Les messageries, une source critique pour le cyber-renseignement...

Les messageries, une source critique pour le cyber-renseignement

Les messageries, chiffrées ou non, font aujourd’hui partie de la vie quotidienne, quel que soit l’âge de l’utilisateur-trice. Qu’il s’agisse de Skype, Facebook Messenger, Signal, Viber ou encore Telegram, l’usage d’une ou plusieurs de ces messagerie fait partie de la vie quotidienne et donc de celle des acteurs du cyber-renseignement.

Partant de ce constat, le cyber-renseignement ne peut pas et ne doit pas ignorer une telle source d’informations. Il existe tout d’abord des données exploitables qui sont communes à l’ensemble de ces messageries : alias, photo de profil, nombre de contacts, date de création du compte en sont quelques exemples.

Il existe également des messageries dont l’usage et les informations qui y sont échangées ont rendu leur exploitation dans le cadre d’une démarche de cyber-renseignement particulièrement intéressante. La messagerie chiffrée Telegram en est un très bon exemple et servira donc de cas pratique dans cet article.

Telegram est en effet une messagerie chiffrée de bout en bout. Intercepter les messages, images et vidéos qui y circulent est donc très compliqué, voire impossible. L’interception n’est toutefois pas l’objectif d’une démarche de cyber-renseignement. Celle-ci vise en effet à récupérer et exploiter les messages échangés aussi bien que leurs métadonnées ou encore leur audience.

Cyber-renseignement et messageries chiffrées : exemple de Telegram

Telegram est une messagerie gratuite, réputée sécurisée et est à ce titre utilisée par un public très large. Les utilisateurs de cette messagerie sont aussi bien des dirigeants et des salariés soucieux de sécuriser leurs échanges aussi bien que des personnes malintentionnées. C’est à ce second type de public que le cyber-renseignement est (très) fréquemment amené à s’intéresser.

De nombreux outils dédiés à la recherche par mots-clés sur Telegram existent. Telegram Search Engine est un moteur de recherche dédié à Telegram. L’exploitation de cette ressource permet d’identifier aussi bien des groupes que des utilisateurs. En complément de ces ressources simples d’utilisation, il existe des scripts dédiés dont l’usage nécessite un minimum de connaissances.

Utilisation d’un script dédié à la messagerie Instagram

Le script présenté ci-dessus travaille d’abord sur les caractéristiques du groupe Telegram ciblé. Il extrait notamment le nombre de participants, la date de création ainsi que la date du premier post et l’ID du chat. Bien que toutes ces informations soient très utiles, ce n’est toutefois pas la principale force de ce script.

Il est en effet capable de télécharger les messages échangés sur le groupe, mais aussi la date à laquelle ils ont été postés et le compte qui les a postés. Le résultat obtenu est exporté dans un fichier csv qui pourra ensuite être utilisé dans un autre outil. Un exemple d’outil pertinent à exploiter ici est un outil de cartographie relationnelle. L’utilisation d’une telle ressource permettra de croiser les données et de faire ressortir des pistes encore non identifiées.

Quel usage pour les données récoltées ?

Le volume de données extrait de Telegram peut rapidement devenir conséquent. Ce volume croitra exponentiellement si en plus des messages, les images et vidéos ont aussi été téléchargées. Il faut donc garder à l’esprit la raison pour laquelle ce groupe Telegram est pertinent et si son scraping est utile. Le fameux QQOQCCP, encore et toujours.

Une fois méthodologiquement exploitées, ces données pourront permettre de réaliser une étape critique présentée dans un dernier article : le pivot. Même si Telegram supprime les métadonnées des médias uploadés, de nouvelles personnes pourront être identifiées via de la reconnaissance faciale. Il sera aussi possible de retrouver certains lieux de prises de vues via une démarche de GEOINT.

En guise de conclusion, il est possible d’affirmer que les messageries en général et Telegram en particulier sont une excellente source pour le cyber-renseignement. Compte tenu de la nature de ce réseau et des personnes qui l’utilisent, il par contre est important de contextualiser et valider strictement chaque information recueillie avant de l’exploiter dans la démarche de cyber-renseignement.

Pour en savoir plus sur notre offre de cyber-renseignement, contactez-nous.

Renseignement d’origine CYBER

Identification des besoins
Collecte des informations
Traitement des informations brutes
Analyse
Diffusion / action

Surveillance web

Réseaux sociaux, clear Web et dark web
Blogs et forums du clear Web
Forums et marketplace du dark web (Tor et I2P)
Messageries
Médias en ligne
Etc…