc Manach : Oui. « Ça fait des années qu’on prévient nos soldats qu’il ne faut pas se géolocaliser, a fortiori quand on est en OPEX, en opérations extérieures, et nous avons renvoyé un message à tout le monde, à tous nos soldats à ce sujet. » Donc, moi, réflexe : comme l’essentiel des papiers était sur les forces étasuniennes et anglo-saxonnes, je regarde le lendemain matin si des soldats français en OPEX se géolocalisaient. En fait, c’était tellement simple de trouver des centaines de soldats français qui se géolocalisaient sur Strava, à Gao, au Mali ou dans d’autres unités françaises, que je me suis dit « je suis journaliste indépendant, pigiste, d’autres journalistes vont trouver pareil que moi, c’est tellement simple de trouver, il faut que je trouve autre chose ». Je me suis posé la question : qui sont les personnes les plus improbables à priori à se géolocaliser ? » C’était des gens de la DGSE [Direction générale de la sécurité extérieure], le service de renseignement extérieur français, dont il est interdit de révéler l’identité, eux-mêmes n’ont pas le droit de révéler qu’ils travaillent à la DGSE, c’est un service secret dont le QG est boulevard Mortier.
Raphaël Grably : Le siège de la DGSE.
Jean-Marc Manach : J’ai donc commencé à regarder s’il y avait des gens qui se géolocalisaient du côté du boulevard Mortier. Ça m’a pris un peu de temps, parce que je ne comprenais pas du tout ce travail, il a fallu que je me forme, c’est un logiciel un peu compliqué. Au bout de cinq jours, j’ai réussi à démontrer qu’il y avait au moins une personne qui s’était géolocalisée plusieurs fois à l’intérieur du boulevard Mortier, donc plusieurs fois c’était vraiment un faisceau d’indices, mais également au Fort de Noisy-le-Sec, qui est une annexe du service Action à Romainville, ainsi qu’en mission dans un pays du Moyen-Orient.
Raphaël Grably : Je décris juste deux secondes Strava pour que les gens qui nous écoutent puissent un peu s’illustrer. En fait, c’est une carte et on voit, en rouge, des parcours de footing avec des temps.
Jean-Marc Manach : En rouge, en orange, en jaune, plus c’est en jaune, plus il y a de personnes. En fait, ce sont tous les parcours de tous les gens qui se sont géolocalisés sur Strava.
Raphaël Grably : Quand tu dis : tiens, je vois quelqu’un qui fait ce parcours, le même utilisateur qui peut être sous pseudonyme, mais qui fait le même parcours tous les jours, effectivement soit il peut habiter là, soit il peut travailler là, en gros. Tu es parti de ce principe.
Jean-Marc Manach : Je savais où il habitait, mais il était sur liste rouge, donc je n’avais pas son téléphone, et il était sous pseudonyme. Pour arriver à identifier son identité, à un moment je me suis aperçu – parce que le diable se niche dans les détails –, que certaines de ses courses faisaient 21 ou 42 kilomètres.
Raphaël Grably : Il s’entraînait à un marathon.
Jean-Marc Manach : Marathon et semi-marathon. J’ai comparé les performances de cet utilisateur de Strava avec les résultats des marathons qui étaient disponibles sur les sites web des résultats des marathons et j’ai trouvé un nom qui matchait. Quand je suis allé sur le profil Facebook de ce nom-là, j’ai trouvé quelqu’un qui se photographiait en tenue de sportif, en train de faire un footing, et la photo était géolocalisée le 15 juillet à Pléneuf-Val-André. Sur Strava, le 15 juillet, à Pléneuf-Val-André, c’était lui. Donc j’avais la confirmation. Donc cycle du renseignement. Je suis parti d’un hypothèse de travail.
Raphaël Grably : Donc tu as trouvé, mais tu ne sais pas encore qui est cette personne, son métier.
Jean-Marc Manach : En tout cas, je sais qu’il a été envoyé pour une mission au Proche-Orient à un moment précis.
Raphaël Grably : Tu l’avais déjà localisé au Proche-Orient.
Jean-Marc Manach : Oui, sur Strava il s’était géolocalisé au Proche-Orient et c’était au lendemain de la démission du président du pays en question où il était allé. Donc je le savais en plus, probablement, la mission qu’il avait effectuée, et tout ça en mode OSINT.
Raphaël Grably : Ça veut dire que tout est public ! « Tout le monde », entre guillemets, aurait pu faire ce que tu as fait, avec une certaine réflexion et une rigueur, évidemment.
Jean-Marc Manach : C’est là où on revient à l’état d’esprit et à la méthodologie.
Raphaël Grably : Mais, en gros, tu l’as fait devant ton ordinateur et chez toi.
Jean-Marc Manach : Oui. Et quand j’ai contacté un ancien de la DGSE pour savoir ce qu’il risquait si jamais je faisais savoir que j’en avais trouvé un, il m’a dit : « Il va prendre pour les autres », sous-entendu ta mission, si tu ne veux pas qu’il paye pour les autres, c’est d’en trouver d’autres. On vient d’apprendre qu’ils sont 4000 employés de la DGSE à Mortier, c’est dans un appel d’offres, et 2000 au Fort de Noisy, donc probable qu’il y ait des utilisateurs de Strava sur les 4000 personnes. Je m’y suis à nouveau attelé et, en l’espace de cinq/six jours, j’en ai trouvé une vingtaine d’autres.
Raphaël Grably : D’accord. Donc tu as trouvé une vingtaine d’agents de la DGSE, probables en tout cas.
Jean-Marc Manach : En tout cas qui s’étaient géolocalisés. Agents, je ne sais pas, employés, parce qu’à la DGSE il y a aussi des personnes qui font le ménage, il y a des cantinières, il y a des psychologues, il y a des juristes.
Raphaël Grably : Oui, mais des gens qui ont pour point commun d’aller faire leur footing autour du siège de la DGSE.
Jean-Marc Manach : À l’intérieur, pas autour. Qui avaient activé leur GPS à l’intérieur et désactivé à l’intérieur. Je n’ai aucun moyen de savoir si quelqu’un qui court autour de la DGSE est de la DGSE ou pas.
Raphaël Grably : Sauf si de temps en temps il va en Syrie, là ça commence quand même à chauffer.
Jean-Marc Manach : C’est arrivé une fois, et ça n’était pas en Syrie, bref !
J’ai refait l’expérience il n’y a pas très longtemps, quatre ans après, j’ai voulu vérifier et pour te répondre sur le « n’importe qui peut faire ça », je forme des étudiants en journalisme, donc j’avais une dizaine d’étudiants pendant trois jours. Je me dis, tiens, je vais leur proposer et, pendant trois jours, on va essayer de regarder ; la dizaine d’étudiants, en trois jours, a réussi à en identifier un ou deux. J’étais frustré : il n’y en a qu’un ou deux ! Je m’y suis attelé à nouveau, j’ai repassé l’intégralité des usual suspects, ceux que je pensais potentiellement être de la DGSE et – signe que c’est à la fois l’état d’esprit et la méthodologie –, j’en ai trouvé près de dix. Donc oui, n’importe qui peut, mais c’est comme un chasseur, il faut avoir de l’expérience !
Raphaël Grably : Il faut de l’habitude. En fait, j’ai l’impression que quand tu fais de la recherche en science ouverte, tu profites tout le temps des négligences. Tu me parlais de la Seconde Guerre mondiale, finalement c’est parce que les Allemands ne se sont pas dit qu’un bulletin météo pouvait servir à les attaquer.
Jean-Marc Manach : Non, c’est que la radio allemande a besoin de diffuser des bulletins météo pour les Allemands.
Raphaël Grably : Ou alors parce que tu n’as pas le choix. Là, on parlait d’un temps où les canaux de distribution de l’info étaient quand même relativement maîtrisés, mais là, avec la nuée de données, en fait, on a l’impression que c’est impossible de maîtriser ce qui sort sur nous. On peut se dire que ça n’est quand même pas très malin de la part de la DGSE, mais, à priori, ce sont quand même des gens qui ne sont pas totalement stupides. Comment est-ce que tu expliques ça ?
Jean-Marc Manach : En fait, je suis persuadé qu’il y en a beaucoup plus de la DGSE qui se géolocalisent sur Strava, sauf qu’ils activent et éteignent leur GPS ailleurs, en dehors de la DGSE. Les gens que j’ai identifiés ont tous pour point commun d’avoir éteint ou allumé le GPS à l’intérieur de la caserne Mortier ou de la caserne des Tourelles qui est en face. Ils ont fait des erreurs parce que l’erreur est humaine ! On fait tous des erreurs, et voilà !, donc il y a ça.
D’autre part, à un autre niveau, je vais te donner un autre exemple. Il y a quelques années, des journalistes avaient recueilli des témoignages, ce n’était pas des sources ouvertes mais des sources fermées, qui listaient la liste des stations d’écoute de la DGSE, mais on n’avait aucun moyen de vérifier parce que, à l’époque sur Google Street View ça n’était pas flouté, maintenant c’est flouté, tu voyais le terrain militaire avec les antennes satellites derrière. Les antennes satellites c’est soit la DIRISI [Direction interarmées des réseaux d’infrastructure et des systèmes d’information de la Défense], la Direction communication de l’armée, qui permet de communiquer par les satellites avec les forces militaires en OPEX, soit la DGSE pour surveiller les satellites, mais, dans les deux cas, c’est marqué « Terrain militaire, défense d’entrer et interdiction de photographier ». Comme je regarde les appels d’offres, je suis tombé sur un appel d’offres de la DGSE qui recrutait des jardiniers. Pourquoi ? Parce qu’un champ d’antennes ce sont des antennes pour écouter les satellites, mais c’est un champ d’herbe et il faut tondre la pelouse, donc, ils recrutaient des jardiniers pour tondre la pelouse. Il y avait là les coordonnées de tous les centres radioélectriques de l’administration ; centre radioélectrique, ça veut dire station d’écoute et là, c’était dans un appel d’offres.
Raphaël Grably : En fait, il faut avoir une réflexion très concrète, très terre à terre finalement.
Jean-Marc Manach : Ce que j’ai coutume de dire, c’est que un hacker – puisque je me définis aussi comme journaliste hacker – va chercher des failles de sécurité. S’il n’arrive pas à rentrer par la porte parce que la porte est fermée, il va essayer de voir s’il ne peut pas rentrer par la fenêtre ou s’il n’y a pas une deuxième porte, ou par le faux plafond, ou activer la webcam, ou est-ce qu’il peut pas choper la clé... C’est un billard à plein de bandes. Moi, c’est pareil : quand je cherche une information, je vais la chercher de façon assez orthodoxe, en fait.
Je vais donner un autre exemple : j’ai trouvé sur eBay la liste des stations d’écoute, des DAT, des Détachements avancés de transmission, qui sont les stations d’écoute opérées par la Direction du renseignement militaire et la DGSE dans les territoires d’outre-mer ou à l’étranger. Pourquoi ? Parce qu’à la DRM [Direction du Renseignement militaire] ce sont des militaires, donc ils portent des uniformes et des insignes, contrairement à nombre des employés de la DGSE et, en fait, chaque station d’écoute, chaque DAT, a une couleur différente. Les collectionneurs d’insignes précisaient que le DAT de Gien c’est telle couleur, le DAT de Ouagadougou c’est telle couleur... Donc, après, j’allais sur Google Maps pour regarder où il y avait des champs d’antenne à Gien, à Libreville, etc. Donc c’est sur eBay que j’ai trouvé la réponse à ma question, alors que, normalement, ces informations sont classifiées.
Parfois j’arrive également à en trouver sur Légifrance, dans le Journal Officiel, dans des rapports parlementaires.
Raphaël Grably : J’ai l’impression que c’est regarder là où les autres ne regardent pas, souvent.
Jean-Marc Manach : La majeure partie des journalistes se contente de regarder le flux des dépêches AFP. On sait que 80 % du contenu journalistique c’est du copié-collé résumé de ce que d’autres journalistes ont fait, parce qu’ils n’ont pas le temps. Alors que moi je prends le temps. J’écris cinq papiers par jour pour faire des revues de presse mais pas des enquêtes. Je ne fais pas une enquête par jour, ça n’est pas possible. La majeure partie des journalistes n’ont pas le temps d’enquêter, donc ils reprennent ce que d’autres ont fait, alors que moi, je cherche en permanence.
Raphaël Grably : Tu donnes des exemples avec des histoires par exemple sur eBay, la cartographie. Tu parlais de la guerre en Ukraine tout à l’heure, un exemple me vient en tête, c’est le nombre de photos que, par exemple, beaucoup de soldats russes ont diffusées. Des soldats russes qui diffusent une photo d’eux, parfois un peu pour se vanter, on va dire, d’une victoire ou simplement pour se mettre en scène. Ils balancent ça sur les réseaux sociaux et, derrière, ils se font bombarder ! C’est là où l’OSINT version 2022 et 2023 prend une autre ampleur. Tu parles de tes enquêtes : quand tu es un pour enquêter, ce n’est déjà pas mal, mais quand tu es 1000 ! Tu parles des collectifs. Aujourd’hui, sur Twitter, tu balances une photo de deux soldats russes devant tel arbre qui a telle forme, avec telle météo, et devant tel bâtiment qui a telle forme ; si tu donnes ça à 1000 personnes qui savent à peu près chercher, en fait, dans quasiment 100 % des cas, tu peux donner leur géolocalisation.
Jean-Marc Manach : C’est une des raisons pour laquelle l’État islamique avait formellement interdit à ses soldats de se prendre en selfie. Au début, ils se prenaient en selfie pour qu’il y ait d’autres personnes qui viennent faire le Shâm, qui aillent en Syrie et en Irak combattre aux côtés de l’État islamique. Sauf qu’à force de faire des selfies, les Américains ont commencé à géolocaliser où ils se prenaient en selfie et à balancer des bombes avec les drones. L’État islamique a dit : « Maintenant vous arrêtez les selfies, vous passez à Telegram » ; ils ont arrêté de balancer des photos, ils ne conversaient plus qu’en mode texte ou voix.
Raphaël Grably : Mais les Russes le font !
Jean-Marc Manach : Sauf qu’à l’époque, bien évidemment, sur les chaînes Telegram des djihadistes il y avait énormément de services de renseignement français, anglo-saxons, etc., pour arriver à identifier les erreurs que commettraient tel ou tel. On sait, par exemple, pour le terroriste de l’attentat de Vouvray, celui qui a égorgé un prêtre, qu’il y avait trois personnes des services de renseignement français sur sa chaîne Telegram d’une vingtaine de personnes. Sauf qu’ils n’ont pas eu le temps de faire remonter l’information suffisamment en temps et heure pour empêcher l’acte.
Ce que l’État islamique a essayé d’empêcher de faire, eh bien aujourd’hui les Russes font pareils parce qu’ils n’ont pas suivi !
Raphaël Grably : C’est comme l’histoire des soldats russes qui ont allumé leur téléphone le 31 décembre probablement pour envoyer des SMS de bonne année à leur famille.
Jean-Marc Manach : Qui ont été géolocalisés, ce qui a permis aux Ukrainiens d’identifier où ils résidaient.
Raphaël Grably : Là, ça n’était pas forcément de l’OSINT.
Jean-Marc Manach : Ce n’est pas de l’OSINT, c’est du CYBINT [CYber INTelligence], il faut pouvoir espionner les communications, moi je ne sais pas faire.
Raphaël Grably : Sauf qu’ils sont sur le réseau ukrainien, donc ça n’était pas très compliqué pour les Ukrainiens.
Jean-Marc Manach : On a eu l’exemple, il y a quelques mois, où on s’est aperçu qu’il y a des stations d’écoute radar qu’on peut écouter par Internet et, par Internet, on arrivait à écouter les communications par talkie-walkie. Un des problèmes auxquels les Russes ont été confrontés, c’est que leurs téléphones sécurisés fonctionnent en Russie, mais pas en Ukraine. Comme ils ne fonctionnent pas en Ukraine, ils devaient utiliser soit leur numéro téléphone normal, soit utiliser un talkie-walkie, sauf qu’avec le talkie-walkie les ondes transitent en clair. Donc plein de gens, dont moi, avons commencé à écouter les communications des Russes en mars/avril, parce que certaines circulaient en clair.
La grosse différence entre ce qui se passait en Syrie et ce qui se passe avec la guerre en Ukraine, c’est qu’aujourd’hui il y a effectivement des milliers ou des centaines de milliers de personnes qui font de l’OSINT en permanence en dehors des services de renseignement, là je parle de civils.
Raphaël Grably : Même en dehors des journalistes. J’ai envie de dire que ça devient presque un jeu. C’est évidemment terrible de dire ça quand on parle d’un conflit, mais il y a un côté gamification du truc. On voit une photo et on dit « vas-y, devine où c’est ? » et, en fait, on se rend compte qu’on peut y arriver, ça paraît incroyable, mais on peut y arriver.
Jean-Marc Manach : Parce que c’est un jeu. Quand je fais des formations, je fais faire des jeux aux gens que je forme, parce que, effectivement, c’est comme un escape game, c’est comme un jeu de plateau, et tu as l’adrénaline quand tu arrives à trouver ce que tu cherchais. Tout à l’heure je me décrivais un peu comme un chercheur d’or qui passe de la boue dans un tamis ; quand le chercheur d’or trouve la pépite, il est super content, il est content d’avoir trouvé ! Moi c’est pareil !
Raphaël Grably : Tu as envie d’en refaire, du coup il y a un côté addictif !
Jean-Marc Manach : La majeure partie du temps, je ne trouve rien, ou de la merde, je mets à la poubelle, poubelle, poubelle. Et puis, de temps en temps, je trouve des trucs.
Raphaël Grably : Jean-Marc, merci beaucoup d’être venu nous voir dans Métadonnées pour nous parler un peu des sources ouvertes.
Jean-Marc Manach : J’insiste : le plus important n’est pas de trouver sur Internet. Le plus important c’est le cycle du renseignement, c’est la méthodologie, l’état d’esprit et le fait de vérifier. Ce n’est pas parce qu’on trouve quelque chose sur le Web que c’est forcément vrai.
Raphaël Grably : Une recherche Google, ça n’est pas de l’OSINT !
Jean-Marc Manach : C’est le cycle du renseignement qui va permettre de vérifier si oui ou non ce qu’on a trouvé est pertinent ou pas.
Raphaël Grably : Merci beaucoup, Jean-Marc Manach.
Jean-Marc Manach : Je vous en prie.