Quand l’un des membres d’OpenFacto a annoncé sur Slack qu’un nouveau CTF (Capture The Flag) Trace Labs allait avoir lieu le 11 juillet, quelques mains se sont levées pour participer. Quand il a annoncé que cette fois-ci il aurait lieu de 17h à 23h, donc pas de minuit à 6h comme lors de la précédente édition, c’est une avalanche de membres qui a manifesté son intérêt ! (ou en tout cas assez pour constituer deux équipes de quatre, l’auteur étant simplement friand de formules grandiloquentes).
Vous n’avez jamais entendu parler de ces évènements organisés en vue de retrouver des personnes disparues ? Envie d’avoir un peu plus de détails ? Nous vous invitons à lire notre premier retour d’expérience écrit suite à notre précédente participation.
Aujourd’hui, pas d’article visant à approfondir un point de connaissance, comme avec le premier article qui s’intéressait à la question de l’analyse des tatouages.
L’idée est plutôt de faire le point sur notre organisation, ce qui a marché, ce qui a moins marché, et des axes d’amélioration possibles pour le futur.
Si vous avez des avis à partager sur ce qui suit, n’hésitez pas à nous répondre ici en commentaire ou via Twitter. Et si nous oublions de mentionner des éléments qui vous semblent importants, faites-nous signe et nous mettrons à jour l’article avec ces derniers.
Organisation
Pour cette édition, huit membres d’OpenFacto étaient motivés pour participer, nous avons donc fait deux équipes :
- OpenFacto (obviously), comptant à son bord Capteurso, Hervé, Sébastien et ştəf// – fini 26ème sur 190 équipes ;
- The French Flair by OF, composée notamment de L003, 0skAr et Roman – fini 23ème.
Ensuite, pour répartir les gens entre les deux équipes, nous avons fait passer des tests d’aptitude à l’OSINT, évalué les CVs de chacun(e), et… non pas du tout, nous avons pris le premier (littéralement) site de répartition aléatoire en équipe sur Google, et défini les équipes à partir de là. Il s’est avéré que les teams ainsi formées ont bien fonctionné ; à voir pour la prochaine édition si nous essayons de déployer une réelle stratégie quant à ce sujet – nous y reviendrons plus tard.
Pour la communication écrite, nous avons privilégié Slack, qui permet de faire un thread par profil, afin de ne pas mélanger toutes les informations. Le canal vocal était assuré par Jitsi.
Il était envisagé d’utiliser framamind afin de faciliter la visualisation des profils et informations récoltées. Finalement, le fait de ne pas forcément changer souvent de cas d’analyse a fait que les threads Slack étaient suffisants.
A noter toutefois que TraceLabs recommande dans son guide de ne pas passer plus d’une heure sur un cas où l’on ne trouverait aucune information, et conseille également l’utilisation de cartes mentales (cf. p.15-16).
Cette édition proposait l’analyse de huit cas, chaque membre d’une équipe était donc en charge de deux profils a minima, avec possibilité de passer sur d’autres en cas d’impasse.
Quelques points à retenir pour les prochaines éditions
Ci-dessous une liste de points en vrac, sans classement suivant l’importance du contenu, mais qu’il nous semble pertinent d’avoir en tête pour les prochaines fois :
- Si aucun flag n’est validé ni rejeté au bout d’une heure, ne pas hésiter à pinger l’équipe TraceLabs sur Slack, par exemple AK47Intel. Et même, mieux : vérifier à l’avance que l’équipe s’est bien vue assigner un juge (un fichier csv est fourni dans le channel du CTF afin de connaître le nom du juge qui s’occupe de l’équipe).
- La recherche de profils snapchat via snapdex.com ne renvoie pas forcément de résultats pertinents.
- Les copies d’écrans Android ne servent à rien si la preuve ne peut être rattachée à une URL (l’URL snapcode ne suffit pas).
- Prendre le temps de faire une première passe, pour les profils US, sur des sites de recherches US (ex : spytox.com, thatsthem.com, etc.). MAIS bien prendre avec des pincettes ce que renvoient ces sites. Idéalement effectuer quelques vérifications derrière, avant de soumettre le flag.
- Prendre le temps aussi de faire une première passe sur les informations basiques (ex : dates de naissance) qui, si elles ne rapportent que peu de points, une fois accumulés en fournissent finalement un nombre conséquent.
- Prendre le temps – si réalisable – de lire les posts sur les réseaux sociaux de la personne disparue (notamment pour connaître ses hobbies). A minima aux alentours de la date de sa disparition. Se pencher aussi sur les commentaires et tags de personnes proches permettant (potentiellement) de récupérer d’autres profils de la cible, ainsi que leur nouveau compagnon/nouvelle histoire, qui les renvoient à leur profil actuel.
- A ce sujet, Twint se révèle bien pratique pour ne récupérer que les tweets postés au moment de la disparition de la personne (notamment profils Twitter de ses amis).
- La question de savoir comment déterminer si un numéro de téléphone US est assigné à un fixe ou un mobile s’est posée pendant l’évènement. A tête reposée, nous pouvons maintenant dire qu’il aurait pu être intéressant de passer par des services tels que TrueCaller ou OpenCnam, FreeCarrierLookup ou encore HLR Lookup déjà mentionné il y a quelques temps sur le discord d’OSINT-FR – mais aucune garantie quant à l’identification mobile/fixe.
- Faire la liste d’un ensemble de sélecteurs (adresses mails, numéros de téléphones, création d’adresses mails et pseudos à partir du nom+prénom, etc.). Puis les vérifier sur autant de plateformes que possible (via whatsmyname ou instantusername), et lister le tout dans un document collaboratif. Envisager ensuite de désigner une à deux personnes afin d’approfondir ces données et réaliser une investigation latérale (recherche massive de sélecteurs et de sources potentielles) de l’investigation transversale (approfondissement d’un profil, ses commentaires, etc.).
- Préparer des outils et moteurs pour le darkweb en amont et y passer au crible tous les sélecteurs (identité, email, username, etc.). Envisager de préparer une base de leaks avant l’évènement.
- Préparer également un ensemble de services de « reconnaissance faciale » : Yandex, Bing, Tineye, etc..
- Dans l’ensemble, nous avons réalisé beaucoup de recherches manuelles. A voir donc si et comment il serait possible d’en automatiser une partie.
- Voir pour passer moins de temps sur certains profils. 6h, c’est à la fois très peu et très long, mais il s’agirait de réfléchir si passer 4 à 5h sur le même profil – ce qui a été le cas pour un ou deux membres – est vraiment un choix efficace.
- Autre point à voir plus tard : envisager peut-être un rôle/spécialité par personne/compétence.
- un/e « forgeron » qui récupère, par OSINT ou recréation, tous les sélecteurs, qu’il met à disposition ;
- un/e ou deux enquêteurs qui approfondissent les profils et les subtilités historiques et comportementales ;
- un/e spécial deepweb/darkweb.
L’autre possibilité consistant à d’abord se concentrer sur un ou deux profils, puis passer à une revue de tous les profils en ne s’intéressant qu’à un des aspects mentionnés ci-dessus.
Conclusion
Ce qui est pas mal ressorti de nos discussions post-CTF, c’est la frustration de ne pas trouver des informations particulièrement remarquables sur chaque profil. Est-ce que cela vaut vraiment le coup de passer 6h sur le cas de deux à trois personnes disparues, pour ne ressortir finalement que des éléments facilement retrouvables : numéro de téléphone posté sur instagram, liens vers les différents profils sur les réseaux sociaux, etc. ?
A cette question que bon nombre se posent, Trace Labs réponds oui, cela vaut la peine : « We may not always find relevant or useful information to pass along to Law Enforcement (LE). But what we did accomplish was showing Law Enforcement that they truly have exhausted every lead and that they did their jobs well and to the best of their abilities. To them, that’s extremely valuable and it puts their minds at ease. »
Chaque information, aussi minime qu’elle soit à vos yeux, doit être remontée : marque du téléphone de la personne (information intéressante pour les forces de l’ordre), goût prononcé pour le dessin, l’alcool, les Mr Freeze, etc.. Tout peut avoir son importance, pour peu que les personnes en charge de l’enquête n’y ait pas prêté attention. Et si c’est déjà le cas, cela les rassurera néanmoins quant au fait qu’elles ont cherché autant que possible.
En outre Trace Labs insiste sur le fait qu’il ne faut pas oublier les deux buts principaux de ces évènements :
- trouver des informations sur des personnes disparues ;
- améliorer nos compétences en OSINT – car oui, cela compte aussi.
Vous avez, vous aussi, été frustré par les données obtenues après de longues heures de recherches ? Hauts les cœurs, cela fait partie de l’apprentissage ! Et si vous n’avez pas l’impression d’être devenu une rock star de l’OSINT en 6h, vous avez néanmoins mis en pratique des connaissances déjà acquises – vous n’en deviendrez que plus efficace – voire appris de nouvelles techniques – on ne peut espérer mieux – et participé à un effort positif international. Donc rien de tout cela n’est perdu.
Un autre point qui nous a été remonté, c’est qu’il était encore plus sympa de réaliser ce genre d’évènements dans un même lieu avec le reste de l’équipe. Ainsi, à titre informatif, OpenFacto commence à réfléchir à comment réunir, une fois par an, l’ensemble de ses membres participant au CTF dans un espace commun, afin que les coéquipiers puissent interagir ensemble de vive voix, et que les différentes teams puissent ensuite échanger sur les cas abordés une fois le CTF fini.
Intéressé ? Faites-le-nous savoir sur Twitter ou notre Slack !
Un grand bravo à toutes les équipes !