Fort des différents articles relatifs à l'OSINT publiés sur ce site, nous souhaitons revenir sur la partie liée à l'investigation par l'image, avec notamment les deux catégories interdépendantes que sont l'IMINT (recherche par l'image) et le GEOINT (renseignement par le géospatial) en proposant ici un article très opérationnel permettant d'acquérir des compétences directement actionnables. Nous traiterons donc des outils et techniques utilisées sur le terrain dans le cadre d'une recherche mélant l'IMINT-GEOINT.
Introduction et questionnement initial
Avant d'utiliser un outil ou une méthodologie pour localiser une image, nous devons examiner attentivement celle-ci à la recherche d'informations importantes. L'extraction des données clés de l'image vous permettra d'utiliser l'outil approprié, d'effectuer une recherche inversée Google efficace ou d'identifier la partie du monde où l'image a pu être prise.
Il existe 5 éléments IMINT à prendre en compte lorsque vous examinez une image :
- Contexte global
- Premier plan de la photo
- Arrière-plan de la photo
- Marquages possibles sur la carte
- Essais et erreurs (ajustement, redimensionnement, changement d'outil, etc.)
Un défi de géolocalisation comme celui-ci manque d'un élément important, à savoir le contexte ou la source de l'image. Dans la réalité, vous disposez généralement d'un contexte dans lequel l'image a été produite ou partagée, généralement appelé « indices contextuels ». La plupart de ces défis ne comportent pas d'indices contextuels, mais vous pouvez trouver des indices dans les titres et les descriptions, ou si vous êtes bloqué, vous pouvez utiliser la fonction d'aide.
Voici quelques questions que vous devriez vous poser à chaque fois que vous examinez une image :
- Y a-t-il des données évidentes dans l'image qui révèlent l'emplacement, comme le nom d'une rue, des enseignes de magasins ou un monument connu ? Ici comme souvent dans l'analyse, la culture générale de l'analyste est importante pour accélérer le processus décisionnel et aller plus rapidement dans la bonne direction
- Pouvez-vous déterminer le pays ou la région de l'image, par exemple en fonction du côté de la route où circulent les véhicules, des panneaux de signalisation routière, de la langue ou des caractéristiques architecturales qui peuvent révéler un pays ou un continent/une région ?
- Reconnaissez-vous certaines caractéristiques naturelles et environnementales du paysage, ou les marques ou types de véhicules motorisés populaires ?
- Quelle est la qualité des infrastructures visibles ? La route est-elle goudronnée ou voyez-vous des routes en gravier ? Repérez les détails liés aux collectivités territoriales publiques (poubelles, tri sélectif, boîtes aux lettres, infrastructures publiques (lignes électriques, gaz et téléphoniques, réseau public d'eau, bornes des pompiers).
- Voyez-vous des monuments, des bâtiments, des ponts, des statues ou des montagnes uniques qui pourraient vous aider à géolocaliser l'image ?
Rechercher inversée
Introduction
Un nombre significatif d'outils existent aujourd'hui pour la recherche inversée d'images. Nous présenterons ici les deux principaux que sont Google search image, ainsi que Yandex search image.
Dans tous les cas, nous pouvons citer les outils suivants en usage alternatif :
- Google Search Image (US) : https://images.google.com/
- Microsoft Bing Search Image (US) : https://www.bing.com/images/search
- Yandex Search Image (RU) : https://yandex.com/images/
- Baidu Search Image (CN) : https://image.baidu.com/
De manière générale, il est préférable de commencer par son outil préféré et de passer au suivant si le premier essai est infructueux. Cela permet de s'assurer qu'il existe systématiquement un outil répondant à un problème ponctuel dans un cas spécifique. Il n'existe en effet aucun outil qui réponde de manière systématique à un besoin ponctuel : il faut donc jouer sur plusieurs outils à la fois afin de trouver la réponse la mieux adaptée pour un problème ponctuel.
Cas d'étude : exemple avec une photo
Considérons la photo suivante qui a été prise par un particulier lors d'une visite dans cette ville. La photo n'est pas présente sur le Web et n'apparaît donc sur aucun site internet actuellement.
L'objectif ici de l'exercice est le suivant :
- Trouver le nom de la ville où la photo a été prise
- Trouver le nom précis de l'endroit photographié
- Trouver le nom de la construction située complètement à gauche de la photo
- Trouver l'année de construction de ce bâtiment ainsi que le nom de l'architecte
Commençons par l'utilisation de Google Image Search, en réalisant une recherche sur l'ensemble de la photographie :
En focalisant sur la partie gauche de la photographie, et en jouant sur le zoom afin de garder seulement une partie de la construction de gauche, on finit par trouver un site internet qui présente une photographie incluant cette construction avec l'antenne caractéristique.
On peut voir sur les deux copies d'écran suivantes la différence dans les résultats fournis par Yandex quand on sélectionne l'ensemble de la photographie ou une partie seulement.
Soulignons ici pour l'utilisateur de l'application qu'il faut souvent commencer par une recherche générale sur l'ensemble de la photographie, puis, suivant la pertinence des résultats, focaliser la recherche sur une partie spécifique pour tenter d'améliorer les résultats de l'outil de recherche.
Utilisation de Yandex Image Search sur la totalité de la photographie.
 |
Utilisation de Yandex Image Search sur la partie gauche de la photographie, qui semble être plus caractéristique d'un bâtiment de la ville recherchée. |
Image issue d'un site de tournisme montrant le même monument de droite,
portant une antenne caractéristique et facilement identifiable comme étant celle de la photo d'origine.
Conclusion de la recherche inversée
En moins de 5 minutes de recherches, on a donc trouvé les informations suivantes sur la photographie :- Photo de la ville d'Almaty (Kazakhstan)
- Quartier central de la ville : Cirque d'État situé à l'adresse Abay Avenue 50, Almaty 050000, Kazakhstan
- Architecte : Vladimir Katsev, I. Slonov
- Construction entre 1970 et 1972 (date de finalisation des travaux)
- Une photographie d'origine (1972) utilisée par la propagande soviétique de l'époque
- Photo de la ville d'Almaty (Kazakhstan)
- Quartier central de la ville : Cirque d'État situé à l'adresse Abay Avenue 50, Almaty 050000, Kazakhstan
- Architecte : Vladimir Katsev, I. Slonov
- Construction entre 1970 et 1972 (date de finalisation des travaux)
- Une photographie d'origine (1972) utilisée par la propagande soviétique de l'époque
 |
| Vue Google Earth du Cirque d'État de la ville d'Almalty (Kazakhstan) |
Les fonctionalités avancées de Google Earth permettent également de mesurer par exemple la dimension de l'ombre projetée par l'antenne située à côté du cirque.
Pour le calcul des distances, des ombres projetées et les déductions sur l'horodatage de la photographie, nous invitons le lecteur à consulter l'article sur le GEOINT qui contient dans sa seconde partie un exemple concret de calculs avec des outils gratuits en ligne.
 |
| Crédit photo : Soviet Modernism Database URL consultable en ligne : http://wiki.azw.at/sovietmodernism_database/ |
Techniques numériques de detection d'artefacts sur image
Dans cette section, nous allons voir en détails les différents outils d'analyse numérique disponibles pour detecter les modifications opérées sur un cliché photographique authentique.
Dans toute la suite de cette section, nous allons utiliser l'image suivante afin de comprendre ce qui est réel de ce qui est manipulé :
Afin d'assurer cette analyse, nous utiliserons deux outils gratuits disponibles sur le Web :
La technique de détection de clones dans l'image permet de s'assurer de la présence ou non de clones, ou de duplications numériques dans l'image.
Résultats avec l'outil pictureforensics :
On peut voir un résultat meilleur avec l'outil photo-forensics qui détecte mieux les réplications dans l'image (plusieurs nuages ont été dupliqués pour ajouter du volume). De plus, l'ajustement des différents paramètres permet de calibrer au mieux l'analyse, qui varie considérablement avec la modification des différents paramètres disponibles.
Notez que cet outil est une première tentative et n'est pas encore très perfectionné. Les zones similaires sont marquées en bleu et reliées par une ligne rouge.
Technique #2 d'analyse de l'image : ELA (Error Level Analysis)
Lorsqu'elle est utilisée, la compression destructive est généralement appliquée de manière uniforme à un ensemble de données, tel qu'une image, ce qui entraîne un niveau uniforme d'artefacts de compression.
Les données peuvent également être composées de parties présentant différents niveaux d'artefacts de compression. Cette différence peut provenir du fait que les différentes parties ont été soumises à plusieurs reprises à la même compression avec perte de qualité, ou qu'elles ont été soumises à différents types de compression avec destruction. Une différence dans le niveau d'artefacts de compression entre différentes parties des données peut donc indiquer que les données ont été modifiées, et que l'image a ainsi été manipulée.
Résultats avec l'outil pictureforensics avec différents niveaux de qualité de compression JPG :
Résultats avec l'outil photo-forensics avec différents niveaux de qualité de compression JPG :
L'analyse ELA montre clairement ici l'ajout de la soucoupe volante (pour celles et ceux qui en doutaient !) mais également du parachutiste en haut à droite de l'image.
Technique #3 d'analyse de l'image : PCA (Principal Component Analysis)
La PCA offre une perspective différente sur les données, ce qui nous permet de repérer plus facilement les valeurs aberrantes. Par exemple, les couleurs qui ne s'intègrent pas tout à fait dans l'image seront souvent plus apparentes lorsque l'on examine les composantes principales d'une image. Les artefacts de compression ont également tendance à être beaucoup plus visibles, en particulier dans les deuxième et troisième composantes principales.
Résultats avec l'outil pictureforensics :
Résultats avec l'outil photo-forensics :
Autre exemple sur une photo de Kim Jong Un
Prenons l'exemple de cette série de quatre photographies du Président de la Corée du Nord, Kim Jong Un, et regardons pour chacune d'elle l'analyse par ELA.
Le format JPEG est un format de fichier basé sur un algorithme de compression destructif.
Chaque nouvelle sauvegarde entraîne ainsi une dégradation de l'image. L'ELA montre le potentiel d'erreur du niveau de compression JPEG.
Chaque fois que l'image est enregistrée, elle se dégrade et devient légèrement plus sombre sous une analyse ELA. Lorsqu'une partie d'une image est modifiée numériquement, la zone modifiée apparaît plus lumineuse sous ELA.
Les modifications numériques apparaissent comme une incohérence. Si une zone est extrêmement claire, il s'agit probablement d'une modification. Les modifications telles que la réduction d'une image entraînent une modification de la valeur de chaque pixel. La couleur réduite devient une moyenne des pixels voisins. Si une image est réduite, ses contours doivent apparaître clairs sous ELA, mais les surfaces unies comme sa veste noire ou les couleurs de l'arrière-plan doivent rester sombres.
Pourquoi Kim Jong Un tenait-il à l'origine une carte d'identité ?
La disquette et la carte à jouer ont toutes deux des résultats ELA nettement plus clairs que le reste de l'image. Ces éléments indiquent des modifications ; ils ont été bien entendu ajoutés numériquement.
Avec la carte d'identité, tous les bords ont des intensités ELA similaires et toutes les surfaces sont similaires. Bien que l'image ait été réenregistrée (ELA plus sombre), l'ensemble de l'image est cohérent. Si elle a été modifiée, nous ne pouvons pas détecter la modification avec la technique ELA.
La photo de Gangnam a été considérablement modifiée sans doute par un ou des redimensionnements successifs. Chaque pixel a été modifié en raison du redimensionnement, ce qui rend l'ensemble plus lumineux. Cependant, le boîtier du CD qu'il tient dans sa main est toujours plus lumineux que le reste, il a donc été ajouté en dernier. L'analyse ELA n'identifie pas les écouteurs comme étant différents du reste en raison du redimensionnement. Le redimensionnement et la réenregistrement peuvent contribuer à masquer les modifications apportées à l'image.
Conclusion
Nous espérons avoir donné aux lecteurs quelques procédures de base pour conduire une analyse sur une photographie. Il est impossible ici de donner l'ensemble des outils et techniques d'investigation, ni présenter des outils payants permettant d'effectuer des recherches bien plus poussées. Cependant, il est important de comprendre les capacités de recherches qui sont offertes gratuitement à tout utilisateur d'internet, et également conscientiser les utilisateurs, notamment des réseaux sociaux numériques, que le partage de photos sur leur fil Instagram ou autres, permet souvent une identification rapide et relativement facile.
Les images partagées sur les réseaux sociaux se sont ainsi transformées en une source de renseignement d’une puissance rarement comprise par celles et ceux qui les publient innocemment. Une photographie anodine – un selfie devant une fenêtre, une story de vacances, une vidéo tournée à la volée – contient souvent bien plus d’informations que ne l’imaginent leurs auteurs. La combinaison de l’imagerie ouverte, des outils de géolocalisation, de l’IMINT et de modèles d’IA capables d’analyser le moindre détail visuel a fait des flux d’images des RSN un véritable gisement de renseignement exploitable par des acteurs étatiques, criminels ou commerciaux. Une fois en ligne, ces images cessent d’être « privées » au sens pratique du terme : elles deviennent des données persistantes, copiables, recoupables et analysables à très grande échelle.
Nous espérons avoir ainsi convaincu le lecteur que les capacités d’identification à partir d’une simple image se sont spectaculairement accrues ces dernières années. Sur le plan spatial, la géolocalisation d’une photo ne nécessite plus les métadonnées EXIF : la forme d’une crête montagneuse, l’architecture d’un balcon, la disposition des lampadaires, un style de marquage au sol suffisent à retrouver un lieu précis en croisant l’image avec l’imagerie satellite, Street View ou des bases collaboratives de photos géolocalisées. Des collectifs d’OSINT ont démontré qu’il était possible d’identifier l’immeuble exact, parfois l’étage, d’un cliché partagé sur Twitter ou TikTok, en analysant l’angle du soleil, les ombres, la végétation et les détails urbains. Sur le plan temporel, les techniques de chronolocalisation exploitent la longueur des ombres, la météo historique et les saisons pour dater une photo avec une précision de l’ordre de l’heure, voire de la minute dans des cas favorables. Enfin, sur le plan personnel, la reconnaissance faciale, même lorsqu’elle n’est pas explicitement utilisée par un service, est implicite : une photo mise sur un réseau peut être associée à d’autres profils, recroisée avec des bases d’images publiques, voire analysée pour en extraire des traits socio-économiques (style vestimentaire, environnement, objets présents).
Cette capacité d’identification massive transforme la nature même de la notion de « vie privée ». Ce qui était perçu comme un partage contextuel – « je montre cette photo aujourd’hui à un cercle restreint de contacts » – devient un enregistrement durable, indexable, qui peut réapparaître des années plus tard, dans un contexte totalement différent. Une photo de soirée peut révéler l’agencement d’un appartement, le système d’alarme utilisé, la vue depuis la fenêtre, autant d’indicateurs exploitables pour un cambrioleur méthodique. Une story de vacances en temps réel indique que le logement est inoccupé, et croisée avec des informations cadastrales ou des annonces immobilières permet de cartographier le patrimoine d’un individu. Des militants politiques ou des journalistes d’investigation peuvent être localisés à partir d’une image prise sur un trottoir et, par recoupement avec d’autres images et données publiques, voir leurs habitudes cartographiées. Le simple fait de publier un contenu visuel crée un graphe d’informations implicites sur l’identité, les déplacements, les relations et le niveau de richesse.
Le danger ne vient pas seulement de la capacité de visualiser, mais de la capacité à industrialiser l’analyse. Là où, hier, il fallait un analyste humain extrêmement qualifié pour géolocaliser une image, des modèles actuels de vision par ordinateur peuvent traiter en continu des flux d’images pour en extraire automatiquement des coordonnées, reconnaître des lieux, des objets, des uniformes, des plaques minéralogiques, et indexer cette information dans des bases consultables. De grandes plateformes entraînent leurs algorithmes sur les photos des utilisateurs, ce qui permet à ces systèmes de repérer des motifs, des contextes, des visages avec une précision dépassant largement les capacités humaines. Des acteurs privés ou étatiques peuvent ainsi surveiller discrètement des zones entières, des populations spécifiques ou des individus d’intérêt simplement en aspirant les flux publics d’images et en laissant les algorithmes faire le travail d’agrégation et de corrélation.
Cette industrialisation crée un déséquilibre profond entre l’individu et ceux qui exploitent ces données. Pour la plupart des utilisateurs, une image est un moment, une émotion, un fragment de vie. Pour un service de renseignement, une entreprise de data broker ou un groupe criminel, cette même image devient un point de données dans un ensemble beaucoup plus vaste, recoupé avec d’autres sources : registres commerciaux, bases de données fuitées, fichiers de clients, données de géolocalisation, historiques de navigation. La photographie perd alors son statut symbolique pour devenir un vecteur d’attributs : localisation approximative du domicile, niveau de revenu présumé, structure familiale, état de santé supposé, opinions politiques probables. Il devient possible de cibler une personne pour du phishing, du chantage, du harcèlement, voire pour des opérations d’ingérence ou de recrutement, simplement à partir d’une analyse systématique de ses images publiques.
Le paradoxe est que ce danger est largement invisible du point de vue de l’utilisateur. Les plateformes normalisent le partage d’images, encouragent les stories quotidiennes, valorisent les contenus authentiques, spontanés, géolocalisés, sans rendre tangibles les risques secondaires. La plupart des utilisateurs ne conçoivent pas qu’une photo de jogging postée sur Instagram puisse permettre de reconstituer un trajet précis, de déduire un niveau de performance physique, d’inférer des horaires de sortie réguliers, voire de repérer des chemins isolés propices à une agression. Un cas d'école est souvent étudié sur l'exemple de la fuite d'informations issues de l'application Strava, qui permettait ainsi de remonter la piste d'agents des renseignements français et étrangers lors de leurs joggings autour de la Caserne Mortier à Paris.
 |
| Source : NEXT - Comment Strava permettait de remonter la piste d’agents des renseignements français et étrangers https://next.ink/1773/comment-strava-permettait-remonter-piste-dagents-renseignements-francais-et-etrangers/ |
De la même manière, une capture d’écran de visioconférence montrant en arrière-plan des dossiers, un tableau blanc ou un écran secondaire peut divulguer des informations sensibles sur un projet d’entreprise, un document juridique, un plan de négociation. Une fois l’image en ligne, même supprimée, elle peut avoir été copiée, archivée, intégrée à des ensembles de données qui échappent totalement au contrôle initial de la personne.
La conséquence la plus grave concerne les populations vulnérables : lanceurs d’alerte, opposants politiques, journalistes, minorités ciblées. Dans des régimes autoritaires, l’analyse d’images partagées sur des RSN peut servir à identifier des participants à une manifestation, reconnaître des lieux de réunion, cartographier des réseaux de solidarité. En temps de conflit, une photo envoyée à des fins humanitaires peut révéler la position exacte d’un hôpital de campagne, d’un dépôt de vivres ou d’un corridor d’évacuation, transformant un acte de communication en signalement involontaire à l’ennemi. Ce qui, pour un utilisateur occidental, reste un risque abstrait peut, dans ces contextes, se traduire en danger physique direct.
Face à ces capacités d’identification et à ces dangers, la conclusion est double. D’un côté, il est illusoire de considérer qu’une image publiée en ligne puisse rester réellement « privée » ; le simple fait de la diffuser la fait entrer dans un écosystème technique où elle devient potentiellement analysable, recoupable et persistante. De l’autre, une forme d’hygiène informationnelle devient nécessaire : flouter certains arrière-plans, éviter la géolocalisation en temps réel, différer la publication de contenus sensibles, limiter l’exposition des proches, réfléchir à ce que révèle réellement l’image au-delà de son sujet apparent. Dans un environnement où les capacités de NUCINT, d’IMINT et d’OSINT se diffusent bien au-delà des seuls États, apprendre à « voir comme un analyste » les images que l’on publie est devenu une compétence de survie numérique. La frontière entre vie privée et espace public ne se joue plus au moment où l’on clique sur « publier », mais en amont, dans la capacité à anticiper ce que d’autres peuvent déduire de ce que l’on montre.
Sources
OSINT, imagerie et renseignement en sources ouvertes
Pabian, F. V., & al.
Travaux sur l’utilisation de l’imagerie satellitaire commerciale pour la vérification des programmes nucléaires (Corée du Nord, Iran), incluant des chapitres dans The New Nuclear Forensics ou des rapports spécifiques (Pabian, Hecker & al.).
Bellingcat et autres collectifs OSINT.
Études de cas utilisant la télédétection (Sentinel, Maxar) et la géolocalisation pour le suivi de sites sensibles, de vecteurs ou d’activités militaires liées au nucléaire.
European Journal of International Security.
Articles sur la montée en puissance de l’OSINT et son rôle dans la vérification et la transparence stratégique (par ex. « The Rise of Open-Source Intelligence »).
Compléments sur l’identification, la vie privée et les images en ligne
Littérature sur l’OSINT, la géolocalisation d’images et la vie privée numérique (travaux de GIJN, Bellingcat, Stanford Internet Observatory, etc.)
Fuite STRAVA, bases militaires et agents
Le Monde – « Une application de jogging menace la sécurité des bases militaires »
Article fondateur francophone sur la polémique Strava et la mise au jour de bases militaires via la heatmap (dont des emprises françaises).
CNIL – LINC « Strava : la Heat Map qui fait froid dans le dos »
Analyse détaillée des risques d’OPSEC liés à Strava, montrant comment des bases en zones de conflit (Irak, Syrie, Yémen…) deviennent visibles via les traces d’activité des militaires.
Le Point – « Géolocalisation des militaires : l’armée française réagit »
Article expliquant comment des bases françaises, notamment celles de l’opération Barkhane, apparaissent clairement sur la heatmap Strava et les réactions du ministère des Armées.
Wired – « The Strava Heat Map and the End of Secrets »
Analyse en profondeur de la fuite STRAVA, montrant comment des analystes OSINT ont pu identifier des bases US, CIA « black sites » et même tracer des individus (exemple d’un militaire français suivi de son théâtre d’opération jusqu’à son domicile).
GIJN – « How to Investigate Using the Strava Fitness App »
Guide d’enquête expliquant comment utiliser Strava comme source OSINT pour cartographier des activités, infrastructures et patterns comportementaux, avec référence au précédent des bases militaires.
OSINTTeam – « How Strava’s Fitness Tracks Illuminated Hidden Military Secrets Through OSINT »
Article OSINT technique qui décrit étape par étape comment la heatmap Strava a permis de révéler la structure et les routines de bases militaires, et en quoi c’est un cas d’école de fuite de données par usage banal d’une app de fitness.
Article académique – “Fitness OSINT: Identifying and Tracking Military and Security Personnel with Fitness Trackers”
Étude académique démontrant, de manière systémique, comment des données de fitness (type Strava, Polar, etc.) permettent d’identifier et suivre des personnels sensibles en opération.
Article de blog sur Strava et les enjeux du big data
Pour s'entraîner
La plateforme TryHackMe offre l'opportunité de travailler sur une série d'exercices OSINT orientés IMINT afin d'améliorer sa technique. Nous vous recommandons ce tutoriel très didactique permettant d'apprendre en s'amusant :
Aucun commentaire:
Enregistrer un commentaire