Violations of the arms embargo in Libya – Methodological Guide

Violations of the arms embargo in Libya – Methodological Guide

A vessel at large of the Libyan coast – Source : flickr

Open source research can help document Turkey’s multiple violations of the Libyan arms embargo.

OpenFacto has been following the conflict in Libya for several months, monitoring open source information and databases. We have specifically focused on the military support provided by several international actors to local armed factions, which is contrary to the resolution passed by the UN Security Council in 2011. This guide focuses on Turkey and its multiple violations of the arms embargo in Libya. Through six case studies, we will show how open sources can be used to identify and document Turkey’s failure to comply with the Security Council resolution, ultimately contributing and aggravating the conflict. In this article we show the methodology for:

  • Identification of ships and planes used for arms deliveries through cross-checking of reports, social networks and the study of traffic to Libyan ports from Turkey and airports.
  • Identification of arms delivery networks or mercenaries linked to arms shipping, terrorist groups and business interests
  • Identification of the Turkish industrials who manufactured the weapons.
  • Identification of the GNA as recipients of the arms (supported by Turkey in the conflict)

Using these methods, we have identified multiple examples that taken together point to a state strategy of concerted support to the Libyan conflict.


Other upcoming examples

Click on the links inserted in the images to discover the different investigations.


Through these six cases, this guide proposes below a methodology for monitoring and documenting violations of arms embargoes using open-sources.

A methodology for open source monitoring of arms embargoes

The arms embargo regime is a restriction and/or a series of sanctions that apply to arms in the broadest sense but also to so-called « dual-use » technologies (understood to mean both civilian and military). Arms embargoes can have a political, military objective and be a peacekeeping mechanism. It is important to understand what the arms embargo covers in the selected case study of Libya.
In Libya, the arms embargo regime prohibits the sale or supply of « arms and related materiel of all types: arms and ammunition, military vehicles and equipment, paramilitary equipment and matching spare parts, and prohibits the export by Libya of all arms and related materiel » according to Security Council resolution 1970 (2011) of the Libya Committee.
When seeking to identify violations of the embargo by a State actor or otherwise, the main challenge is identifying and establishing the complex system of transactions, purchasing and delivery channels, that are in essence as secretive as possible. In order to be efficient and to try to direct your monitoring and research effectively, we propose a focus on three nodes: the actors involved, the equipment and the delivery circuit.

Detecting embargoes

  • The implementation of an arms embargo or sanctions is decided by the UN Security Council or other state actors such as the European Union. The Stockholm International Peace Research Institute lists them and refers to the official documents instituting the implementation of embargoes.
  • The UN Security Council establishes an embargo monitoring committee by resolution. This committee, made up of a panel of experts, regularly produces very informative reports on the conditions of compliance or violations of the embargo. These reports are a veritable mine of information that focus precisely on the entities or logistical means that make up the circumvention circuit.

Actors involved

  • A good understanding of the conflict in an embargoed country makes it possible to map the local forces involved, and their known or potential international allies. It is important to understand from which international actor factions will seek support in order to identify the potential supplier/buyer relationship that can be established. It’s time to set up your tweetdeck with lists to keep track of news and subject-matter experts on your topic of interest.
  • To witness the material used by the local armed group, social networks are your best friends! Photos or videos of material that has arrived at its destination can be collected via postings by an armed group’s communication organs, or through the social media accounts of members. These can provide proof of the material’s journey from one point to another:
    • follow the pages of the various factions’ media outlets on social networks: Facebook, Telegram, Instagram…
    • follow the pages of social networks dedicated to armed groups or warlords.
    • follow local newspapers that support different factions online to retrieve the images

Equipments

  • SIPRI provides several databases that give an idea of the volumes of arms exported by certain countries. In the case of clandestine activity such as the violation of an embargo, the figures will not necessarily be there, but some indications may attract attention.
  • Specialised maritime information sites regularly post news about maritime seizures of illegal goods or arms: the ports and names of ships are mentioned.
  • Some organizations specializing in arms trafficking research publish guides to identifying some weapons: Small Arms Survey, Conflict Armement Research and iTrace portal.
  • Some tweeters always ready to help: @CalibreObscura, @ArmoryBazaar, @AbraxasSpa, @Silah_Report, etc…
  • Via the videos and images posted online: identify the material but also the quantities where possible.

Delivery routes

  • Circumvention of embargoes is carried out by logistics companies that care little for UN Council resolutions, often by falsifying export documents. It is therefore necessary to identify the ships or aircraft by which the arms are transported and the companies involved.
  • The study of the movements of ships and aircraft, as well as of the country’s embargoed ports, makes it possible to identify the means of transport used to carry the weapons. The basic tools are:
    Marine Traffic, Vessels Finder
    Flight radar
    Equasis an interesting ship-related database which makes it possible to identify ownership.
  • Once in possession of the company’s name, it is necessary to search corporate registration databases and to check the company’s reputation: presence on lists, jurisdictions, other vessels or aircraft conducting questionable deliveries, affiliations of directors.
    OCCRP large database
    OpenCorporate, tvery interesting for companies in Panama…
    ICIJ leaks-based database
  • Websites like Panjiva or 52wmb.com may sometimes show the company sending or receiving shipment on behalf of the sender or the final recipient (as a consignee): this sometimes makes it possible to identify an intermediary in the armament supply network and identify volumes.

Finally, it is necessary to cross-check and compile all the findings to see the recurrence of this type of over a certain period of time.

Additionnal ressources to go further on the other side of the Libyan conflict

Violations of the arms embargo in Libya – Methodological Guide

Violations de l’embargo sur les armes en Libye – Guide méthodologique

Visite d’un navire au large des côtes libyennes. – Source : flickr

La recherche en sources ouvertes permet de documenter les violations multiples de la Turquie de l’embargo sur les armes en Libye

OpenFacto a suivi sur plusieurs mois, au travers de sa veille en sources ouvertes, le conflit en Libye, et notamment le soutien militaire de plusieurs acteurs internationaux aux factions armées locales, contraire a l’embargo sur les armes imposé par le Conseil de Sécurité de l’ONU en 2011. Ce guide s’intéresse particulièrement à la Turquie et à ses multiples violations de l’embargo sur les armes en Libye. Au travers de six études de cas, nous verrons comment l’utilisation des sources ouvertes s’avère très utile pour documenter les manquements de la Turquie a la résolution du Conseil de Sécurité concourant ainsi à l’aggravation et l’influence du conflit :

  • Identification des navires ayant servi a la livraison d’armes grâce au recoupement de rapports, des réseaux sociaux et de l’étude du trafic aux ports libyens en provenance de Turquie.
  • Identification des réseaux de livraisons des armes ou des mercenaires liés à des transporteurs d’armes, des groupes terroristes ou businessmen peu scrupuleux.
  • Identification des industriels turcs qui ont fabriqué les armes
  • Identification des factions du Gouvernement d’Entente Nationale destinataires des armes que la Turquie soutient dans le conflit.
  • Multiplicité des cas d’études qui démontre une stratégie étatique de soutien au conflit Libyen.

D’autres exemples à venir…


Cliquez sur les liens sur les images pour découvrir les différentes investigations.


Au travers de ces six cas, ce guide propose ci-dessous une méthodologie pour assurer le suivi et la documentation les violations des embargos sur les armes en sources ouvertes.

Une méthodologie de suivie en sources ouvertes des embargos sur les armes


Le régime d’embargo sur les armes est une restriction et/ou une série de sanctions qui s’appliquent aux armements au sens large mais aussi aux technologies dites « à double-usage » (entendre civile et militaire). Il peut avoir un objectif politique, militaire et être un mécanisme de maintien de la paix. Il convient de bien comprendre ce qu’il couvre dans le cas d’étude choisi.
Dans le cas de la Libye, le régime d’embargo sur les armes interdit la vente ou la fourniture “d’armements et de matériel connexe de tous types : armes et munitions, véhicules et matériels militaires, équipements paramilitaires et pièces détachées correspondantes et interdire l’exportation par la Libye de tous armements et matériel connexe” d’après la résolution 1970 (2011) du Comite Libye du Conseil de sécurité.
Le défi, dans la recherche d’ une violation d’un embargo par un acteur étatique, réside dans la mise en place d’un système de transactions, d’un circuit d’achat et de livraison complexe qui est par essence le plus occulte possible. Pour être efficace et essayer d’orienter sa veille et sa recherche efficacement, nous vous proposons de nous concentrer sur trois nœuds : les acteurs en présence, les équipements et le circuit de livraison.

Détecter les embargos

  • La mise en place d’un embargo ou de sanctions sur les armes est décidée par le Conseil de Sécurité de l’ONU ou d’autres acteurs étatiques comme l’Union Européenne. Le Stockholm International Peace Research Institute en fait la liste et renvoie au texte instituant la mise en place des embargos.
  • Le Conseil de Sécurité de l’ONU met en place un comité de surveillance pour le respect de l’embargo par résolution. Ce comité, composé d’un panel d’experts, produit de façon régulière des rapports très riches en informations sur les conditions du respect ou des violations de l’embargo. Ces rapports sont une vraie mine d’informations pour pivoter précisément sur les entités ou les moyens logistiques qui forment le circuit de contournement.

Les acteurs en présence

  • La bonne compréhension du conflit dans le pays sous embargo permet d’établir une cartographie des forces locales en présence. Il est important de comprendre auprès de quel acteur international, telle ou telle faction va chercher du soutien afin d’identifier la relation potentielle fournisseur/acheteur qui peut s’établir. Il est l’heure de mettre en place votre tweetdeck avec des listes pour suivre l’actu et les personnes qui font autorité sur votre sujet d’intérêt.
  • Pour constater l’utilisation du matériel par le groupe arme local, les réseaux sociaux sont vos amis! Récolter des photos ou des vidéos du matériel arrivé à destination via la publication en ligne par l’organe de communication du groupe armé ou par les comptes de ses membres constitue autant de preuves du voyage du matériel d’un point à un autre :
    • suivre les pages des organes de communication des différentes factions sur les réseaux sociaux: Facebook, Telegram, Instagram…
    • suivre les pages des réseaux sociaux dédiés aux groupes armés ou chefs de guerre
    • suivre des journaux locaux partisans des différentes factions en ligne pour récupérer les images

Les équipements

  • SIPRI offre plusieurs bases de données qui donnent une idée des volumes d’armes exportées par certains pays. Dans le cas d’une activité clandestine comme la violation d’un embargo les chiffres n’y seront pas forcement mais quelques indications peuvent attirer l’attention.
  • Les sites d’informations spécialisés sur le secteur maritime mettent régulièrement en ligne des nouvelles concernant les saisies maritimes de biens illégaux ou d’armes : les ports et les noms des navires y sont mentionnés.
  • Certaines organisations spécialisées sur la recherche du trafic d’armes mettent en ligne des guides d’identification d’un certains nombres d’armements: Small Arms Survey, Conflict Armement Research et le portail iTrace
  • Un groupe de twittos en ligne toujours prêts a aider: @CalibreObscura, @ArmoryBazaar, @AbraxasSpa, @Silah_Report, etc…
  • Via les vidéos et images mises en ligne: identifier le matériel mais aussi les quantités quand c’est possible.

Le circuit de livraison

  • Le contournement des embargos s’effectue via des sociétés spécialisées dans la logistique peu regardantes sur les résolutions du Conseil de l’ONU et/ou par la falsification des documents d’exportation. Il convient donc d’identifier les navires ou les avions par lesquels l’armement est acheminé et les sociétés impliquées.
  • L’étude des mouvements des navires et des avions, ainsi que des ports du pays sous embargo permet d’identifier les moyens de transport utilises pour transporter les armes. Les outils de base sont:
    Marine Traffic, Vessels Finder
    Flight radar
    Equasis qui est une base de données intéressante liées aux navires et qui permet d’identifier leurs armateurs et propriétaires.
  • Une fois en possession du nom de la société, il convient de faire des recherches dans les bases de données d’enregistrement des sociétés, et de vérifier l’honorabilité de la société: reptation, présence sur des listes, juridictions, autres bateaux, avions dans des livraisons douteuses, affiliations des dirigeants.
    • La grande base de données de l’OCCRP
    OpenCorporate, très intéressante pour les sociétés au Panama notamment…
    • La base de données de leaks de l’ICIJ
  • Des sites comme Panjiva ou 52wmb.com peuvent parfois laisser apparaître la société qui envoie ou reçoit la livraison au nom de l’expéditeur ou du destinataire final (le consignee) : cela permet parfois d’identifier un intermédiaire dans le réseau de fourniture de l’armement, d’identifier des volumes.
    Enfin, il s’agit de recouper et de compiler pour voir la récurrence de ce type de contournement sur un certain temps.

Quelques ressources pour aller plus loin sur le conflit en Libye

Syrie : Les barrages qui révèlent l’intérêt stratégique de l’autoroute M4

Syrie : Les barrages qui révèlent l’intérêt stratégique de l’autoroute M4

Thomas Eydoux et Elie Guckert, journalistes, livrent pour OpenFacto une analyse de l’intérêt stratégique d’une autoroute syrienne, à l’aide de techniques de géolocalisation.

Patrouille conjointe russo-turque le 15 mars sur la M4 entre Saraqeb et al-Nerab. Source : Millî Savunma Bakanlığı

L’autoroute M4 est devenue au cours des dernières années du conflit syrien un axe de plus en plus crucial. Longeant la frontière turque pour relier les villes de Lattaquié et Saraqeb dans le gouvernorat d’Idlib, elle est également connectée à la M5 et rejoint Alep avant d’atteindre la frontière Irakienne. Longue de près de 120 km au total, cette route a été le théâtre de nombreux incidents impliquant tous les belligérants. L’apparition de barrages à la mi-mars dans la région d’Idlib est venue une fois de plus mettre en lumière l’importance stratégique de cette route.

Carte de l’autoroute M4 (Source : Wikipedia)

Après plusieurs jours de violents combats début mars entre l’armée turque et le régime dans la région d’Idlib – où Ankara a perdu des dizaines d’hommes tout en infligeant de très lourdes pertes à l’armée syrienne – la Russie a finalement conclu un accord de cessez-le-feu avec la Turquie, le 5 mars, avec la mise en place de patrouilles conjointes sur la M4. De telles patrouilles avaient déjà été organisées à l’est sur ce même axe entre les États-Unis et la Turquie dès 2017 quand cette dernière a attaqué les forces kurdes du YPG, à la tête des Forces démocratiques syriennes qui ont mis fin au califat de l’État Islamique avec le soutien de la coalition occidentale. Au cours de l’offensive « Source de paix » fin 2019, cette route avait aussi été le théâtre d’exécutions sommaires imputées à des groupes rebelles soutenus par la Turquie.Le régime et la Russie patrouillant également sur cette route, elle est rapidement devenue encombrée par diverses factions aux intérêts opposés, et dont l’inévitable chevauchement a conduit à plusieurs accrochages. À la mi-février, les forces américaines se sont par exemple retrouvées prises pour cibles par des combattants syriens sous l’œil bienveillant d’une patrouille russe, près de Qamichli, à l’Est.

Vidéo Newsy + Bellingcat, sous-titrage français par Syrie Factuel

Pour le régime syrien, l’autoroute M4 constitue l’un des derniers grands axes de transport qui reste en dehors de son contrôle total. Elle traverse la province d’Idlib, dernière région aux mains des rebelles que le régime tente de reprendre depuis des mois au prix d’immenses pertes civiles.

Des barrages sur la M4

Signe de l’importance stratégique de la M4, l’accord russo-turc entré en vigueur le 5 mars prévoit, en plus des patrouilles conjointes, la mise en place d’un «couloir de sécurité» de six kilomètres de profondeur de chaque côté de l’autoroute, soit une zone tampon large de 12 kilomètres au total. Mais ce plan a été enrayé dès le début de sa mise en application. Selon l’AFP, un barrage a été réalisé en pleine nuit au milieu de la M4, «un jour à peine après que la Turquie et la Russie ont lancé une patrouille conjointe le long de l’autoroute».

Toujours selon l’AFP, ce barrage aurait été construit juste à côté d’al-Nerab, une localité qui se trouve à quelques kilomètres seulement de la ville de Saraqeb, carrefour stratégique entre Alep, Damas et Lattaquié. Saraqeb a fait l’objet de violents combats entre l’armée syrienne et les rebelles soutenus par la Turquie en février, avant que le régime ne s’en empare définitivement début mars.

Sur la vidéo de l’AFP, on peut repérer des éléments particuliers qui permettent de localiser précisément le lieu où se trouvait le barrage : on aperçoit ainsi un muret, à gauche de la route, et un ensemble de bâtiments, à droite. On remarque aussi un petit chemin de terre qui rejoint le barrage, à droite. On peut donc géolocaliser ce barrage sur la M4, à cet endroit, non loin d’al-Nerab.

Le muret, en rouge ; l’ensemble de bâtiments, en jaune ; et le chemin de terre, en vert.
Source : AFP
Le muret, en rouge ; l’ensemble de bâtiments, en jaune ; et le chemin de terre, en vert. Source : GoogleMaps
Position du barrage par rapport à al-Nerab. Source : GoogleMaps

Or, selon le média pro-Kremlin Sputnik, la première patrouille russo-turque « est partie de la localité de Trumba à deux kilomètres à l’ouest de Saraqeb le long de la route M4 qui relie les villes d’Alep et de Lattaquié. » Trumba se trouve ici, à un peu plus de 7 km au sud-est d’al-Nerab.

Des photos diffusées par le ministère de la Défense turc ainsi qu’une vidéo partagée par le média pro-russe Sputnik permettent de localiser la première patrouille russo-turque en train de se déplacer non-loin de ce barrage, le 15 mars. On distingue ainsi deux grandes roues au bord de la route, ainsi qu’une rangée de pylônes électriques de l’autre côté de la route. Ces éléments nous permettent de géolocaliser l’endroit précis où est passé la patrouille russo-turque du 15 mars, ici, où le convoi semble faire demi-tour.

En rouge, les deux grandes roues ; En jaune, les pylônes électriques. Source : Millî Savunma Bakanlığı
En rouge, les deux grandes roues ; En jaune, les pylônes électriques. Source : Sputnik
En rouge, les deux grandes roues, en jaune, les pylônes électriques – Source : GoogleMaps

Ce mini-parc d’attractions se trouve à moins d’une dizaine de kilomètres du barrage que nous avons localisé ci-dessus. En partant du principe que la patrouille est bien partie depuis Trumba, on peut donc retracer grossièrement l’itinéraire présumé de la patrouille par rapport au barrage : jonction avec la M4 au nord de Trumba, puis départ vers al-Nerab à l’ouest avant de finalement faire demi-tour à hauteur du parc, pour repartir en direction de l’est.

En rouge, la position des deux grandes roues où la patrouille fait demi-tour pour repartir en direction de l’est ; à gauche, au bout de la ligne bleue,, la position du barrage. Source : GoogleMaps

Impossible d’établir sur la seule base des vidéos et des photos si cette patrouille a effectivement renoncé à continuer son chemin vers al-Nerab en raison d’éventuels barrages. On sait en revanche que le ministère russe de la Défense a annoncé le même jour que «Le trajet de la patrouille conjointe a été réduit à cause des provocations prévues par des groupes radicaux échappant au contrôle de la Turquie.» 

Un accord contesté par les rebelles

Le 16 mars, la chaîne d’information al-Jazeera a publié un reportage au sujet d’une manifestation d’opposants au régime syrien, avec la fabrication d’un barrage bloquant l’accès aux patrouilles sur la M4. Grâce à des éléments particuliers observables dans le reportage, dans la vidéo de l’AFP (qui mentionne aussi ce deuxième barrage) et des images postées sur les réseaux sociaux, nous sommes en mesure de géolocaliser l’endroit exact où a eu lieu cette manifestation. On aperçoit un panneau publicitaire à l’entrée du village, à côté d’un muret longeant la route et derrière lequel se trouvent des bâtiments caractéristiques, ainsi que deux châteaux-d’eau en arrière plan. Ce qui permet d’affirmer que la manifestation s’est également déroulée à al-Nerab, à cet endroit, à un peu plus de 3 kilomètres du premier barrage identifié plus haut.

En rouge, le panneau publicitaire, en bleu, les châteaux-d’eau. Source : al-Jazeera
En vert, un bout du village ; en rouge, le panneau, en jaune, le muret, en bleu, les châteaux-d’eau et enfin en noir, le chemin de terre. Source : GoogleMaps
En jaune, le muret longeant la route, en bleu les châteaux-d’eau, en noir, un chemin de terre rejoignant le barrage. – Source : AFP
En rouge, le panneau publicitaire, en jaune, le muret longeant la route, en vert, un bout du village – Source : Twitter

Deux manifestants interviewés dans le reportage d’al-Jazeera expliquent pourquoi ces barrages ont été construits : « Nous n’ouvriront pas la route à moins que les forces d’Assad et les milices russes ne se retirent », affirme le premier. « Nous n’avons rien à faire de cet accord. Nous ne permettrons pas aux Russes de venir ici, ils doivent partir de notre pays ! », proteste le deuxième. Pour les opposants au régime de Damas, l’arrivée des Russes, même dans des patrouilles conjointes avec les Turcs qui soutiennent la rébellion, n’est évidemment pas une bonne nouvelle. D’autant que la mise en place d’une zone tampon s’étendant à 6 km au nord et au sud de la M4 donnera de fait au principal allié de Bachar al-Assad une forme de contrôle sur une large partie du territoire qui échappe encore aux forces du régime, et qui se retrouvera en quelque sorte coupé en deux. En outre, le village d’al-Nerab, actuellement en territoire rebelle, se retrouverait justement à l’intérieur de cette zone tampon.

En vert, le territoire sous contrôle rebelle avec al-Nerab (Nayrab), en rouge, le territoire sous contrôle du régime et de son allié russe, avec Saraqeb (Saraqib). Source Liveuamap

En conséquence, la Russie avait annoncé le 15 mars avoir accordé du temps à la Turquie «pour prendre des mesures appropriées en vue de neutraliser les terroristes et garantir la sécurité des patrouilles conjointes sur la route M4». La Turquie aurait depuis détruit au moins l’un des barrages, sans que nous soyons en mesure d’identifier lequel. Mais il semble que les protestations et la construction de barrages à al-Nerab continuent malgré tout, retardant toujours la possibilité pour les Russes de mener des patrouilles avec les Turcs.

Ces contre-temps démontrent la fragilité de l’accord russo-turc, car il appartient à la Turquie de garder le contrôle sur les différentes factions rebelles, ce qu’elle a continuellement échoué à faire depuis des mois. En outre, le cessez-le feu conclu le 5 mars a déjà été violé à de nombreuses reprises par les deux camps, et la Turquie a même annoncé le 19 mars que deux de ces soldats avaient été tués sur la M4 par des «groupes radicaux», sans donner plus de précisions.

Depuis le début de l’offensive du régime et de son allié russe sur la région d’Idlib en avril 2019 qui avait déjà fait exploser les accords de Sotchi, deux autres tentatives de cessez-le-feu ont déjà échoué. La question est donc désormais de savoir combien de temps tiendra réellement le troisième.

Fin février, l’ONU a qualifié la situation dans la région de « plus grande histoire d’horreur humanitaire du XXIe siècle », avec près d’un million de déplacés, dont les trois quarts sont des femmes et des enfants. 

Thomas Eydoux et Élie Guckert


  • Thomas Eydoux est journaliste en formation au CFPJ, actuellement chez BFMTV.
Combattonslecoronavirus.fr, vraiment ?

Combattonslecoronavirus.fr, vraiment ?

Article écrit par H

L’ avènement du coronavirus a donné lieu à un nombre croissant d’arnaques en ligne et de cyber malveillance. Dans sa page d’actualité consacrée au coronavirus, le site cybermalveillance.gouv.fr écrit :

« Vérifier la fiabilité et la réputation des sites que vous visitez, que ce soit pour vous informer ou réaliser un achat. Avant de fournir des informations personnelles ou bancaires, assurez-vous du sérieux du site sur lequel vous comptez vous inscrire ou commander en consultant les avis et en recherchant sur votre moteur de recherche d’éventuelles malversations connues.

Au moindre doute, abstenez-vous !

Avec la crise du CORONAVIRUS – COVID19 on voit fleurir de faux sites de ventes de masque chirurgical (FFP2), de gel hydroalcoolique, de téléconsultation médiale, de médicaments miracles ou de vaccins expérimentaux qui n’existent évidemment pas et qui n’ont d’autres objectifs que de vous escroquer. Les cybercriminels pourraient même vous livrer des produits périmés ou contrefaits qui mettraient en danger votre santé ou celle de vos proches. »

Par le biais d’un cas pratique, nous vous proposons de décrire un cheminement de recherches permettant de « vérifier la fiabilité et la réputation » d’une plateforme de vente en ligne. L’objectif d’un tel guide est de se doter d’un faisceau d’informations permettant de ne pas se faire escroquer, en supplément de tout ce qui peut être fourni par les réseaux sociaux et les forums de consommateurs.

Repérage

Sur un navigateur sans le moindre bloqueur de publicité activé, quel est le premier résultat proposé si l’on se met en quête de gel hydroalcoolique ?

Observer le site

La première étape consiste à bien observer le site internet pour voir son rendu général: est-ce un site bien fait? Y-a-t-il des éléments choquants?

Ici une faute d’orthographe qui ne fait vraiment pas sérieux…..On peut donc se demander s’il n’ y a pas anguille sous roche….

Généralités sur les noms de domaine

Pour commencer, il est nécessaire de rappeler les bases sur les noms de domaine. Pour trouver un site internet, tout comme trouver la maison de quelqu’un, il faut une adresse. Dans notre cas une adresse internet qui est composée de trois parties: le préfixe « www » (world wide web), un nom de domaine, lui-même composé d’une chaîne de caractères, et une extension (TLD – Top Level Domain). Dans l’exemple ci-dessous, l’extension utilisée est relative à la France : le .fr. La gestion des noms de domaine sous l’extension .fr est effectuée par l’AFNIC, l’office d’enregistrement désigné par l’État pour la gestion des extensions française: .fr, .re (Ile de la Réunion), .pm (Saint-Pierre et Miquelon), .tf (Terres australes et antarctiques françaises), .wf (Wallis et Futuna), .yt (Mayotte).

L’ensemble des démarches liées a un site internet (création, renouvellement, transfert, changement de titulaire ou suppression des noms de domaine) sont prises en charge par un prestataire de services (fournisseur d’accès à Internet, hébergeur, agence web, etc.) qui joue le rôle d’intermédiaire entre l’individu qui met en place un site internet et l’AFNIC.

Ces bureaux d’enregistrement permettent d’enregistrer un nom de domaine de manière anonymisée ou en mentionnant parfois une ou plusieurs des informations suivantes :

  • Nom
  • Prénom
  • Adresse email
  • Téléphone
  • Adresse Postale

Lorsqu’on déclare un nom de domaine, on vérifie d’abord si ce dernier n’a pas déjà été enregistré par une autre personne. De facto, via des moteurs de recherche spécifiques, on a alors accès aux informations sus-citées.

Des moteurs de recherche particuliers

La galaxie des moteurs de recherche de noms de domaine est touffue et hétérogène. Tous ne fournissent pas les mêmes informations, lesquelles sont souvent présentées de manières multiples. Via le méta-moteur suivant, il est possible d’avoir accès à 27 moteurs de recherche différents :

https://intelx.io/tools?tab=domain

(Attention : un onglet par moteur de recherche sera ouvert sur votre navigateur)

Extraction de la donnée intéressante

Sur Domain Dossier, il est fait mention d’une adresse email qui a été utilisée pour déclarer le nom de domaine ma-petite-pharmacie.fr :

Exploitation de l’adresse email

Pour pivoter sur l’adresse email, on peut faire une simple requête google qui donne des résultats éloquents immédiatement :

Sur Website Informer, on retrouve l’email, ma-petite-pharmacie.fr, d’autres sites web et … un nom de société !

On peut ensuite faire une recherche classique sur la société afin de trouver qui en a le controle. Via Manageo, la société en question nous renvoie sur le nom de son propriétaire :

Pivot sur le numéro de téléphone

On peut aussi chercher le numéro de téléphone qui apparaît sur le site internet pour voir s’il donne d’autres informations. On remarque vite qu’il est utilise par d’autres sites commerciaux en ligne….

Il s’agit en fait d’un numéro IP Callr destiné à faire croire que c’est un numéro terrestre marseillais

Recoupements

Le site de l’Association de Défense des Consommateurs de France a manifestement déjà procédé à quelques recherches :

Twitter n’est pas en reste non plus, et a permis de fournir un titre à cet article :

A ce stade des investigations, le faisceau d’informations récoltées est amplement suffisant pour se faire un avis quant à ma-petite-pharmacie.fr.

Pour conclure

Ce n’est pas parce qu’un site de vente en ligne apparait en tout premier dans les résultats de Google qu’il est forcément fiable.

Vous ne serez jamais le tout premier visiteur d’un nouveau site de vente en ligne, c’est mathématique. Si vous avez des doutes sur lui, il y a de fortes chances que quelqu’un en ait eu avant vous, et les ait exprimés sur les réseaux sociaux ou sur les sites d’entraide entre consommateurs.

En cas de doutes, il est simple et rapide de se faire une idée sur un site internet et de diminuer les chances d’arnaques. La peur est un des leviers de base de la manipulation. Elle ne fait pas de vous quelqu’un de faible, mais de juste humain.

Plus rapide que l’ éclair

On vous conseille aussi ce thread de @fs0c131y toujours bon pour débusquer ce type d’arnaque en ligne et qui a été mis en ligne plus vite que notre post 🙂

Pivoter avec des éléments techniques – les MOOCs du Hamas

Pivoter avec des éléments techniques – les MOOCs du Hamas

Cet article a été réalisé sur la base du travail de recherches en sources ouvertes des participants à la dernière formation généraliste OpenFacto fin juin 2019. Elle est le fruit des deux jours de formation et d’un travail collaboratif de groupe de fin de stage sur un sujet non résolu.

Le Hamas lance une campagne de levée de fonds bitcoin

Le 31 janvier 2019, les Brigades d’Al Qassam, la branche armée du Hamas considérée comme un groupe terroriste par les Etats-Unis, l’UE et d’autres pays, lancent une campagne de soutien de ses forces en bitcoin avec la promotion sur ses supports de communication de l’adresse suivante : 3PajPWymUexhewHPczmLQ8CMYatKAGNj3y.

Quelques visuels de la campagne de levée de fonds du Hamas
Le site donne à présent une adresse BTC unique aux sympathisants pour effectuer leurs transferts

Cette campagne est notamment étudiée en détail par plusieurs analystes OSINT comme Ghost Security Group qui analyse le circuit crypto en février 2019.

Analyse graphique par @RaijinRising de Ghost Security Group

Bellingcat en fera un tutorial sur la recherche sur les crypto-monnaies en utilisant le cas spécifique des Brigades Al Qassam en mars 2019.

Rebondir du Hamas à un MOOC: l’adresse bitcoin

En réalisant une simple recherche de l’adresse bitcoin des Brigades Al Qassam sur le moteur de recherche Google, on découvre parmi les résultats le site internet d’une école islamique en ligne : la Islamic Digital School/ Ahmed Yassine Institute. L’adresse BTC retrouvée sur le site pour faire des dons à l’école, semble être la même que celle utilisée par les Brigades Al Qassam, affiliée au Hamas.

Visuel que l’on retrouve à cette adresse  et archive

Pivoter à partir des éléments techniques

Avec comme point de départ un site internet, on peut observer et rechercher plusieurs éléments afin de trouver de nouveaux indices pour rebondir et pivoter sur la suite.

On commence donc par observer la conception du site en se demandant si la qualité est au rendez-vous, si on comprend à quoi il sert, dans quelle langue il est écrit. On repère aussi les emails, les numéros de téléphone, les adresses physiques, les liens vers les réseaux sociaux et les images. Parfois en basculant sur une autre langue, le site peut s’avérer plus complet.

Dans notre cas, le site internet ressemble à une page de blog déroulante écrite en anglais et en arabe. La mission de l’Institut Ahmed Yassine – le chef spirituel du Hamas – est d’être la première école en ligne sur l’islam. L’école dispense un cursus de formation sur l’Islam avec la remise d’un diplôme.

site de l’Institut Ahmed Yassine

On peut ensuite prendre le nom de domaine/url « ahmedyassineinstitute.com » et faire une recherche whois et un traceroute en utilisant le site ping. Le WHOIS permet d’obtenir des informations sur le propriétaire du site et sur la société qui héberge le site. Les informations sont devenues de plus en plus rare depuis la loi sur le Règlement Général sur la Protection des Données personnelles (RGPD). Un traceroute permet de voir le chemin que prend un paquet de données pour aller de sa machine au serveur qui héberge le site en question.

WHOIS du site internet
Traceroute qui nous amène au Royaume Uni

Le domaine est enregistré par une société américaine depuis le 18 Septembre 2018 avec deux adresses IP localisées en Angleterre (188.241.39.12 et 188.241.39.10). En utilisant Exonerator, on constate que ces adresses ne sont a priori pas utilisées comme relai par TOR.

Ensuite il est crucial de rechercher des mentions du site ailleurs sur internet pour voir où il apparaît et si cela peut nous aider à rebondir sur d’autres éléments d’intérêt. Une recherche de l’URL avec le dork suivant intext: »ahmedyassineinstitute.com » sur les moteurs de recherche mène à une discussion sur Reddit et une page Facebook sous le nom de Islamic Digital School.

La conversation sur Reddit débat de la véracité du site internet et de la page Facebook indiquant qu’il pourrait s’agir d’une tentative de déstabilisation de la République Tchèque et de la Slovaquie par l’extrême droite ou les russes.

La page Facebook fait bien référence au site initial et se présente également comme une école sur l’islam en ligne. La page Facebook est postérieure au site et a été créée en octobre 2018.

Elle cible la population tchèque et slovaque car elle propose les cours dans la langue. La page est gérée par deux comptes facebook localisés en Angleterre. Il n’y a pas plus d’éléments exploitables à ce stade. Il est intéressant de noter que les statistiques du site internet sont très basses (le site n’est pas classé) tandis que le nombre de followers sur la page Facebook atteint + 5600.

Le code source de la page permet de regarder comment le site est construit. Sans être expert, il peut être utile de rechercher par exemple un tracker UA (Google-Analytics) qui est utilisé dans l’analyse de trafic du site par un webmaster pouvant déboucher sur d’autres sites administrés par la même personne. Dans notre cas, il n’y a rien.

L’étude des photos est aussi intéressante pour savoir s’il s’agit de photos de banques d’images ou des photos originales. Avec un reverse image ou en regardant le code, on peut vite se rendre compte de quoi il s’agit.

ici on peut voir que de photo (.jpg) proviennent d’un site ethnews.com et d’une banque d’images 123rf.com
En faisant un reverse image d’une autre photo, on voit qu’elle est très répandue en ligne

Enfin, il s’agit de regarder tous liens qui peuvent être tirés d’une adresse physique, d’un numéro de téléphone, d’un email pour continuer à pivoter vers de nouveaux éléments. Dans notre cas, on retrouve un email sur le nom de domaine  – et un email personnel associé à un certain Zaki Qishawi. En basculant le site en langue arabe on peut aussi obtenir l’écriture exacte: زكي قيشاوي.

La même technique peut être utilisée pour pivoter par la suite sur ces emails :

  • 1) recherche de la mention de l’email en ligne,
  • 2) utilisation de cet email sur les réseaux sociaux
  • 3) décomposer l’email en user name – ici zaky007 pour voir s’il apparaît quelque part
  • 4) chercher en anglais et dans la langue d’origine les mentions du nom complet de la personne pour rebondir sur les réseaux sociaux, les réseaux professionnels et voir si des liens peuvent être tirés.

Ici et sans rentrer dans une recherche approfondie sur cette personne, le même email est utilisé en 2012 sur un forum par un individu avec un pseudo concordant cherchant à vendre des panneaux solaires.

Premières conclusions basées sur les éléments techniques d’un site internet

A partir d’un lien entre une adresse bitcoin attribué au Hamas et un nouveau site internet, on voit bien qu’en se concentrant uniquement sur ce site internet de façon méthodologique, nous pouvons tirer des informations qui permettent de rebondir:

  • site dont le thème principal est la formation en ligne sur l’islam et qui fait référence au guide spirituel du Hamas
  • site en langue arabe et anglaise de facture moyenne
  • site hébergé sur des serveurs au Royaume-Uni
  • site dont on discute dans le contexte de la Slovaquie et la République Tchèque dans lesquels les communautés musulmanes locales sont chahutées avec un fort sentiment anti-musulman en République Tchèque et des lois controversées en Slovaquie.
  • Page Facebook du site qui est administré par deux comptes localisés au Royaume Uni
  • Un email lié à une personne et un nom qui sont mentionnés sur internet et les réseaux sociaux.

On pourrait donc imaginer que l’étape suivante serait de se concentrer sur l’email et l’identité de l’individu mentionné sur le site, ainsi que sur la mention de cette initiative dans les géographies qui apparaissent dans la conversation Reddit.