Samedi 11 avril 2020, 23h59. Plus qu’une minute avant le début des recherches...
Si la gamification est un concept qui touche de plus en plus de domaines, c’est peut-être ici une des meilleures applications qui en découle. Dans moins de 60 secondes s’apprêtait à se tenir la quatrième édition du CTF (Capture The Flag) organisé par Trace Labs, une organisation visant à récolter un grand nombre d’informations sur des personnes disparues par le biais d’évènements comme celui-ci.
Une quinzaines de profils sont déposés sur la plateforme dédiée, donnant les informations de bases sur les disparus : nom, prénom, âge, date de naissance, taille, poids, date à laquelle la personne a été vue pour la dernière fois, et parfois des détails concernant sa disparition, comme les personnes avec qui elle est suspectée se trouver. De là, les participants ont 6 heures (de minuit à 6h du matin en France, horaires américains obligent) pour réunir un maximum d’informations sur ces profils, toutes accessibles exclusivement en sources ouvertes. Pas de prise de contact possible avec les membres de la famille et amis ; pas de hack ; pas de récupération d’informations via des sites de médias, légaux, ou en lien direct avec la disparition de la personne (faciles à trouver et pas de valeur ajoutée).
Les données récoltées sont ensuite déposées sur la plateforme du CTF, qui permet d’attribuer des points suivant le contenu : informations sur les amis, 10 points ; informations sur la famille, 20 points ; réseaux sociaux du sujet, 50 points ; détails sur le jour de sa disparition, 500 points ; données trouvées sur le Dark Web, 1000 points, etc. .
Si la conversion « données sur une vie humaine/points » surprend de prime abord, on comprend vite que le but derrière n’est pas de prendre à la légères ces vies. Il s’agit simplement de donner une dynamique aux recherches, motivées non seulement par la volonté de contribuer à un projet utile et de grande ampleur, mais aussi de trouver un maximum d’informations en un temps limité avec la volonté de se dépasser soi-même – et les autres – où chaque nouveau point gagné s’accompagne d’une montée d’adrénaline propre aux CTFs. Qui dit performance, dit plus de données de récoltées, dit plus de chances de retrouver les sujets disparus.
C’est dans ce contexte que l’équipe d’OpenFacto a pris part à son premier CTF un dimanche matin en pleine période de confinement.
Au cours de leurs recherches, un des membres de l’équipe s’est notamment heurté à une problématique à laquelle il n’avait pas l’habitude de se confronter : une des jeunes personnes dont il étudiait le profil présentait un tatouage dans le cou. Que faire du motif inscrit sur sa peau ? Etait-il possible de faire le lien entre la disparue et une organisation quelconque ?
De l’identification des tatouages
Dans le cas étudié ici, un tatouage est visible dans le cou côté gauche du sujet. On peut observer le nombre « 112 » à l’encre noire, et ce qui pourrait apparaître comme le caractère ‘%’.
Un tatouage pour les identifier tous
Si l’identité de la personne est connue dans le cas présent, lorsque l’on ne dispose que d’informations limitées sur un individu (ex : son physique), les tatouages font parti des signes distinctifs permettant d’aiguiller, parfois de manière significative, une enquête. On peut prendre ici l’exemple cité par Katelyn Bowden, fondatrice de la Badass Army qui se donne pour mission de lutter contre le revenge porn, narrant une de ses « premières expériences d’OSINT » sur le podcast de la conférence d’OSINT et SE Layer 8.
Suite au vol de son sac à main par un homme portant un tatouage de mitrailleuse au visage, et du fait du manque de réactivité des autorités locales, elle décide de chercher par elle-même le malfaiteur. Pour ce faire, elle poste un message sur le groupe Facebook local de la ville. Toute l’astuce dans sa démarche est de ne pas avoir demandé de manière frontale si des gens connaissaient l’homme au visage tatoué. Au contraire, elle a pris le parti de simplement poster un message se lamentant des choix pathétiques de certaines personnes concernant le motif de leurs tatouages. Elle a ensuite demandé aux autres habitants si eux aussi avaient leurs propres exemples. Le commérage étant une activité particulièrement appréciée dans les petites communautés, Katelyn a rapidement reçu la réponse qu’elle attendait : une femme mentionnant le tatouage en forme de mitrailleuse sur le visage de son neveu. L’expérience décrite ici s’inscrit bien dans une démarche de récolte d’informations en source ouverte : le débat a certes été lancé par la victime du vol, mais l’agrégation de données s’est faite de manière passive, les gens postant d’eux-mêmes leurs messages sans qu’il n’y ait besoin de leur soutirer de manière active l’information.
Ce qu’il faut en retenir – outre le fait, comme le fait remarquer Katelyn, qu’un tatouage de mitrailleuse sur le visage n’est pas le meilleur moyen de rester discret – c’est que les tatouages sont clairement des signes distinctifs à prendre en compte dans une investigation. En plus de pouvoir plus facilement repérer la personne sur d’autres photos, ce détail permet, s’il est particulièrement original, d’identifier la personne – à condition de s’adresser à une communauté qui le connaît.
Des tatouages pour… en regrouper certains
C’est d’ailleurs aux communautés auxquelles nous allons nous intéresser dans cette partie. Suite aux interrogations concernant le tatouage cervical, un autre membre de l’équipe a rapidement aiguillé vers une page de l’ADL, Anti-Defamation League. Spécialisée dans les symboles utilisés par les suprémacistes blancs et autres hate groups, cette base de données regroupe ces symboles par catégorie (slogans, nombres, symboles neo-nazis, etc.), accompagnant parfois ces informations de photos illustratives. Constituée sous la forme d’un site disposant de filtres, cette page est particulièrement pratique pour la recherche de symboles très utilisés par ces groupes. A cela peut s’ajouter d’autres ressources, moins pratiques à utiliser car sous format PDF, mais qui ont le mérite de compléter la liste proposée par ADL. Le site de Public Intelligence met ainsi à disposition des documents publiés par diverses autorités américaines (et canadienne), certains portant sur les listes de tatouages surveillés par ces autorités. On trouve notamment :
- un guide sur les tatouages utilisés par les gangs latinos ;
- un autre sur la signification des tatouages ;
- une fiche visant à identifier l’appartenance à des mafias mexicaines ;
- une fiche sur les tatouages des criminels russes.
Il est important toutefois de bien garder à l’esprit que ce genre de tatouage n’indique pas nécessairement l’appartenance d’une personne à un groupe quelconque à l’instant présent (cf. article de l’EFF, Electronic Frontier Foundation, au sujet de l’utilisation des tatouages en vue de l’identification d’un individu et de ses croyances/attachement à une organisation).
On notera au passage que si la culture populaire aurait tendance à associer les tatouages aux bandes criminelles organisées japonaises, les yakuzas, le port de tatouages n’a pas la même symbolique que dans des pays comme les États-Unis, le Mexique, etc.. Traditionnellement, les yakuzas n’ont pas de « tatouages de gangs » à proprement parler, il s’agit plus de la transcription d’expériences de vie à même la peau, comme l’explique un tatoueur interviewé par la BBC. L’article donne l’exemple d’un de ses contacts qui, ayant rencontré un certain nombre de difficultés dans sa jeunesse, a reçu un tatouage de carpe koï remontant le courant, témoignant de sa volonté et sa force à surmonter l’adversité. Ainsi, si les yakuzas avaient pour usage de se rencontrer dans les bains publics, ce n’était pas seulement pour s’assurer qu’aucun ne portait une arme sur lui – difficile de cacher une arme lorsqu’on ne porte pas de vêtements. Cela permettait également aux autres membres de voir les tatouages de chacun afin de se faire une idée de la personne qu’ils avaient face à eux. En bref : si les tatouages sur le sujet étudié vous donnent le sentiment qu’ils sont liés aux yakuzas, il s’agit de chercher la signification qui en découle plus que l’attachement à un gang particulier.
Retour sur le cas étudié
Via le site ADL, on peut voir que la chaîne de caractères « 112% » est affiliée à un motif suprémaciste blanc. Le « 100% » signifierait alors « 100% blanc », et le 12 correspondrait aux lettres « AB » comme « Aryan Brotherhood« . Cet élément a été soumis et accepté par les juges Trace Labs.
Retour d’expérience et conclusion
6h de recherches et quelques cannettes de boisson énergisante plus tard, l’équipe terminait 42ème sur 174 équipes, avec 56 soumissions de données.
Des enseignements les plus généraux que nos investigateurs ont pu tirer de cette expérience, il y a tout d’abord l’apprentissage de la gestion du bruit. En effet, si trouver des informations lorsque le sujet semble ne pas avoir de présence sur les réseaux sociaux s’avère ardue, évoluer dans un brouhaha de données l’est tout autant. Dans le cadre du CTF où les analyses portaient sur des personnes disparues, plusieurs profils nécessitaient en premier lieu de faire la part entre les comptes associés à la *disparition de la personne* et les comptes associés à la personne *elle-même*. A défaut de proposer une méthode pour écarter automatiquement ces comptes des recherches, l’équipe recommande de garder à l’esprit que certains comptes seront créés spécifiquement pour chercher la personne disparue. Si les commentaires sur ces comptes peuvent être regardés, une grande majorité ne sera que des expressions de compassion plus que des éléments utiles pour avancer dans l’enquête.
L’autre leçon à retenir s’est dévoilée en fin de parcours, quand la fatigue commençait à se faire sentir…
– J’ai trouvé ! J’ai trouvé son profil Linkedin, s’écria l’un des membres.
– Sérieux ? Bien joué, j’ai pas du tout eu le réflexe de chercher. En même temps, pour une jeune de 16 ans…
– Comment ça 16 ans ? Non, non, vu sa tête, elle a la trentaine bien tassée.
– Ah ? Pourtant sur sa fiche c’est noté 16 ans…
Même nom, même prénom, les deux photos représentant une femme typée hispanique… mais pas la même personne.
Le biais de confirmation, qui consiste à privilégier les informations qui nous confortent dans nos hypothèses, a été expérimenté par l’équipe ce soir-là. Rien de critique, puisque la confrontation des avis a permis de se dégager rapidement de ce biais cognitif. Il s’agit donc ici de se souvenir de l’importance de prendre du recul par rapport à ses recherches, soit en *adoptant* soi-même un autre point de vue, soit en *demandant* à une tierce personne son point de vue.
Enfin, concernant le CTF à proprement parler, les retours d’expériences principaux sont les suivants :
- il semblerait que la réponse de base en cas de refus d’une donnée par les juges soit « manque de contexte« . L’équipe a interprété ce message comme étant signe que l’information n’était pas intéressante en soit, et pas nécessairement comme un élément à prendre au pied de la lettre – qui impliquerait la « recherche de plus de contexte » pour l’information considérée ;
- bien penser à préparer son matériel avant le CTF, ce qui inclut notamment :
- création de comptes dédiés (mails, Linkedin, Twitter, Facebook, TikTok, etc.) ;
- environnement de travail dédié (VM, navigateur nettoyé des 1500 onglets ouverts en permanence le reste du temps, etc.) ;
- outils et plugins fonctionnels sur l’environnement de travail ;
- avoir sous la main des sites spécifiques aux US (@technisette propose sur sa page start-me un certain nombre de bases de données et moteurs de recherches dédiés à chaque pays) ;
- bien communiquer avec le reste de l’équipe, et ne pas hésiter à être à deux sur un même sujet, afin de permettre un « jeu de ping-pong d’informations » ;
- suivant ce à quoi l’investigateur carbure : prévoir plus de Guinness au frais, mais moins de boisson énergisante;
- si le sujet reste moralement lourd (recherche de personnes disparues), l’aspect ludique choisi par Trace Labs permet de mettre cet aspect de côté pour se dédier entièrement aux recherches. L’expérience est enrichissante, et permet même aux novices de s’entraîner sur des cas réels, allant un peu plus loin dans leur formation OSINT. On peut mentionner à ce titre, moins « gamifié » mais également accessible à tous, la plateforme d’Europol « Stop child abuse – Trace an object », qui propose de chercher des informations sur des objets (vêtements, détails de décors) afin d’aider à faire avancer les enquêtes visant à retrouver à la fois les enfants abusés mais aussi les criminels.
Dimanche 12 avril, 6h01. Les membres de l’équipes se déconnectèrent un à un en vue d’aller trouver le repos après ces quelques heures de recherches intensives. Fatigués mais satisfaits de cette expérience, ils étaient unanimes quant à un objectif : participer au prochain CTF de Trace Labs, en vue de récolter encore plus d’informations et contribuer à l’effort collectif – et international – investi dans ces campagnes de recherches.
Merci à Mélanie d’avoir pointé à l’auteure le site de Public Intelligence qui s’est avéré bien utile pour la rédaction de cet article.