L’objectif d’une démarche de cyber-renseignement est de fournir une réponse à la question posée, ou à minima des éléments de réponse. Démarche qui semble en apparence simple mais dont le cheminement est complexe et semé d’embûches, notamment lors de la phase de pivot inhérente à toute démarche de cyber renseignement.
L’analyste devant une information nouvellement identifiée
Il convient avant tout, pour chaque nouvelle information retrouvée, de prendre en compte ses « métadonnées » : source, date de publication, contexte dans lequel elle a été retrouvée ainsi que la manière dont elle s’imbrique (ou non) avec les autres informations retrouvées. Une fois cette pré-analyse faite, il devient possible de déterminer si cette information est utile en tant que telle ou si elle doit être exploitée pour aboutir à une information encore plus pertinente.
Il est bien sûr possible et fréquent qu’une information réunisse les deux caractéristiques : utile pour répondre à la question posée et également à exploiter en vue d’obtenir d’autres informations, à plus forte valeur ajoutée.
Le pivot
C’est dans ce second cas qu’on parle de pivot, ce terme étant originaire du monde de la cybersécurité. Dans un article publié par Orange Cyberdéfense, il est possible de lire : « le pivoting […] est le fait d’accéder à un réseau normalement inaccessible, grâce à une machine compromise ».
Appliqué au monde du renseignement cyber, le pivot ne se fait plus d’une machine compromise vers un réseau. Il se fait d’une information acquise vers une autre information, à plus forte valeur ajoutée et normalement inaccessible.
Il s’agit ici d’une étape critique. D’abord parce qu’elle ne dépend pas d’un outil mais de la seule compréhension et interprétation de l’analyste. Ensuite parce qu’un pivot basé sur une information partielle ou erronée va conduire ledit analyste sur une fausse piste.
Il est de manière générale important de valider toute information retrouvée lors d’une démarche de cyber renseignement. Cette étape devient encore plus critique lorsque l’information est appelée à être utilisée comme pivot.
Exemple concret de pivot dans une démarche de cyber renseignement
Prenons à des fins d’illustration le cas d’une disparition inquiétante. Les premières recherches effectuées ont retrouvé un blog WordPress reprenant un alias utilisé par la personne disparue. Une photo est publiée sur ce blog, postée le lendemain de la disparition. WordPress n’écrasant pas les métadonnées, il est donc possible de les extraire pour obtenir les coordonnées GPS (en admettant qu’elles soient présentes). Il est également possible de tenter de localiser cette photo via une démarche de GEOINT.
Le pivot est dans cet exemple le blog WordPress retrouvé via une correspondance d’alias. Si ce pivot est effectué avant de valider l’information initiale, le risque d’erreur est fort. Comment dans ce cas valider l’information qui doit servir de pivot ? Il peut tout simplement s’agir d’exploiter le contenu du blog : correspond-il aux centres d’intérêts connus pour la personne disparue ?
Une autre piste viable est de vérifier la fréquence d’utilisation de cet alias. S’il n’est utilisé que quelques rares fois, le pivot est alors incertain et risqué. D’autres techniques peuvent aussi être exploitées, notamment de vérifier qu’un compte WordPress soit bien lié à une des adresses mail communiquées pour la personne disparue. L’utilisation de plusieurs techniques de vérification permet de garantir la fiabilité d’un pivot.
Pour conclure de manière imagée, une analogie avec la randonnée en haute montagne peut être faite. Il est impératif lors d’une randonnée en haute montagne de bien vérifier ses appuis pour limiter les risques de chute. La situation est exactement la même dans le monde du cyber renseignement. Vérifier son pivot permet d’éviter au mieux une perte de temps, au pire d’aboutir à des conclusions erronées.
Pour en savoir plus sur notre offre de cyber-renseignement, contactez-nous.
