26 mars 2019

Travailler avec des leaks: le cas des emails leakés du chef de campagne du Président Ukrainien (1ère partie)

Par Sébastien

Un leak récent a été mise en ligne le 22 Mars 2019 sur un forum de hacking Cyber Guerilla, publiant ainsi les emails de Vitaly Kovalchuk, directeur de campagne du Président Poroshenko en Ukraine, en lice pour une réélection, à huit jours du scrutin.

Vitaly Kovalchuk

Le groupe responsable de la publication des leaks est liée à la publication des leaks sur l’organisation Integrity Initiative, spécialisée dans la lutte contre la désinformation. Cette opération de hacking a été présentée comme une opération du gouvernement russe par les media britanniques. L’attribution de cette leak Ukrainienne, exercice toujours périlleux, est en effet une donnée importante puisque la fuite de ces emails intervient à un moment politique clef du pays dans un contexte où l’utilisation des attaques cyber a été signalée plusieurs fois pendant la campagne électorale.

Capture d’écran du site de publication de la leak

Avec seulement une centaine d’emails datant du 6 au 21 Mars 2019, CyberGuerilla illustre la valeur de cette leak en mettant l’accent sur des échanges qui démontreraient l’utilisation de soutiens politiques occidentaux en faveur de la navigation libre ukrainienne de la Mer d’Azov dont l’accès est actuellement bloqué par la Russie comme argument politique de campagne pour la ré-élection du Président Ukrainien.

En réalité, il s’agit en fait d’un seul email datant du 20 Mars 2019.

Traduction en commencant par le bas de l’email :

Vitaliy Kovalchuk – Pavel Anatolyevich, bonjour! Vraiment hâte de savoir quels ont été les résultats de la prise de contact avec Maas [Heiko Maas Ministre des Affaires Etrangères d’Allemagne]. Nous y sommes très attachés.

Pavel Anatolyevich – Bonjour, leur position n’a pas changé. Maas nous parle franchement au sujet de la mer mais si je comprends bien, ils ne veulent tout simplement pas risque le pipeline Nord Stream et aller au conflit ouvert. Je pense que cette question reste en suspens jusqu’à la fin des élections, ils sont très prudents.

VK – Des sanctions sont nécessaires avant. Ou, au moins, que l’Allemagne, se soit prononcée [publiquement]. Nous devons construire sur quelque chose. Nous devrions peut-être demander l’aide de nos amis.

PA – C’est exclu. Il y aurait l’effet inverse. Maas était extrêmement agacé par
la pression des états après la dernière action. Maintenant, il a évidemment fait comprendre qu’il n’y aura pas de décisions embarrassantes de leur part.

Pavel Anatolyevich est présenté par les hackers comme un fonctionnaire important dans l’aparatus d’Etat, probablement un proche ou le ministre des Affaires Etrangères lui-même [Pavel Anatolyevich Klimkin]. Trois éléments dérangent: l’absence de nom de famille mentionné dans l’email pour identifier la personne et son rôle, la langue russe (rappelons que l’ukrainien est la langue officielle du pays, étonnant que tout soit en russe). Enfin, il est difficile d’attribuer réellement l’adresse email à Pavel Anatolyevich – – qui n’apparaît nulle part.

D’autres éléments étonnent dans le dossier. Trois emails sont écrits en anglais et sont adressés ou viennent de personnalités occidentales: Carl Bildt – ancien Premier Ministre Suédois – (expéditeur), George Kent du Département d’Etat Américain (expéditeur) et Graham Atkins de la société Atkins Thomsons (destinataire). Ces individus utilisent des adresses personnelles (gmx, mail.com et tutamail.com) dans le cadre de communication très officielle, assurant le soutien de la Suède et des USA au Président et à la démocratie ukrainienne ou faisant référence à un procès judiciaire (qui a bien eu lieu). Non seulement, l’utilisation de ces adresses mais aussi la structure de certaines tournures de phrase semblent peu crédibles.

Email de Carl Bildt utilisant gmx.com et la mention de « the entire democracy world » pour le moins étrange
Email de George Kent en charge du bureau Eurasie au Département d’Etat Américain
Un partner de la société Atkins Thomson avec une adresse tutamail….

Les adresses emails de Carl Bildt et George Kent peuvent être analysées rapidement:

  1. L’adresses IP de l’email de Carl Bildt est localisé en Suède. Pas étonnant car il est suédois. Sauf que le 15 Mars dans l’après midi, il est à Londres et s’envolera le soir pour le Brésil (seule l’hypothèse du VPN semble tenir…).

2. L’adresse IP de l’email de George Kent est localisée plus bizarrement en Espagne (service VPN du Département d’Etat américain?) et son adresse email backup pour le service mail.com est une adresse en givmail.com du service temporaire d’email de GetNada. C est étrange.

L’ensemble de ce faisceau d’indices nous permet de nous questionner à juste titre: s’agit-il de vrais emails? Est-ce que Carl Bildt et George Kent sont bien les auteurs des emails assurant le soutien de leur gouvernement respectif à la démocratie ukrainienne? Est-ce une tentative de manipulation orchestrée de l’information afin de distraire à quelques jours d’un scrutin électora?. Cette tactique de distraction s’inscrirait alors dans la stratégie des 4 D employée régulièrement dans les campagnes de désinformation (Dismiss, Distract, Distort, Dismay comme le dit Ben Nimmo.).

Travailler avec les leaks dans la recherche en sources ouvertes

Rencontre entre l’open-source et la communauté cyber, les leaks ou data breach (fuites de données) font partie intégrantes des sources disponibles en sources ouvertes. Consacrées initialement par Wikileaks avec la publication en ligne des câbles diplomatiques des ambassades américaines autour du monde et des Syrian Files, ces leaks permettent d’avoir accès à du matériel de première main dans la recherche d’un sujet particulier. Néanmoins, elles amènent à se poser certaines considérations éthiques puisqu’il s’agit de matériel volé et obtenu au travers d’opération de hacking par divers groupes.

Si on s’intéressera beaucoup aux emails, documents, photos de première main qui vont permettre d’appuyer un élément de recherche avec une preuve solide et originelle, il ne sera pas inutile non plus de s’intéresser aux identifiants et mot de passe collectés. Il ne s’agit surtout pas de chercher à utiliser ces informations pour se logguer à un compte (ce serait illégal!).
Mais ces informations peuvent permettre de retrouver d’autres alias, d’autres boites mails appartenant à de individus.

Alors quoi faire face à ces leaks?

Dans un premier temps, il faut être capable d’y accéder et de les ouvrir en toute sécurité car ces leaks peuvent être piégés. Certains nécessitent d’aller les chercher sur le réseau ToR, ce qui demande de configurer son ordinateur à cet effet [un bon guide ici]. Il est toujours plus prévoyant d’ouvrir les fichiers dans une machine virtuelle pour les examiner [un guide ici] – Oracle propose un logiciel gratuit à cet effet [ici].

Ensuite il semble nécessaire d’identifier le groupe derrière et de comprendre leurs motivations. Les attributions sont parfois très faciles mais parfois surgissent de groupes anonymes qu’il est difficile à appréhender. Un excellent article et thread a été partagé et écrit par The Grugq concernant l’utilisation par les services de renseignement russes d’avatars hacktivistes pour pousser des informations servant un agenda précis.

Finalement la dernière étape, l’une des plus dures quand on doit traiter des giga-octets de données, c’est de vérifier l’authenticité des documents. Il s’agit donc de maintenir un esprit critique à tout moment face à ce que l’on voit et lit.

Une plateforme qui regroupe toutes les leaks

Distributed Denial of Secrets [lien vers un site utilisant ToR] a été lancé en décembre 2018 comme un collectif pro-transparence dont le but est de faire circuler l’information. Le collectif suit deux critères pour publication: est- ce intéressant/important pour le public et peut-on déterminer aux premiers abords la véracité du contenu?

Rejoignez notre mission.

Adhérez à OpenFacto, et faites de l’OSINT un standard en France.