L’utilisation des données Open Source Intelligence (OSINT) s’est répandue dans le milieu informatique. En raison de l’ampleur croissante des sources d’informations accessibles au public, la mobilisation desdites données se révèle être très utile auprès des différentes expertises de la data (reconnaissance de texte comme d’image par exemple), de la cybersécurité et des gendarmes du numérique par exemple. L’OSINT se réfère à l’ensemble des données et informations qui peuvent être collectées à partir de sources publiques, telles que les médias sociaux, les sites web, les forums en ligne, les bases de données publiques, et bien d’autres sources. Cette abondance de données ouvre de nouvelles perspectives pour les entreprises, les gouvernements, et les individus de plusieurs univers tels que la veille stratégique, l’enquête, la sécurité, et la prise de décision.
Les enjeux juridiques de la pratique
L’exploitation exclusive de sources ouvertes exclut logiquement toute forme de manipulation ou de piratage. Pas question d’user de méthodes illégales ou trompeuses pour obtenir les données convoitées. Cependant, cette richesse d’informations engendre également un ensemble de problématiques juridiques. L’utilisation de l’OSINT soulève ainsi des questions concernant de nombreux pans des droits des personnes.
Dans un premier temps, la collecte de données ouvertes peut entraîner une violation de la vie privée des individus, car ces informations sont souvent recueillies sans leur consentement. Les informations disponibles en ligne peuvent inclure des détails sensibles tels que des adresses, des numéros de téléphone, des habitudes de navigation, ou des préférences personnelles.
Bien que les informations OSINT soient publiques, les méthodes utilisées pour les collecter peuvent être soumises à des restrictions légales. Certaines actions pourraient être considérées comme du piratage informatique, de l’ingénierie sociale ou des activités illégales de collecte d’informations. Les praticiens de l’OSINT doivent être conscients des limites légales et éthiques de leurs méthodes de collecte pour éviter toute poursuite judiciaire.
En ce sens, la qualification pénale d’accès frauduleux à un Système de Traitement Automatisé de Données (STAD) au sens de l’article 323-1 du Code pénal, va parfois de paire avec la pratique de l’OSINT.
C’est le cas des mauvais référencements par exemple, certaines pages sont en accès libre tandis que les données qu’elles contiennent revêtent un caractère confidentiel. Parfois, visiblement privés, parfois non, les documents sensibles ne devraient pas être accessibles en clair.
En revanche, la Cour d’appel de Paris s’est déjà prononcée dans un arrêt du 5 février 2014 en faveur de la relaxe d’un prévenu, accusé d’avoir accédé frauduleusement à un STAD. La nuance étant que dans la mesure où le responsable du système avait reconnu sa négligence de sécurité (l’architecture du site rendait des documents confidentiels accessibles sans authentification). Cependant, l’individu a bien entendu été condamné pour s’être maintenu dans le système, car il avait conscience de ne pas y être autorisé.
Une autre problématique essentielle est l’utilisation responsable des données OSINT collectées. Les informations obtenues peuvent être utilisées à des fins variées, allant de la veille concurrentielle à l’aide à l’application de la loi. Mais ces données peuvent également être utilisées à mauvais escient, et mettre en péril l’intégrité physique et morale des personnes concernées. En guise d’exemple, la pratique du doxxing (ou doxing), consistant à rendre public de manière malveillante, des informations personnelles d’une personne, généralement dans le but de l’exposer elle ou ses proches à une potentielle atteinte aux biens et aux personnes.
Ce phénomène est largement utilisé sur Internet, raison pour laquelle l’article 223-1-1 du code pénal, via la loi du 24 août 2021, crée une infraction spécifique à cette pratique. Anciennement réprimé en raison des conséquences d’une autre infraction, comme la diffamation ou l’incitation à la haine. Sauf circonstances aggravantes, le doxxing est puni de trois ans d’emprisonnement et de 45 000 euros d’amende.
L’utilité judiciaire de l’OSINT
Les informations recueillies grâce à l’OSINT sont souvent très utiles pour apporter des preuves. Pour permettre l’identification de l’auteur d’une infraction par exemple. Mais qu’en est-il de leur utilisation lors d’un procès ?
Au pénal comme au civil, les données collectées ont force probante. Certaines formalités sont cependant prévues pour documenter toutes les étapes d’accès à la donnée, de manière à ce qu’elle puisse être réitérée par un tiers. S’assurer de conserver des captures d’écran horodatées ou encore archiver de la page web incriminée. Cette méthode a par ailleurs fait ses preuves, puisque les juges de la Cour d’appel de Paris, ont retenu dans un arrêt du 5 juillet 2019, « qu’il n’y a pas lieu d’écarter cette pièce car les prérequis techniques sur le site d’archivage ont été remplis ».
Cette technique a déjà été efficace pour des enquêteurs du web dont la mission est de trouver des informations en ligne pour trouver des preuves. Comme dans le cas « Bellingcat » où de telles preuves ont été utilisées à l’occasion d’un procès devant la Cour pénale internationale grâce au collectif indépendant.
Jeanne GAUTHIER
M2 Cyberjustice – promotion 2022/2023
Sources :
Doxxing : révélation d’informations personnelles, que faire ? – MACSF
Quel est le cadre légal de l’OSINT ? – LE MONDE DU DROIT : le magazine des professions juridiques
Article 323-1 – Code pénal – Légifrance
Quel est le cadre légal de l’OSINT ? – LE MONDE DU DROIT : le magazine des professions juridiques
Cour d’appel de Paris Pôle 4, chambre 10 Arrêt du 5 février 2014
La contribution de l’Osint aux enquêtes portant sur des crimes internationaux | Cairn.info
Bellingcat, le “pire cauchemar du Kremlin” qui documente la guerre en Ukraine
