Retour sur enquête: monitorer un événement public sur les réseaux sociaux

Retour sur enquête: monitorer un événement public sur les réseaux sociaux

Dans une enquête pour Bellingcat, Sébastien s’intéressait à la présence d’un militant de l’extrême-droite française au festival néo-nazi “Asgardsrei” qui avait lieu en Ukraine en décembre 2019. A travers cet exemple, il fait ici un rappel des techniques basiques pour monitorer un événement public (concert, manifestation etc.) sur les réseaux sociaux.


L’unique point de départ de mon enquête était une photo diffusée via Telegram montrant un drapeau du Groupe Union Défense (GUD) brandi dans la foule lors du festival de “Black Métal National Socialiste” (NSBM) “Asgardsrei” qui avait lieu à Kiev, en Ukraine, le week-end du 14–15 décembre 2019. Celle-ci indiquait vraisemblablement qu’au moins un militant français avait fait le déplacement.

La photo diffusée via Telegram.

Bien évidemment, la personne apparaissant sur la photo avait pris soin de ne laisser apparaître aucun élément permettant de l’identifier, on voit simplement une main ainsi qu’une ombre à travers le drapeau. 

Dans un premier temps, j’ai donc décidé de collecter d’autres images du festival. Comme pour n’importe quel événement de ce type, le nombre important de vidéos, photos souvenirs et autres selfies publiés sur les réseaux sociaux multipliait la probabilité que ce militant français ait été capté par un objectif autre que le sien.

Récolter le maximum d’images du festival

Puisque je cherchais des images de l’événement, je me suis intéressé dans un premier temps à Instagram, réseau social par excellence en la matière. Pour essayer d’être le plus exhaustif possible, j’ai procédé selon deux approches différentes.

D’une part, quelques recherches rapides m’avaient appris que le festival avait eu lieu au “Bingo Club” à Kiev. J’ai donc cherché les photos et vidéos tagués comme ayant été prises dans cette salle. Comme souvent, il existait plusieurs geocodes liés à cette salle (Bingo Club, BingoClub Kyiv, Bingo Club Kiev…), et je les ai donc consultés les uns après les autres.

Les deux premiers geotags correspondent à la salle située à Kiev
Exemple d’une photo geo-taguée par un utilisateur au Bingo Club.

Pour récupérer l’ensemble des photos et vidéos, j’ai utilisé l’extension chrome “Downloader of Instagram + Direct Message” qui permet de télécharger automatiquement un grand nombre de publications. Si c’était à refaire aujourd’hui, j’utiliserais plutôt l’outil python “Instaloader” (pour les adhérents, voir l’excellent guide d’Hervé !) qui permet d’être plus précis, notamment en indiquant la date des photos et vidéos qui nous intéressent, ou bien de récupérer les commentaires associés à une publication.

Dans un second temps, j’ai cherché les publications contenant certains hashtags qui pouvaient être liés au festival. J’ai tout simplement commencé par #Asgardsrei, puis je me suis servi des autres hashtags associés par les utilisateurs à ce premier pour pivoter vers d’autres recherches.

Photos avec le #Asgardsrei.
En plus du #Asgardsrei, cette photo utilise d’autres # pouvant être utilisés pour multiplier les recherches.
Exemple d’une vidéo du festival que je n’aurais pas trouvé si j’avais simplement cherché avec le #Asgardsrei ou via les geotags.

Puisque j’ai effectué mes premières recherches alors que le festival avait encore lieu, j’ai également téléchargé toutes les stories (publications qui disparaissent au bout de 24h) associées aux différents hashtags, ainsi que celles géo-tagués au Bingo Club.

En suivant peu ou prou le même procédé, j’ai cherché des images du festival sur Facebook, Vkontakte, Twitter, Youtube, Snapchat… Je me suis également intéressé aux différentes pages en rapport avec le festival: événement sur VKontakte, pages sur les réseaux sociaux des groupes présents, site internet du festival etc.

L’analyse

Après avoir récupéré des centaines de photos et vidéos du festival, il s’agissait désormais de repérer dans la foule le drapeau du GUD ou bien un visage familier.

Puisque la plupart des images étaient prises dans l’obscurité de la salle de concert, seulement interrompue par quelques flashs lumineux liés à la mise en scène, j’ai essayé de situer dans l’espace la personne que je cherchais. La foule semblait relativement statique (mis à part un mosh vers le centre de la salle à certains moments), j’en ai donc conclu que l’individu qui m’intéressait devait probablement se situer en face de la scène, vers l’avant de la salle. Si un simple croquis et un œil attentif m’ont permis de le repérer assez rapidement (quelques heures tout de même), j’ai aussi envisagé la possibilité de synchroniser différentes vidéos du festival pour en reconstituer des parties sous plusieurs angles.

Ce travail m’a donc permis de repérer le drapeau du GUD à de multiples reprises lors du festival (principalement lors des passages des groupes “Baise Ma Hache” et “Goatmoon”), mais surtout d’apercevoir son porteur.

Captures d’écran d’une vidéo publiée sur Youtube.

Identifier le porteur du drapeau

Cette silhouette qui m’était familière, ainsi que d’autres indices publiés sur la page Facebook “Ouest Casual” (associée au canal Telegram) laissant penser que le militant s’étant rendu en Ukraine était lié au groupe “Zouaves Paris”, m’ont conduit à consulter le profil d’un certain Marc “Hassin”. Ancien membre du GUD et militant bien connu des Zouaves Paris, Marc avait récemment mis à jour sa photo de profil Facebook, indiquant que celle-ci avait été prise en Ukraine, le 21/10/2019.

La photo de profil Facebook de Marc “Hassin”.

Peu convaincu par la possibilité que Marc “Hassin” ait effectué un voyage en Ukraine presque deux mois jours pour jours avant Asgardsrei, et en partant du principe que la date indiquée pouvait contenir une faute de frappe (10 pour le mois au lieu de 12) ou bien avoir été volontairement modifiée, j’ai décidé d’effectuer des recherches sur ce championnat de kick-boxing.

Ayant peu de résultats convaincants via Google et Yandex, j’ai encore une fois utilisé Instagram et cherché des photos utilisant #kickboxing aux alentours du 21 décembre. Sur plusieurs d’entre-elles, j’ai remarqué un décor similaire à celui en arrière-plan sur la photo de Marc “Hassin”.

Photo du championnat auquel a participé Marc “Hassin” publiée sur Instagram avec le #kickboxing.

Après vérification, il s’agissait bel et bien du même événement, un championnat s’étant déroulé au “Спорткомплекс КПИ” à Kiev du 20 au 22 décembre. J’ai donc une fois de plus réuni le maximum de photos et vidéos du championnat, que ce soit via divers #hashtags ou bien le géotag.

Marc n’apparaissant visiblement pas sur celles-ci, j’ai consulté méthodiquement les profils Instagram des personnes ayant publié ces photos: autres photos publiées, photos sur lesquels le compte est identifié, stories “à la une” (stories archivées par l’utilisateur et donc en ligne au delà des 24h initiales).

Après de longues recherches, j’ai finalement identifié Marc sur plusieurs photos, notamment des stories archivées. Sur l’une d’entre elles, Marc posait avec le même drapeau que celui brandit à Asgardsrei.

Photo de Marc “Hassin” au championnat de kick-boxing à Kiev avec un drapeau du GUD, publiée sur Instagram et archivée en “stories à la une”.

Conclusion

Si d’autres informations sont venues compléter mon enquête, ce sont les deux éléments présentés ici (la silhouette du porteur du drapeau et la photo de Marc avec ce même drapeau à Kiev quelques jours plus tard) qui en ont formé la base.

En somme, donc, pas de recours à des techniques de sorcellerie très poussées en OSINT, mais un travail se voulant méthodique et exhaustif. Comme quoi multiplier ses recherches autours de différents hashtags ou geotags et compulser des dizaines de profils efficacement peut (parfois) suffire!

OpenFacto à Séville pour « OsintCity »

OpenFacto à Séville pour « OsintCity »

Trois membres d’OpenFacto se sont rendus au congrès « OsintCity » qui se déroulait à Séville les 6 et 7 février derniers. Au programme, une quinzaine d’interventions autour des recherches en sources ouvertes et de leurs différentes utilisations.

Si le congrès se voulait international, toutes les présentations étaient en espagnol et le public quasi-exclusivement local, très largement composé de détectives privés et d’agents des forces de sécurité du pays. La plupart des interventions étaient ainsi spécifiquement destinées à ce public, faisant notamment référence à un cadre juridique espagnol assez restrictif sur les possibilités de l’OSINT et des cas pratiques très axés business ou bien enjeux sécuritaires.

On ne va pas vous mentir, de façon générale, le niveau moyen des interventions était un peu décevant. Outre les généralités sur les risques des « fake news » et la nécessité de faire preuve de sens critique, plusieurs des supports de présentation mettaient en avant des techniques ou outils hors-services depuis des années (un intervenant a ainsi utilisé un PowerPoint datant de 2014, c’est dommage…).

A noter toutefois, la présentation fort intéressante du média d’investigation Datadista par son cofondateur Antonio Delgado. En mettant l’accent sur l’importance d’une méthodologie transparente, que ce soit à propos de la récolte (scraping, leaks…), de l’exploitation ou de la visualisation des données, celui-ci insistait sur la crédibilité apportée aux informations ainsi présentées au public. Un véritable exemple de data-journalisme qui mérite que l’on s’y intéresse.

Un bel exemple d’enquête de datadista :

https://datadista.com/playa-burbuja/desmontando-algarrobico/

Malgré nos réserves sur la qualité de ce congrès, il est important de préciser qu’il s’agissait uniquement de sa deuxième édition, les organisateurs nous ayant assuré que la prochaine session intégrerait des présentations en anglais ainsi qu’un système de traduction.  

Si cela se confirme, la prochaine édition méritera peut-être tout de même le déplacement pour des professionnels du secteur intéressés par ces aspects de l’OSINT, ou bien pour celles et ceux à la recherche d’un alibi pour déguster quelques tapas et découvrir Séville hors saison touristique.

Instagram, son User ID et ses sites miroirs : le cas du Bastion Social

Instagram, son User ID et ses sites miroirs : le cas du Bastion Social

Fondé en mai 2017 suite à l’occupation par des militants du GUD (Groupe Union Défense) d’un bâtiment inoccupé appartenant à la Mairie de Lyon, le Bastion Social a brièvement incarné le renouveau du militantisme d’extrême-droite en France. S’inspirant du modèle italien du mouvement Casapound, les militants français ont ainsi prôné la création de centres sociaux destinés à aider “les français les plus démunis” et l’application de la “préférence nationale”. Si le mouvement essaime alors rapidement et que des sections locales du Bastion Social sont successivement ouvertes à Strasbourg, Chambéry, Aix-en-Provence, Marseille et Clermont-Ferrand, ses membres ne perdent pas pour autant leurs vieilles habitudes et continuent de faire le coup de poing. Les affaires d’agressions, souvent à caractère raciste, se multiplient et entachent la communication lissée et l’image caritative que veut se donner le groupe. C’est officiellement pour cette raison que le Président Emmanuel Macron annonce la dissolution du mouvement en février 2019, à l’occasion du dîner annuel du Conseil représentatif des institutions juives de France (Crif). En réalité, comme l’a révélé Médiapart, c’est plutôt l’incitation du mouvement à créer un groupe organisé en vue des affrontements de l’acte III du mouvement des gilets jaunes le 1er décembre 2018 à Paris, qui en est la raison. Cette annonce, confirmée en conseil des ministres le 24 avril dernier, force le mouvement à fermer ses locaux, mais aussi ses multiples comptes sur les réseaux sociaux.

Pourtant, moins de six mois plus tard, ce sont donc deux nouveaux groupes qui font leur apparition sur les réseaux sociaux, “Vent d’Est” en Alsace et “Audace” à Lyon. Leurs logos partagent la même charte graphique et la communication à propos de maraudes et d’actions écologiques n’est pas sans rappeler celle du Bastion Social. Pour Vent d’Est, on constate que moins de 24h après sa première et unique publication, le groupe compte 805 abonnés sur Instagram contre seulement 85 sur Facebook et 13 sur Twitter. Si ce différentiel d’audience d’un réseau à l’autre pourrait être expliqué par la pratique courante d’achat d’abonnés, un rapide coup d’œil à la liste permet de s’assurer qu’il s’agit bien de véritables militants tant les références d’extrême-droite sont nombreuses: croix celtiques, fleurs de lys, 88 (pour “Heil Hitler”, H étant la 8ème lettre de l’alphabet) etc. Mais alors comment expliquer ce nombre important d’abonnés ?

Le “User ID” d’Instagram

Intéressons-nous au fonctionnement d’Instagram. Il faut comprendre que si le réseau social permet de modifier à tout moment son nom d’utilisateur (précédé par un @), chaque compte se voit attribuer à sa création un identifiant utilisateur unique et inaltérable, le “User ID”. Bien que celui-ci ne soit pas visible sur la plateforme, de nombreux sites internet permettent de le consulter gratuitement (comme ici). OpenFacto en parlait justement dans son dernier billet. Dans notre cas, il suffit donc d’entrer le nom d’utilisateur du compte de Vent d’Est “@vent.est” sur l’un de ces sites pour obtenir son User ID, le n°2840585800.

Les sites miroirs d’Instagram

Puisque l’on soupçonne Vent d’Est d’être lié au défunt Bastion Social, on s’intéresse aux comptes Instagram de cette organisation qui utilisaient comme nom d’utilisateur le modèle suivant: “@bastion_social_nomdelaville”. Si l’on n’en trouve aucune trace via l’outil de recherche de la plateforme elle-même, une recherche Google donne des résultats sur divers sites tels que “pictame.com”, “pikdo.net” ou bien encore “picgra.com”.

Il s’agit là de sites miroirs d’Instagram qui copient le contenu du réseau social et proposent généralement quelques statistiques d’audience. Si leur intérêt est limité pour un utilisateur lambda, leurs fonctionnalités de recherche sont généralement plus pratiques que celles d’Instagram. Surtout, on y retrouve bien souvent du contenu ayant été supprimé ou modifié sur la plateforme initiale.

Une recherche sur Google “bastion_social_strasbourg” donne donc ce résultat:

On apprend ici que le compte associé au nom d’utilisateur “@bastion_social_strasbourg” a auparavant été associé à celui “@gud.alsace”. Mais surtout, en cliquant sur ce lien, on arrive sur la page de Vent d’Est. Dans l’URL, on retrouve le User ID du compte “@vent.est” ainsi que le nom d’utilisateur “gud.alsace”.

On a donc ici la preuve qu’il s’agit du même compte, celui-ci ayant été successivement associé aux noms d’utilisateur “@gud.alsace”, “@bastion_social_strasbourg” et “@vent.est”.

Deuxième cas

En appliquant la même méthode pour le compte Instagram du groupe Audace, on trouve que son User ID est le n°2789465095.

On réitère la recherche Google, cette fois-ci avec le nom d’utilisateur “bastion_social_lyon” en filtrant pour obtenir uniquement les résultats sur le site pictame.com.

Dès le premier résultat, la réponse est claire: il s’agit bel et bien du même compte Instagram. En cliquant sur le lien, on tombe sur la page d’Audace et on retrouve encore une fois dans l’URL le User ID. Celui-ci a donc été associé successivement à “@gud.lyon”, “@bastion_social_lyon” et “@audace_lyon”.

Que s’est-il passé ?

Lors de la dissolution du Bastion Social, plutôt que de supprimer définitivement les multiples comptes Instagram de l’organisation, les militants ont en fait décidé de les vider de leurs contenus et de les mettre en sommeil sous des noms d’utilisateurs anodins. Ils pensaient ainsi avoir effacé leurs traces tout en conservant leurs centaines d’abonnés. En septembre dernier, alors que les mêmes militants créaient de nouvelles structures, ils ont recyclé ces comptes pour immédiatement bénéficier de leur audience. La parade aurait pu fonctionner, mais c’était sans compter sur les traces laissées par le User ID et les sites miroirs d’Instagram.

En conclusion, lorsque l’on s’intéresse à un compte Instagram, il est important de ne pas limiter ses recherches à la plateforme même. Outre le manque de fonctionnalités de l’outil de recherche, le site ne propose pas d’archives. A contrario, une recherche Google à l’aide de quelques googledorks permet de trouver les informations voulues. Enfin, il est toujours intéressant de comprendre le fonctionnement basique du réseau social étudié, l’existence du User ID permettant ici de s’assurer qu’il s’agit bien des mêmes comptes.

Sébastien est un jeune chercheur sur le militantisme radical et membre de la communauté OpenFacto.