Un employé d’une organisation avait installé un module d’extension pour le navigateur Chrome, fonctionnant comme un réseau privé virtuel (VPN), afin de contourner les mesures de sécurité mises en place par son employeur. Il utilisait cet outil dans le cadre de recherches OSINT, notamment pour accéder à des sites bloqués comme certaines plateformes de médias sociaux. L’équipe de sécurité des technologies de l’information a été alertée par ses systèmes de surveillance, ce qui a mené à notre participation à l’enquête.
En collaboration avec l’équipe interne de sécurité de l’information, nous avons examiné les journaux de connexion du pare-feu ainsi que le code de programmation du plug-in du navigateur en question et avons validé le fait que le plug-in se connectait à des adresses IP (Internet Protocol) situées dans des pays qui posaient problème. Outre l’examen judiciaire des appareils en question, l’examen des journaux de réseau et l’examen de l’application, nous avons mené des entretiens approfondis avec l’employé et son équipe.
Le problème relevait également de la culture organisationnelle. La direction à laquelle l’employé était rattaché exerçait une pression importante pour qu’il accède à des sites web pourtant bloqués par l’organisation. Bien que les demandes aient été légitimes sur le plan opérationnel, elles contrevenaient aux politiques de sécurité en place. Ce groupe fonctionnel avait déjà formulé des demandes d’accès auprès de l’équipe de sécurité informatique, sans obtenir de réponse favorable. Par impatience, et afin d’éviter de devoir justifier à répétition ses besoins ou d’attendre l’installation des dispositifs.
L’efficacité du travail en OSINT est essentielle, mais la sécurité opérationnelle (OPSEC) l’est tout autant. Pour que la fonction OSINT soit à la fois performante et sécuritaire, elle doit être soutenue par l’ensemble de l’organisation. L’utilisation de modules d’extension pour navigateurs ou de services proxy gratuits comporte des risques non négligeables et doit être encadrée avec rigueur.