16 décembre 2019

Pivoter avec des éléments techniques – les MOOCs du Hamas

Par Sébastien

Cet article a été réalisé sur la base du travail de recherches en sources ouvertes des participants à la dernière formation généraliste OpenFacto fin juin 2019. Elle est le fruit des deux jours de formation et d’un travail collaboratif de groupe de fin de stage sur un sujet non résolu.

Le Hamas lance une campagne de levée de fonds bitcoin

Le 31 janvier 2019, les Brigades d’Al Qassam, la branche armée du Hamas considérée comme un groupe terroriste par les Etats-Unis, l’UE et d’autres pays, lancent une campagne de soutien de ses forces en bitcoin avec la promotion sur ses supports de communication de l’adresse suivante : 3PajPWymUexhewHPczmLQ8CMYatKAGNj3y.

Quelques visuels de la campagne de levée de fonds du Hamas
Le site donne à présent une adresse BTC unique aux sympathisants pour effectuer leurs transferts

Cette campagne est notamment étudiée en détail par plusieurs analystes OSINT comme Ghost Security Group qui analyse le circuit crypto en février 2019.

Analyse graphique par @RaijinRising de Ghost Security Group

Bellingcat en fera un tutorial sur la recherche sur les crypto-monnaies en utilisant le cas spécifique des Brigades Al Qassam en mars 2019.

Rebondir du Hamas à un MOOC: l’adresse bitcoin

En réalisant une simple recherche de l’adresse bitcoin des Brigades Al Qassam sur le moteur de recherche Google, on découvre parmi les résultats le site internet d’une école islamique en ligne : la Islamic Digital School/ Ahmed Yassine Institute. L’adresse BTC retrouvée sur le site pour faire des dons à l’école, semble être la même que celle utilisée par les Brigades Al Qassam, affiliée au Hamas.

Visuel que l’on retrouve à cette adresse  et archive

Pivoter à partir des éléments techniques

Avec comme point de départ un site internet, on peut observer et rechercher plusieurs éléments afin de trouver de nouveaux indices pour rebondir et pivoter sur la suite.

On commence donc par observer la conception du site en se demandant si la qualité est au rendez-vous, si on comprend à quoi il sert, dans quelle langue il est écrit. On repère aussi les emails, les numéros de téléphone, les adresses physiques, les liens vers les réseaux sociaux et les images. Parfois en basculant sur une autre langue, le site peut s’avérer plus complet.

Dans notre cas, le site internet ressemble à une page de blog déroulante écrite en anglais et en arabe. La mission de l’Institut Ahmed Yassine – le chef spirituel du Hamas – est d’être la première école en ligne sur l’islam. L’école dispense un cursus de formation sur l’Islam avec la remise d’un diplôme.

site de l’Institut Ahmed Yassine

On peut ensuite prendre le nom de domaine/url « ahmedyassineinstitute.com » et faire une recherche whois et un traceroute en utilisant le site ping. Le WHOIS permet d’obtenir des informations sur le propriétaire du site et sur la société qui héberge le site. Les informations sont devenues de plus en plus rare depuis la loi sur le Règlement Général sur la Protection des Données personnelles (RGPD). Un traceroute permet de voir le chemin que prend un paquet de données pour aller de sa machine au serveur qui héberge le site en question.

WHOIS du site internet
Traceroute qui nous amène au Royaume Uni

Le domaine est enregistré par une société américaine depuis le 18 Septembre 2018 avec deux adresses IP localisées en Angleterre (188.241.39.12 et 188.241.39.10). En utilisant Exonerator, on constate que ces adresses ne sont a priori pas utilisées comme relai par TOR.

Ensuite il est crucial de rechercher des mentions du site ailleurs sur internet pour voir où il apparaît et si cela peut nous aider à rebondir sur d’autres éléments d’intérêt. Une recherche de l’URL avec le dork suivant intext: »ahmedyassineinstitute.com » sur les moteurs de recherche mène à une discussion sur Reddit et une page Facebook sous le nom de Islamic Digital School.

La conversation sur Reddit débat de la véracité du site internet et de la page Facebook indiquant qu’il pourrait s’agir d’une tentative de déstabilisation de la République Tchèque et de la Slovaquie par l’extrême droite ou les russes.

La page Facebook fait bien référence au site initial et se présente également comme une école sur l’islam en ligne. La page Facebook est postérieure au site et a été créée en octobre 2018.

Elle cible la population tchèque et slovaque car elle propose les cours dans la langue. La page est gérée par deux comptes facebook localisés en Angleterre. Il n’y a pas plus d’éléments exploitables à ce stade. Il est intéressant de noter que les statistiques du site internet sont très basses (le site n’est pas classé) tandis que le nombre de followers sur la page Facebook atteint + 5600.

Le code source de la page permet de regarder comment le site est construit. Sans être expert, il peut être utile de rechercher par exemple un tracker UA (Google-Analytics) qui est utilisé dans l’analyse de trafic du site par un webmaster pouvant déboucher sur d’autres sites administrés par la même personne. Dans notre cas, il n’y a rien.

L’étude des photos est aussi intéressante pour savoir s’il s’agit de photos de banques d’images ou des photos originales. Avec un reverse image ou en regardant le code, on peut vite se rendre compte de quoi il s’agit.

ici on peut voir que de photo (.jpg) proviennent d’un site ethnews.com et d’une banque d’images 123rf.com
En faisant un reverse image d’une autre photo, on voit qu’elle est très répandue en ligne

Enfin, il s’agit de regarder tous liens qui peuvent être tirés d’une adresse physique, d’un numéro de téléphone, d’un email pour continuer à pivoter vers de nouveaux éléments. Dans notre cas, on retrouve un email sur le nom de domaine  – et un email personnel associé à un certain Zaki Qishawi. En basculant le site en langue arabe on peut aussi obtenir l’écriture exacte: زكي قيشاوي.

La même technique peut être utilisée pour pivoter par la suite sur ces emails :

  • 1) recherche de la mention de l’email en ligne,
  • 2) utilisation de cet email sur les réseaux sociaux
  • 3) décomposer l’email en user name – ici zaky007 pour voir s’il apparaît quelque part
  • 4) chercher en anglais et dans la langue d’origine les mentions du nom complet de la personne pour rebondir sur les réseaux sociaux, les réseaux professionnels et voir si des liens peuvent être tirés.

Ici et sans rentrer dans une recherche approfondie sur cette personne, le même email est utilisé en 2012 sur un forum par un individu avec un pseudo concordant cherchant à vendre des panneaux solaires.

Premières conclusions basées sur les éléments techniques d’un site internet

A partir d’un lien entre une adresse bitcoin attribué au Hamas et un nouveau site internet, on voit bien qu’en se concentrant uniquement sur ce site internet de façon méthodologique, nous pouvons tirer des informations qui permettent de rebondir:

  • site dont le thème principal est la formation en ligne sur l’islam et qui fait référence au guide spirituel du Hamas
  • site en langue arabe et anglaise de facture moyenne
  • site hébergé sur des serveurs au Royaume-Uni
  • site dont on discute dans le contexte de la Slovaquie et la République Tchèque dans lesquels les communautés musulmanes locales sont chahutées avec un fort sentiment anti-musulman en République Tchèque et des lois controversées en Slovaquie.
  • Page Facebook du site qui est administré par deux comptes localisés au Royaume Uni
  • Un email lié à une personne et un nom qui sont mentionnés sur internet et les réseaux sociaux.

On pourrait donc imaginer que l’étape suivante serait de se concentrer sur l’email et l’identité de l’individu mentionné sur le site, ainsi que sur la mention de cette initiative dans les géographies qui apparaissent dans la conversation Reddit.

Rejoignez notre mission.

Adhérez à OpenFacto, et faites de l’OSINT un standard en France.