RoSO (renseignement d'origine source ouverte) par Colin l'hermet
Par Olivier Kempf le jeudi 11 avril 2013, 21:40 - Maitrise stratégique de l'information - Lien permanent
Je publie ce commentaire d'un billet du mois dernier, car il traite d'un sujet crucial pour le rens. Car il ne s'agit pas de culture de roses, mais de "Renseignement d’origine source ouverte" (ROSO, pour les intimes)
Et comme je devine que beaucoup de lecteurs ne suivent pas tous les commentaires, il est utile, de temps en temps, d'extraire le meilleur et d'en faire un billet en soi. Merci donc à Colin l'Hermet, qui vient régulièrement commenter sur égéa. Car derrière un débat cyber, se pose la question du "rens" : d'origine cyber ? de périmètre cyber ? de but cyber ? voire d'intérêt cyber ? Autant de notions qui peuvent émerger, mais qui doivent s'appuyer, une fois passé le brillant de la formule, sur de solides réflexions. Elles s'ébauchent. Je constate enfin que quand Colin parle d'exploitation à 1000 % des sources, il suggère un phénomène qui traverse tous les champs : celui du Big Data (comment traduire Big Data ?), évident en matière économique, en matière défense et cyber, et désormais en matière rens.
O. Kempf
Vous en connaissez tous un, de ceux qui abritent derrière un regard myope un mélange de cynisme désabusé de serviteur secret de l'Etat et de sociologue de la bassesse humaine.
Et ils sont inquiets.
Si, si.
Le monde du Rens bruisse, il connaît sa révolution industrielle (hyperautomatisation-mécanisation des processus + coût relativement abordable en raison de cette mécanisation + recherche d'une plus-value sur le dit processus et non plus sur la ressource initiale + apparente profusion-abondance de la ressource initiale).
On assiste à la convergence de 2 faits distincts :
- . d'une part les services spéciaux ont paradoxalement été "normalisés" ;
- . d'autre part il y a croissance exponentielle des possibilité d'accès à l'information, et partant, d'information disponible.
- . Le tout dans un contexte où les rapports de force mis en œuvre dans la démocratie sont modifiés par l'accès populaire à de l'information dont la trop grande disponibilité bidirectionnelle fausse la valeur intrinsèque.
Délaissons, ici, cette question du contexte pour seulement traiter des objectifs du Rens stratégique étatique.
Historiquement, le modèle du Rens stratégique étatique reposait essentiellement sur l'acquisition de l'information par des moyens clandestins. Pas sur de l'investigation. Mais bien sur la collection antérieure de faits-données, leur exploitation et une élaboration postérieure. Ce que vous nommez le "rens fermé".
Or si l'on comprend que vous nommez "rens ouvert" le renseignement ayant pour origine les Sources ouvertes (OSINT en bon acronyme anglosaxon, RoSO pour son équivalent français), celui qui pioche dans les "zones blanches" ou éventuellement "grises", force est de constater que l'état de l'art ne sait pas encore bien articuler le RoSO-OSINT.
Le RoSO pellete à 1000% du champ sémantique, il est donc de droit intégrable au RoHum. Par ailleurs, l'imagerie qui s'est généralisée (photos, visuels, infographies, ou contrestéganographie notamment) pourrait placer le RoSO dans le RoIM. Quant à le positionner dans le RoEM, rien ne l'interdit, de par les caractéristiques de la majorité de ses vecteurs.
Sans que votre idée de placer les domaines "rens ouvert-rens fermé" en position de gigogne ne soit remise en cause, je crains que la Communauté du Rens, et plus encore les (trop rares) théoriciens de la mise en œuvre du Rens, n'aient dépassé cette simple césure pour aller plus en profondeur à un problème sous-jacent : le RoSO doit-il être une activité à part entière ? Ou est-il transverse aux champs traditionnels ?
En réalité, découle de cette question la mesure des moyens à y consacrer (et donc le possible retard national dans la prochaine génération d'officiers et de structures de rens). C'est notamment sur ce principe qu'est envisagé de mener-péréniser des "externalisations" de Rens, le RoSO étant par nature disponible à tous et ne nécessitant plus de cadre clandestin pour le recueil initial.
Ce qui fait un peu trop vite fi, remarque en passant, de la question de la variété des intérêts entre l'Etat, les champs de l'Etat (pensés par P.Bourdieu et retrouvables dans les AIE de L. Althusser) et les acteurs économiques privés : confier à un opérateur économique la mission de mener du Rens stratégique au bénéfice de l'Etat, c'est remodeler un pan de la mission de service public qu'appellent la sécurité et la défense nationales. Un tel choix devra être mûrement réfléchi, et les modalités sévèrement encadrées. Et ce futur (et nécessaire) choix découle directement de l'ampleur du potentiel du phénomène RoSO (je le comparerais au potentiel des gaz de schiste dans le domaine énergétique).
C'est pourquoi il me paraît hasardeux-bancal de souhaiter fonder une partie de votre réflexion quant au champ cyber-informationnel sur une spécialité qui tangue elle-même sous la houle de ce champ qu'elle ressent comme nouveau pour elle.
Ou plus précisément, hasardeux de fonder une partie de votre réflexion sur une typologie en voie de refonte-réforme au sein de la spécialité./.
Bien à vous,
Cl'H./.
Commentaires
Je voulais faire partager ma façon de faire sur le fameux RoSO, que j'utilise à titre personnel pour mieux comprendre les crises que nous traversons et les voir loin du prisme des médias.
Tout d'abord le principe de base est d'être curieux, imaginatif et de disposer d’outils
Le premier de ces outils c'est internet et le premier des outils : Google.
Google c'est formidable, on y trouve tout ou presque.
On dit "Google est ton ami", mais ton ennemi aussi, je pense que certains type de requêtes sont bien étudiés, il ne faut pas être dupe. D4ailleur un Goolgle français serait un gros plus de souveraineté nationale
Wikipédia permet d'avoir une vue général et un point de départ avec les liens s'y trouvant.
Twitter permet de capter aussi plein d’information mais est en évolution permanente.
La première étape c'est de se fixer l'objectif a atteindre, celui-ci défini on fait une première recherche sur Google, la première consultation ira vers Wikipédia pour avoir une œil général de la chose.
Ensuite direction Google Map et c'est formidable, la planète vis sous nos petits yeux ébahi.
Je me rappelle avoir fait le tour des bases aériennes de Syrie et de Libye et d'avoir compté les avions/hélicoptères par type. Il faut du temps c'est la première contrainte.
Une fois le tour fait avec Google Map on précise sa recherche, pour mieux connaitre une région, un sujet. Et la Google est un amis super sympa il me permet de basculer en mode image.
Cela me permet de visualiser rapidement les sites traitant du bon sujet.
Je me souviens par exemple une recherche d'une carte rapide des aéroports de Syrie et du Mali.
Ensuite les forums sont des endroits intéressant avec les passionnés qui donnent souvent des informations intéressantes surtout dans les détails. Souvent avec un certains parti pris mais il suffit de trier.
Enfin il faut revenir régulièrement sur ses recherches pour en constater les évolutions, sur Google map aussi, quand on regarde l'aéroport de Gao par exemple on voit bien les évolutions.
Ces sources ouvertes sont intéressantes pour comprendre les choses et éventuellement fixer des bases sur des sujets inconnus. C’est aussi pratique pour connaitre les hommes souvent avec leur accord tacite…
Actuellement la Corée du nord est un sujet sympathique pour travailler, mais dans ce cas les sources sont rares et on arrive aux limites de ce que l'on peut faire en sources ouvertes. La barrière de la langue étant une limitation fortes, mais qui pour un état n’est pas un obstacle en soi.
Ne jamais oublier que le Cybermonde est en évolution permanente, et qu’il faut automatiser les choses, ce qui n’était pas possible hier le devient aujourd’hui et sera accessible au plus grand nombre demain. L’œil humain sera toujours utile pour discriminer, donc il faut rester prudent sur le tout automatique. Le monde Cyber se développant toujours plus vite les volumes a traiter seront toujours plus grand. C’est un espace de veille permanente.
Voilà ma petite utilisation du renseignement ouvert.
Bonjour à tous,
Bonjour Monsieur Alphonse,
Petites questions auxquelles vous n'êtes nullement tenu de répondre mais qui me permettent, en les formulant, d'illustrer un aspect organisationnel-institutionnel du thème :
. si cette activité intervient dans un cadre salarial, votre employeur considère-t-il le créneau recherche OpenSource comme un temps plein, ou une activité parcellaire, en regard des moyens et matériaux non RoSO mis à votre disposition ?
. sur le plan qualitatif, est-ce perçu comme une plus-value potentielle ou impérativement recherchée ?
. votre emploi du temps comporte-t-il un créneau de veille ? ou mettez-vous en oeuvre du RoSO pour compléter un travail déjà avancé ?
. les aller-retour non automatisés de MàJ dynamique sur les sites sont-ils perçus comme du temps perdu ?
. votre station est-elle en ligne permanente ?
. disposez-vous d'un sas entre la station de veille RoSO et les autres structures informatiques dont l'Intranet ? Ou utilisez-vous en RoSO une machine reliée à l'Intranet ?
. en cas de station(s) RoSO standalone, la production issue de(s) station(s) RoSO est-elle réintroduite dans l'Intranet ? Par un vecteur matériel, ou par sortie Net et retour messagerie ?
. La complexité d'une production (photos, graphes, images) peut-elle alors laisser passer une charge de compromission (via la compromission du logiciel d'édition-compilation) ? Ou ce risque conduit-il à ne produire que du format simple (txt) sans pouvoir l'enrichir ?
Voilà, selon moi, un exemple de questions qui pourraient se poser afin de dimensionner une activité de RoSO./.
Bien à tous,
Cl'H
Bonjour,
Je vais tacher de vous répondre.
Cette activité est pour ma part à titre personnel et professionnel, les seuls moyens à ma disposition sont quelques magazines de défense francophone bien connu et internet.
Les objectifs sont différant suivant que c’est personnel ou professionnel, mais dans les 2 cas j’utilise des techniques assez similaires.
Dans le cadre professionnel c’est une activité parcellaire dans le but d’obtenir de l’information dans le cadre d’objectif précis, concrétisé par des dossiers dit de synthèse. Dans le cadre personnel c’est sans objectif précis autre que celui de mieux connaitre la réalité bien souvent floue sur les sujets d’actualité.
La plus-value recherchée est impérative, mais il faut garder à l’esprit que dans certains cas on ne trouve rien.
Mon job comprend effectivement un créneau de veille. J’utilise toujours le RoSO comme base de départ. Mais le RoSO est utilisable dans 2 cas bien précis, la création d’un dossier à partir de rien, c’est dire en amont de moyen plus précis. Dans un second temps pour connaitre l’évolution d’un sujet sans y consacrer des moyens importants.
Le temps de re-consultation n’est jamais perdu, il permet d’explorer d’autres pistes, la ou un automatisme se bloque. Internet est toujours en mouvement une info pas disponible un jour le devient un peu plus tard, un site disparait là ou un autre apparait, lire les commentaires apporte beaucoup aussi, ça bouge pas forcément très vite mais ça bouge donc il faut rester en veille.
Dans vos dernières questions vous abordez une problématique de sécurité entre le monde interne à une entité et son monde externe. Il est clair que le risque n’est pas nul, mais identiques aux problématique d’interconnections de réseau privée à internet. Un poste RoSO au sens où vous l’entendez se doit de ne pas être interconnecté avec le monde d’une entité sensible, si on pense service de renseignement il faut même idéalement passer par une structure écran (l’adresse IP parlant beaucoup) puis se couvrit par des proxy anonymes si nécessaire. Si on regarde comment la société Mandiant est remonté jusqu’en chine à un bloc de building, on se dit qu’il vaut mieux prévoir. Si on est un particulier ou une structure moins sensible ce n’est pas nécessaire.
Lorsque j’utilise le RoSO dans mon activité professionnelle je constitue des dossiers à destination interne, mais dans une entreprise sans grande contrainte de sécurité (oui c’est un peu utopique mais bon). Lorsque c’est personnel je ne fais pas de dossier.
Globalement les dossiers (document word ou pdf) comportent des photos (copie d’écran retravaillé), URL et texte, jamais plus les destinataires étant des personnes dont la lecture du dossier suffit, et c’est expédié par mail.
De mon point de vue idéalement pour une structure sensible, le ou les poste(s) RoSO sont situés dans un lieu géographique indépendant de l’organisme principal, avec une connexion indépendante type free. Le poste RoSO à un accès libre à internet passe par plusieurs proxy anonyme type Tor dispose d’outils antiviral et de protection classique. Quand personne n’est devant le poste celui-ci est éteint. Les documents « capturé » étant transmis par clé USB à un poste « interne » pour traitement. Dans le cas des URL il suffit de mettre une copie d’écran de l’URL, ça fait plus d’image mais mettre l’URL directement reste risqué.
Il y a surment plein d'autres choses à dire.
Bien à vous Alphonse.
Bonjour à tous,
@Alphonse,
Grand merci de ces éclairages !
Bien à vous,
Colin./.
Monsieur Colin L'hermet,
je poste ce commentaire ici, mais il concerne votre article plus ancien sur le RoSO (en date du 11 avril).
Je suis convaincu que le volume et la qualité des informations susceptibles d'émerger à partir de sources ouvertes est fortement sous-estimé par les services concernés. Le croisement sémantique et l'application d'algorithmes dans un calcul mixte (algo + calcul déductif humain) permet de dégager des infos inattendues.
Ce phénomène porte un nom : la Serendipité (ou .
sagacité accidentelle).
Vous cherchez quelque chose, vous travaillez sur un sujet particulier et le croisement de données vous fait aboutir à autre chose (une constatation non préméditée) ensuite, la chose vous intrigue et vous creusez l'information pour découvrir son architecture.
Bref, après avoir analysé la partie visible (ouverte) de l'information, une question naturelle se pose :
Qu'en faire ??? Lorsque vous êtes enseignant chercheur, par exemple, quelles sont vos possibilités pour diffuser cette information, en éliminant l'option de publication dans une revue de recherche si l'info en question vous parait sensible ?
Il n'existe pas de porte d'accès permettant la communication entre un opérateur "découvrant" une info à partir d'une démarche RoSO et un service ad-hoc. Ce constat est une triste réalité !
Cher M. Algonaute,
Comment convaincre les décideurs de suivre un système opérationnel et efficient reposant partiellement sur un couple imprécis aléatoire-induction ?
Première observation, on ne peut malheureusement faire abstraction de la donnée du temps : la collecte des informations ou le processus de bigdatamining prennent du temps.
Dans notre monde, le souhait d'obtenir une information s'intercale toujours dans des processus plus larges, stratégiques ou tactiques. Le PNOR ou la liste des courses viennent ainsi borner le temps allouable, quand ce n'est pas le séquencement opérationnel.
C'est pourquoi, ayant ainsi orienté leur volonté, et n'étant pas vraiment autorisés à se laisser dériver au gré de recherches ou d'observations sérendipitaires, tous les acteurs orientent leur regard.
La sérendipité s'en trouve donc restreinte : le surgissement de faits-informations pertinents au hasard et à la marge n'intervient en RoSO qu'en périphérie d'un autre travail de collecte ou de traitement ou d'analyse.
C'est pourquoi les services affectés à ces tâches orientent leurs ressources (dont le temps) vers des gisements aux potentialités moindres mais aux potentiels censés être mieux appréhendés.
Pour l'heure il me semble que le RoSO n'est employé que comme moyen supplétif, une plus-value le cas échéant mais à laquelle on ne laissera pas le temps nécessaire.
Nous nous trouverions plus, avec la mise en oeuvre actuelle du RoSO, sur une hésitation entre :
. l'emploi (très) marginal de l'aléatoire vrai, dont une illustration pourrait être ce facteur humain cher à G.Greene (*);
. et l'exploitation systématique d'un grand nombre de données par des process orientés afin d'en faire émerger un agrégat interprétable d'informations.
(*) je crois même pouvoir dire que la tendance à toujours été de vouloir systématiser l'approche du dit facteur humain dans l'espoir vain d'en minorer sinon gommer tout effet aléatoire.
Les applications les plus fantasmées du bigdatamining appliquées au Rens me semblent être dans le cadre de l'antiterrorisme et de la surveillance des mouvements subversifs : dans un fatras et chaotique de données de flux bancaires, faire apparaître des régularités selon les lois des grands nombres, afin d'établir la systématicité rationnelle d'une opération de financemement et dépister ses agents humains.
Et depuis la seule connaissance des flux de communication, sans la connaissance de leur contenu, espérer pouvoir estimer l'activité séditieuse et la concentration des moyens subversifs sur un territoire.
Bref tout cela me fait immanquablement penser aux équations de psychohistoire de Ari Seldon chez I.Asimov. De la SF.
Si rien n'interdit de faire tourner un supercalculateur sur ces deux modèles, soyons sûrs qu'aucun service employant le renseignement dans la réalisation des missions qui lui ont été confiées par les institutions, ne saura mettre ses oeufs dans cet unique panier jugé à ce jour trop aléatoire (contresens quand on pense à sa nature purement systémique, notez bien).
Le Rens continue donc d'être orienté, et le RoSO y pellete des bigdatas selon un axe défini, des mots clefs et des listes de sites, pages et warehouses définies.
La sérendipité ne doit probablement y figurer pour l'heure que comme un passager clandestin.
Mais dans le domaine du Rens, il peut être bon de faire croire que l'on opère avec succès sur tous les modes. Il y a là une petite valeur dissuasive./.
Bien respectueusement,
Colin./.
Cher Monsieur,
merci pour ces arguments éclairants; mon évocation de la sérendipité trouve son origine dans les succès récents obtenus par des algorithmes utilisant une approche aléatoire (en algèbre combinatoire, ou dans le parcours de très gros graphes pour lesquels les algos classiques ont une performance en temps de calcul relativement décevante).
L'aléatoire, comme ingrédient dans la stratégie de recherche peut se révéler performant. Il faut alors accepter l'idée que la rentabilité ne soit pas toujours au rdv, mais lorsque le résultat émerge, il est souvent spectaculaire. Vous noterez que dans le domaine des découvertes scientifiques, médicales, artistiques, la sérendipité est très présente et produit parfois de "l'exceptionnel". NN Taleb étudie les liens subtils liant sérendipité et émergence de cygnes noirs positifs.
Je comprends parfaitement que cette démarche intellectuelle puisse paraitre incompatible avec les nécessités de résultats planifiés en temps et en espace et les contraintes systémiques diverses (ressources humaines, crédits, moyens de calculs, etc...).
Pourtant, je suis convaincu que l'on peut introduire de la sérendipité à "moindre cout" et de façon pragmatique :
Au niveau algorithmique, cela mobilise une puissance de calcul (pas nécessairement du calcul haute performance, disons une puissance intermédiaire); ajoutez à cela une batterie algorithmique utilisant la recherche de similarités ( techniques des compresseurs, information partagée I(x,y) basée sur la complexité de Kolmogorov) avec cela vous choisissez un système S , par exemple un grand site de vente aux enchères en ligne (international) , puis une catégorie d'objets de transactions (ressources géologiques spécifiques dont l'extraction est associée à des pays bien identifiés). Vous "laissez tourner" l'ensemble, les résultats peuvent être surprenants, il convient d'orienter votre sérendipité vers les zones potentiellement fructueuses, bien entendu.
L'idée est de conjuguer sérendipité, recherche de similarités et ré-orientation en cours de calculs.
L'intervention humaine dans ce type de démarche est limitée et réduite à une supervision décidant de réorienter la recherche aléatoire sur un sous-système. Cette activité peut être également sous-traitée par des sociétés extérieures aux services.
seconde piste (non algorithmique) : créer une fenêtre de collecte d'information ouverte au citoyen et communiquer sur cette possibilité et/ou nécessité de contribution citoyenne. ici encore, le cout est réduit : une interface ouverte recevant des messages, liens ou signalements, et un tri rapide d'intérêt - évaluation de l'info, authentification,pertinence... La sérendipité est répartie sur l'activité des citoyens puis canalisée vers une porte d'entrée du service.
Chaque stratégie permettant d'améliorer le traitement des volumes exponentiels de données doit être prise en compte; y compris les approches exotiques...
A lire : analyse du projet INDECT (la seconde partie traitant de la détection automatisée des menaces numérique) publié sur AGS.
A voir aussi les projets FP7 sécurité VIRTUOSO et FP7 RECOBIA
Bien à vous,
Algonaute