Reconnaissance faciale et OSINT – Digikam

Reconnaissance faciale et OSINT – Digikam

Inquiétante à plus d’un titre, la reconnaissance faciale peut tout de même s’avérer extrêmement pratique pour l’OSINT. La plus grosse problématique pour son utilisation reste la chaîne d’outils nécessaire : bien souvent des scripts python, des ressources systèmes importantes, une ergonomie douteuse pour le néophyte.

Nous vous proposons aujourd’hui à travers un cas simple, de mettre en œuvre un outil de reconnaissance faciale à moindre effort : Digikam.

Digikam

Digikam est un outil de gestion de bibliothèque photo qui reprend les grands principe de logiciels tels que iPhotos par exemple. Son gros avantage c’est qu’il est gratuit, open-source, et multiplateforme : originellement développé pour Linux, il est désormais disponible pour Windows et Mac. Vous le savez, à OpenFacto, nous sommes friands de logiciels libres!

Digikam est sorti ces jours-ci en version 7 – son développement est très actif! – et cette nouvelle mouture met l’accent sur son nouveau moteur de reconnaissance faciale. Un gros effort a en effet été réalisé pour améliorer les performance de Digikam sur ce point. Et le moins que l’on puisse dire, c’est que ça marche très très bien! y compris sur les animaux!

L’interface de Digikam

On ne s’attardera pas ici sur l’immensité des fonctions de Digikam pour la gestion de sa bibliothèque d’images mais plutôt sur la reconnaissance faciale proprement dite.

Création d’un corpus photo de référence

A l’aide d’Instaloader nous allons télécharger des photos d’un personnage public, pour constituer une base de connaissance de visages. Instaloader est un logiciel python qui permet de télécharger en masse des photos d’instagram. Mais vous pouvez utiliser votre propre technique pour faire de même, y compris télécharger vos photos manuellement. Dans votre répertoire d’images, créez un sous-répertoire et téléchargez-y vos images de références.

instaloader --login votre_login fhollande 

L’idéal est d’avoir plusieurs images sous différents angles de la personne, de près, de loin… Pour cet exemple, j’ai téléchargé au hasard une trentaine de photos, que j’importe ensuite dans Digikam.

L’interface de Digikam sur cet exemple.

Il faut maintenant lancer l’outil de détection de visages. Cliquez bouton droit, puis « Cherchez des visages » sur le nom de l’album.

Puis pour chaque photo de référence, placez un tag mentionnant le nom de la personne sur chaque image.

Sur chaque visage, placez le nom de la personne.

Certains visages ont pu ne pas être détectés par l’application : vous pouvez tout de même les identifier manuellement:

L’icône d’identification manuelle.

Une fois cette étape achevée, vous obtenez une base de référence :

Application sur des photos inconnues

Nous allons maintenant télécharger en masse des photos inconnues, comportant le hashtag « #francoishollande », grâce à Instaloader.

instaloader --login votre_login "#francoishollande"
(n'oubliez pas les guillemets autour du hashtag...

Nous réitérons ensuite la recherche de visages comme ci-dessus, en validant cette fois-ci « recognize faces« , puis en allant dans les « settings » pour baisser la sensibilité à 50%.

Après avoir appuyé sur « Analyser une collection…. » dans le premier onglet, et au bout de quelques secondes, Digikam indique les visages détectés.

Il suffit de les valider un par un pour confirmer la détection ET améliorer la détection future…..

Il est possible de jouer un peu à la hausse ou à la baisse avec le niveau de détection, en fonction de la base de référence (si elle contient beaucoup d’image ou pas), et de la forme des différentes photos.

ici par exemple avec un réglage à 41 au lieu de 50, de nombreux visages sont « reconnus » mais avec une marge d’erreur plus forte…

Conclusion

En détournant un outil tel que Digikam, on peut obtenir très rapidement un très chouette outil d’OSINT et vous faire gagner un temps précieux pour l’exploitation de milliers de clichés.

Attention toutefois. Digikam reste un outil… jamais parfait!
Fiez vous aussi à votre œil!

CTF Trace Labs #5 – Recherches de micro-informations, gestion du temps, et Mr Freeze

CTF Trace Labs #5 – Recherches de micro-informations, gestion du temps, et Mr Freeze

Quand l’un des membres d’OpenFacto a annoncé sur Slack qu’un nouveau CTF (Capture The Flag) Trace Labs allait avoir lieu le 11 juillet, quelques mains se sont levées pour participer. Quand il a annoncé que cette fois-ci il aurait lieu de 17h à 23h, donc pas de minuit à 6h comme lors de la précédente édition, c’est une avalanche de membres qui a manifesté son intérêt ! (ou en tout cas assez pour constituer deux équipes de quatre, l’auteur étant simplement friand de formules grandiloquentes).


Vous n’avez jamais entendu parler de ces évènements organisés en vue de retrouver des personnes disparues ? Envie d’avoir un peu plus de détails ? Nous vous invitons à lire notre premier retour d’expérience écrit suite à notre précédente participation.


Aujourd’hui, pas d’article visant à approfondir un point de connaissance, comme avec le premier article qui s’intéressait à la question de l’analyse des tatouages.

L’idée est plutôt de faire le point sur notre organisation, ce qui a marché, ce qui a moins marché, et des axes d’amélioration possibles pour le futur.
Si vous avez des avis à partager sur ce qui suit, n’hésitez pas à nous répondre ici en commentaire ou via Twitter. Et si nous oublions de mentionner des éléments qui vous semblent importants, faites-nous signe et nous mettrons à jour l’article avec ces derniers.

Organisation

Pour cette édition, huit membres d’OpenFacto étaient motivés pour participer, nous avons donc fait deux équipes :

  • OpenFacto (obviously), comptant à son bord Capteurso, Hervé, Sébastien et ştəf// – fini 26ème sur 190 équipes ;
  • The French Flair by OF, composée notamment de L003, 0skAr et Roman – fini 23ème.
Tableau des scores final


Ensuite, pour répartir les gens entre les deux équipes, nous avons fait passer des tests d’aptitude à l’OSINT, évalué les CVs de chacun(e), et… non pas du tout, nous avons pris le premier (littéralement) site de répartition aléatoire en équipe sur Google, et défini les équipes à partir de là. Il s’est avéré que les teams ainsi formées ont bien fonctionné ; à voir pour la prochaine édition si nous essayons de déployer une réelle stratégie quant à ce sujet – nous y reviendrons plus tard.


Pour la communication écrite, nous avons privilégié Slack, qui permet de faire un thread par profil, afin de ne pas mélanger toutes les informations. Le canal vocal était assuré par Jitsi.

Il était envisagé d’utiliser framamind afin de faciliter la visualisation des profils et informations récoltées. Finalement, le fait de ne pas forcément changer souvent de cas d’analyse a fait que les threads Slack étaient suffisants. 

A noter toutefois que TraceLabs recommande dans son guide de ne pas passer plus d’une heure sur un cas où l’on ne trouverait aucune information, et conseille également l’utilisation de cartes mentales (cf. p.15-16).

Cette édition proposait l’analyse de huit cas, chaque membre d’une équipe était donc en charge de deux profils a minima, avec possibilité de passer sur d’autres en cas d’impasse. 

Quelques points à retenir pour les prochaines éditions

Ci-dessous une liste de points en vrac, sans classement suivant l’importance du contenu, mais qu’il nous semble pertinent d’avoir en tête pour les prochaines fois :

  • Si aucun flag n’est validé ni rejeté au bout d’une heure, ne pas hésiter à pinger l’équipe TraceLabs sur Slack, par exemple AK47Intel. Et même, mieux : vérifier à l’avance que l’équipe s’est bien vue assigner un juge (un fichier csv est fourni dans le channel du CTF afin de connaître le nom du juge qui s’occupe de l’équipe).
  • La recherche de profils snapchat via snapdex.com ne renvoie pas forcément de résultats pertinents.
  • Les copies d’écrans Android ne servent à rien si la preuve ne peut être rattachée à une URL (l’URL snapcode ne suffit pas).
  • Prendre le temps de faire une première passe, pour les profils US, sur des sites de recherches US (ex : spytox.com, thatsthem.com, etc.). MAIS bien prendre avec des pincettes ce que renvoient ces sites. Idéalement effectuer quelques vérifications derrière, avant de soumettre le flag.
  • Prendre le temps aussi de faire une première passe sur les informations basiques (ex : dates de naissance) qui, si elles ne rapportent que peu de points, une fois accumulés en fournissent finalement un nombre conséquent.
  • Prendre le temps – si réalisable – de lire les posts sur les réseaux sociaux de la personne disparue (notamment pour connaître ses hobbies). A minima aux alentours de la date de sa disparition. Se pencher aussi sur les commentaires et tags de personnes proches permettant (potentiellement) de récupérer d’autres profils de la cible, ainsi que leur nouveau compagnon/nouvelle histoire, qui les renvoient à leur profil actuel.
  • A ce sujet, Twint se révèle bien pratique pour ne récupérer que les tweets postés au moment de la disparition de la personne (notamment profils Twitter de ses amis).
  • La question de savoir comment déterminer si un numéro de téléphone US est assigné à un fixe ou un mobile s’est posée pendant l’évènement. A tête reposée, nous pouvons maintenant dire qu’il aurait pu être intéressant de passer par des services tels que TrueCaller ou OpenCnam, FreeCarrierLookup ou encore HLR Lookup déjà mentionné il y a quelques temps sur le discord d’OSINT-FR – mais aucune garantie quant à l’identification mobile/fixe.
  • Faire la liste d’un ensemble de sélecteurs (adresses mails, numéros de téléphones, création d’adresses mails et pseudos à partir du nom+prénom, etc.). Puis les vérifier sur autant de plateformes que possible (via whatsmyname ou instantusername), et lister le tout dans un document collaboratif. Envisager ensuite de désigner une à deux personnes afin d’approfondir ces données et réaliser une investigation latérale (recherche massive de sélecteurs et de sources potentielles) de l’investigation transversale (approfondissement d’un profil, ses commentaires, etc.).
  • Préparer des outils et moteurs pour le darkweb en amont et y passer au crible tous les sélecteurs (identité, email, username, etc.). Envisager de préparer une base de leaks avant l’évènement.
  • Préparer également un ensemble de services de « reconnaissance faciale » : Yandex, Bing, Tineye, etc..
  • Dans l’ensemble, nous avons réalisé beaucoup de recherches manuelles. A voir donc si et comment il serait possible d’en automatiser une partie.
  • Voir pour passer moins de temps sur certains profils. 6h, c’est à la fois très peu et très long, mais il s’agirait de réfléchir si passer 4 à 5h sur le même profil – ce qui a été le cas pour un ou deux membres – est vraiment un choix efficace.
  • Autre point à voir plus tard : envisager peut-être un rôle/spécialité par personne/compétence.
    • un/e « forgeron » qui récupère, par OSINT ou recréation, tous les sélecteurs, qu’il met à disposition ;
    • un/e ou deux enquêteurs qui approfondissent les profils et les subtilités historiques et comportementales ;
    • un/e spécial deepweb/darkweb.
      L’autre possibilité consistant à d’abord se concentrer sur un ou deux profils, puis passer à une revue de tous les profils en ne s’intéressant qu’à un des aspects mentionnés ci-dessus.

Conclusion

Ce qui est pas mal ressorti de nos discussions post-CTF, c’est la frustration de ne pas trouver des informations particulièrement remarquables sur chaque profil. Est-ce que cela vaut vraiment le coup de passer 6h sur le cas de deux à trois personnes disparues, pour ne ressortir finalement que des éléments facilement retrouvables : numéro de téléphone posté sur instagram, liens vers les différents profils sur les réseaux sociaux, etc. ?


A cette question que bon nombre se posent, Trace Labs réponds oui, cela vaut la peine : « We may not always find relevant or useful information to pass along to Law Enforcement (LE). But what we did accomplish was showing Law Enforcement that they truly have exhausted every lead and that they did their jobs well and to the best of their abilities. To them, that’s extremely valuable and it puts their minds at ease. » 


Chaque information, aussi minime qu’elle soit à vos yeux, doit être remontée : marque du téléphone de la personne (information intéressante pour les forces de l’ordre), goût prononcé pour le dessin, l’alcool, les Mr Freeze, etc.. Tout peut avoir son importance, pour peu que les personnes en charge de l’enquête n’y ait pas prêté attention. Et si c’est déjà le cas, cela les rassurera néanmoins quant au fait qu’elles ont cherché autant que possible.


En outre Trace Labs insiste sur le fait qu’il ne faut pas oublier les deux buts principaux de ces évènements :

  • trouver des informations sur des personnes disparues ;
  • améliorer nos compétences en OSINT – car oui, cela compte aussi.

Vous avez, vous aussi, été frustré par les données obtenues après de longues heures de recherches ? Hauts les cœurs, cela fait partie de l’apprentissage ! Et si vous n’avez pas l’impression d’être devenu une rock star de l’OSINT en 6h, vous avez néanmoins mis en pratique des connaissances déjà acquises – vous n’en deviendrez que plus efficace – voire appris de nouvelles techniques – on ne peut espérer mieux – et participé à un effort positif international. Donc rien de tout cela n’est perdu.


Un autre point qui nous a été remonté, c’est qu’il était encore plus sympa de réaliser ce genre d’évènements dans un même lieu avec le reste de l’équipe. Ainsi, à titre informatif, OpenFacto commence à réfléchir à comment réunir, une fois par an, l’ensemble de ses membres participant au CTF dans un espace commun, afin que les coéquipiers puissent interagir ensemble de vive voix, et que les différentes teams puissent ensuite échanger sur les cas abordés une fois le CTF fini.

Intéressé ? Faites-le-nous savoir sur Twitter ou notre Slack !


Un grand bravo à toutes les équipes !

Nouveau rapport par OpenFacto – Turkey’s shadow arms deliveries

Nouveau rapport par OpenFacto – Turkey’s shadow arms deliveries

Téléchargez le rapport – Download the report

OpenFacto est fier de présenter son premier long rapport d’enquête sur la détection des violations de l’embargo sur les armes à l’aide de techniques de recherche en sources ouvertes. Turkey’s Shadow Arms Deliveries se concentre sur six cas de livraisons suspectes d’armes turques à la Libye utilisant des moyens de transport commerciaux: MV AMAZON, vol ER-BAJ, MV SINGLE EAGLE, MV BANA, MV ANA et MV PRAY. Utilisant les réseaux sociaux, google map, les bases de données accessibles au public et d’autres techniques de recherche, le rapport présente de nombreuses preuves indiquant des violations potentielles de l’embargo sur les armes imposé par les Nations Unies par la Turquie.

OpenFacto is proud to present its first long form investigative report on detecting arms embargo violations using open sources techniques. Turkey’s Shadow Arms Deliveries focuses on six cases of suspected Turkish arms deliveries to Libya using commercial transportation: MV AMAZON, flight ER-BAJ, MV SINGLE EAGLE, MV BANA, MV ANA and MV PRAY. Using social media, google map, publicly available databases and other research techniques, the report presents extensive evidence pointing to potential violations of the UN arms embargo by the Turkey.

La frontière gréco-turque, terrain d’affrontements physiques et virtuels

La frontière gréco-turque, terrain d’affrontements physiques et virtuels

La frontière gréco-turque, terrain d’affrontements physiques et virtuels

Thomas Eydoux / Antoine Hasday / Elie Guckert pour OpenFacto

Les forces turques et grecques face à face près du poste frontière de Kastanies-Pazarkule / Illustration : Elie Guckert / Source 

L’ouverture de la frontière gréco-turque par Ankara a généré de nombreuses images de violences entre les forces grecques et turques au poste frontière de Kastanies-Pazarkule. Des affrontements bien physiques qui ont été accompagnés d’une guerre des mots et des images livrée sur les réseaux sociaux par la fachosphère européenne. Entre les deux feux : des milliers de migrants qui le paient parfois de leurs vies.

Des échanges de grenades lacrymogènes, voire des tirs à balles réelles, à la frontière d’un État membre de l’Union européenne, et des migrants pris entre deux feux : ce sont parfois de véritables images de guerre qui ont été capturées à un point de passage entre la Grèce et la Turquie depuis l’ouverture de ce dernier aux migrants par Erdogan, en février dernier. 

Face à l’afflux de réfugiés à la frontière turco-syrienne et à ce qu’il considérait comme un manque de soutien de l’UE à sa campagne contre le régime syrien, le président turc Recep Tayyip Erdogan – dont le pays a déjà accueilli plus de trois millions de syriens – avait annoncé le 28 février qu’il n’empêcherait plus les migrants présents en Turquie de se rendre dans l’UE via la Grèce. Erdogan entendait ainsi faire pression sur l’Europe, à qui il demande un « juste partage du fardeau» pour faire face à l’afflux de réfugiés syriens provoqué par l’offensive d’Assad et de son allié russe à Idlib. La veille, au moins 33 militaires turcs avaient été tués en Syrie dans une frappe officiellement attribuée à l’armée arabe syrienne. 

Jusqu’à 13 000 migrants tentent alors de franchir la frontière entre la Turquie et la Grèce, selon l’organisation internationale pour les migrations (OIM). Parmi eux, des Syriens, mais aussi des Irakiens, des Afghans, des Pakistanais et des Iraniens. 

Le poste-frontière de Kastanies-Pazarkule, champ de bataille numéro 1

Cette décision unilatérale du président turc a causé de fortes tensions politiques et a conduit à des situations parfois très violentes avec les autorités grecques. Selon les services de renseignements allemands, les autorités turques auraient contraint des réfugiés à monter dans des bus pour les conduire à la frontière. Des membres des forces de sécurité se seraient même mêlés à la foule pour encourager les émeutes, rapporte Der Spiegel.

Sur cette vidéo de l’agence pro-Kremlin Ruptly, on peut voir des grenades lacrymogènes tomber du côté grec de la frontière, près du point de passage de Kastanies-Pazarkule.

Des violations des droits humains auraient aussi été commises par les forces de sécurité grecques : renvois illégaux à la frontière, tortures, détentions illégales, usage de grenades lacrymogènes potentiellement létales et tirs à balles réelles. Selon Amnesty, au moins deux migrants ont été tués.

De nombreuses images de ces incidents sont apparues sur les réseaux sociaux au cours du mois de mars. Sur cette vidéo on peut par exemple voir des policiers turcs tirer du gaz lacrymogène de l’autre côté de la frontière sous les encouragements des migrants. Sur une autre vidéo visiblement tirée d’images de caméras de vidéo surveillance, on peut apercevoir des policiers grecs utiliser un ventilateur géant pour repousser du gaz lacrymogène de l’autre côté de la frontière. Sur une troisième, on peut même voir un agriculteur grec pulvériser du lisier de l’autre côté de la frontière pour dissuader les migrants de passer. Enfin cette vidéo de l’Associated Press montre également des affrontements entre les forces grecques d’un côté, et turques de l’autre.

(Vidéo Associated Press)

Grâce à quelques bâtiments distinctifs, notamment la tour du poste frontière ou encore la position des chemins de terre par rapport à la clôture, ces images postées entre le 7 et le 12 mars peuvent être géolocalisées à un seul et même endroit : le poste-frontière de Kastanies-Pazarkule, l’un des principaux points de passage entre la Grèce et la Turquie :

Position du poste-frontière de Kastanies-Pazarkule sur Google Map.

Pour plus de clarté, nous avons utilisé cette vue aérienne du poste-frontière où la tour d’observation est bien plus visible :

Géolocalisation des trois vidéos près du poste-frontière de Kastanies-Pazarkule. Crédit : Elie Guckert

Cette vidéo de l’agence turque pro-Ankara TRT collectée par le site d’investigation Bellingcat où l’on peut entendre des coups de feu semble avoir elle aussi été tournée dans la même zone, là où le chemin de terre côté turc longe la clôture marquant la frontière :

Source : Bellingcat.

x

Ce poste-frontière a été l’un des points privilégiés par la Turquie pour forcer les migrants à traverser la frontière turque, tentant au passage de déstabiliser son voisin grec, avec qui les relations sont pour le moins tendues. Ankara n’a en effet pas poussé les migrants vers le poste-frontière avec la Bulgarie, un État avec lequel ses relations sont beaucoup plus cordiales, ni vers celui de Kipi qui est bien partagé avec la Grèce mais qui constitue une voie commerciale trop importante pour que la Turquie prenne le risque de sa fermeture. Le poste-frontière de Kastanies-Pazarkule est donc l’un des seuls points de passages terrestres possibles pour les migrants qui n’ont comme seules autres alternatives que de tenter de franchir l’Evros, où un migrant a été tué, ou de traverser la mer Égée pour poser le pied sur l’île grecque de Lesbos, option toute aussi périlleuse

Les réseaux sociaux et la fachosphère, champ de bataille numéro 2

De manière peu surprenante au vu de leur caractère impressionnant, les images des affrontements au poste-frontière de Kastanies-Pazarkule ont été instrumentalisés par tous les camps. Ainsi, l’agence de presse russe pro-Kremlin Ruptly a plutôt tourné des images vues depuis le côté grec de la frontière, tendant à présenter une Europe sous pression migratoire agressée par la Turquie. De son côté, l’agence turque pro-Ankara TRT World a plutôt filmé depuis le côté turc, insistant sur les violations commises par les forces grecques et sur la misère des migrants. 

Ces deux récits du même événement sont cohérents avec les vues respectives de Moscou et Ankara sur l’Europe et la crise migratoire en général. Mais la Russie et la Turquie ne sont pas les seuls acteurs à appliquer une grille de lecture partisane, si ce n’est mensongère, sur les affrontements à la frontière gréco-turque. En France, plusieurs responsables politiques d’extrême droite dénoncent sur Twitter ce qu’ils considèrent comme une « invasion migratoire » et affichent leur soutien à la Grèce, notamment via le hashtag #IStandWithGreece («je me tiens aux côtés de la Grèce»), qui a été utilisé 67445 fois entre le 1er mars et le 1er avril. Pour trouver ce chiffre, nous avons utilisé l’outil Twint, qui permet de collecter des données sur Twitter, via le langage informatique Python. 

Nous avons également pu voir combien de fois les utilisateurs ont utilisé le hashtag. Si certains ne s’en sont servis qu’une seule fois, d’autres en revanche l’ont tweeté des centaines de fois. 

Certains responsables politiques français comme le porte-parole du Rassemblement national, Jordan Bardella, se sont même rendus sur place, tout comme plusieurs personnalités issues de la mouvance identitaire, sans pour autant toujours utiliser le hashtag #IStandWithGreece :

Source : Newsy et Bellingcat

Dans un tweet posté le 1er mars 2020, la présidente du RN Marine Le Pen commente par exemple des images tournées au poste-frontière de Kastanies-Pazarkule, insistant sur le fait que les migrants sont « majoritairement des hommes » qui menaceraient d’arriver « bientôt dans les villes et villages de France », sans oublier de s’en prendre au passage au président Emmanuel Macron. 10 jours plus tard, Jordan Bardella intervient sur CNews – depuis la Grèce où il s’est rendu aux côtés d’autres personnalités d’extrême droite – pour prôner l’une des lubies du parti : la fermeture des frontières nationales face à ce qu’il qualifie de « véritable déclaration de guerre à l’Europe » par Erdogan.

Des vidéos montrant les affrontements entre forces turques et grecques au poste-frontière de Kastanies-Pazarkule sont aussi partagées par des membres du groupuscule Génération Identitaire. Le 12 mars, le porte-parole Romain Espino va jusqu’à dépeindre une guerre de civilisation entre la Grèce et des « envahisseurs » pour appeler à transformer la frontière en « barrage infranchissable ». Un concept que le groupuscule à déjà essayé d’appliquer en France de manière plus ou moins heureuse. Damien Rieu, cadre historique de l’organisation, assimile quant à lui les migrants à des islamistes – simplement parce qu’ils crient «Dieu est grand» – à la solde des forces Turques.

D’autres comptes influents de la fachosphère francophone – comme Damoclès et le «roi de l’intox» @tprincedelamour, se sont joints aux réjouissances. Tout comme des organisations plus radicales que le RN, mais pas forcément très influentes sur les réseaux, parmis lesquelles l’Action française ou encore la Dissidence française, 

Les incidents à la frontière gréco-turque ont donc été instrumentalisés par l’extrême droite française afin de nourrir son narratif global sur les migrations et l’Islam et promouvoir son projet politique, quitte à déformer les faits.

Migrants, toujours perdants

Cette rhétorique a priori réservée à l’extrême droite a pourtant trouvé des résonances au sein même des institutions européennes : le 3 mars, avec une mise en scène plutôt martiale, la présidente de la Commission Ursula von der Leyen, le président du Conseil Charles Michel et le président du Parlement David Sassoli se sont rendus à Kastanies (du côté grec du poste-frontière) pour affirmer le soutien de l’UE à la Grèce.  « Je remercie la Grèce d’être en ce moment notre bouclier européen », déclare alors Von Der Leyen, faisant ainsi écho à la logique de guerre invoquée par la fachosphère, et sans mentionner les violations des droits humains commises par la Grèce.

Tweet d’Ursula Von Der Leyen posté le 3 mars où elle s’affiche patrouillant à la frontière en hélicoptère.

Une logique de peur et de polarisation bien comprise par le président turc, qui avait déclaré le 3 mars : « Depuis que nous avons ouvert nos frontières, le nombre de ceux qui se sont dirigés vers l’Europe a atteint les centaines de milliers. Bientôt, ce nombre s’exprimera en millions ». Si Erdogan, qui ira jusqu’à comparer les gardes-frontières grecs aux nazis, est prompt à dénoncer les abus commis par son voisin grec, il n’a en réalité pas plus de considérations pour les droits fondamentaux des migrants et n’hésite pas non plus à les chasser sans ménagement lorsqu’il n’a plus besoin d’eux. Dans ces affrontements réels et virtuels autour de la frontière gréco-turque, chacun trouve donc son compte, mis à part des milliers de civils à la recherche d’un asile, réduits à l’état de moyens de pression et d’objets de propagande.

Retour sur enquête: monitorer un événement public sur les réseaux sociaux

Retour sur enquête: monitorer un événement public sur les réseaux sociaux

Dans une enquête pour Bellingcat, Sébastien s’intéressait à la présence d’un militant de l’extrême-droite française au festival néo-nazi “Asgardsrei” qui avait lieu en Ukraine en décembre 2019. A travers cet exemple, il fait ici un rappel des techniques basiques pour monitorer un événement public (concert, manifestation etc.) sur les réseaux sociaux.


L’unique point de départ de mon enquête était une photo diffusée via Telegram montrant un drapeau du Groupe Union Défense (GUD) brandi dans la foule lors du festival de “Black Métal National Socialiste” (NSBM) “Asgardsrei” qui avait lieu à Kiev, en Ukraine, le week-end du 14–15 décembre 2019. Celle-ci indiquait vraisemblablement qu’au moins un militant français avait fait le déplacement.

La photo diffusée via Telegram.

Bien évidemment, la personne apparaissant sur la photo avait pris soin de ne laisser apparaître aucun élément permettant de l’identifier, on voit simplement une main ainsi qu’une ombre à travers le drapeau. 

Dans un premier temps, j’ai donc décidé de collecter d’autres images du festival. Comme pour n’importe quel événement de ce type, le nombre important de vidéos, photos souvenirs et autres selfies publiés sur les réseaux sociaux multipliait la probabilité que ce militant français ait été capté par un objectif autre que le sien.

Récolter le maximum d’images du festival

Puisque je cherchais des images de l’événement, je me suis intéressé dans un premier temps à Instagram, réseau social par excellence en la matière. Pour essayer d’être le plus exhaustif possible, j’ai procédé selon deux approches différentes.

D’une part, quelques recherches rapides m’avaient appris que le festival avait eu lieu au “Bingo Club” à Kiev. J’ai donc cherché les photos et vidéos tagués comme ayant été prises dans cette salle. Comme souvent, il existait plusieurs geocodes liés à cette salle (Bingo Club, BingoClub Kyiv, Bingo Club Kiev…), et je les ai donc consultés les uns après les autres.

Les deux premiers geotags correspondent à la salle située à Kiev
Exemple d’une photo geo-taguée par un utilisateur au Bingo Club.

Pour récupérer l’ensemble des photos et vidéos, j’ai utilisé l’extension chrome “Downloader of Instagram + Direct Message” qui permet de télécharger automatiquement un grand nombre de publications. Si c’était à refaire aujourd’hui, j’utiliserais plutôt l’outil python “Instaloader” (pour les adhérents, voir l’excellent guide d’Hervé !) qui permet d’être plus précis, notamment en indiquant la date des photos et vidéos qui nous intéressent, ou bien de récupérer les commentaires associés à une publication.

Dans un second temps, j’ai cherché les publications contenant certains hashtags qui pouvaient être liés au festival. J’ai tout simplement commencé par #Asgardsrei, puis je me suis servi des autres hashtags associés par les utilisateurs à ce premier pour pivoter vers d’autres recherches.

Photos avec le #Asgardsrei.
En plus du #Asgardsrei, cette photo utilise d’autres # pouvant être utilisés pour multiplier les recherches.
Exemple d’une vidéo du festival que je n’aurais pas trouvé si j’avais simplement cherché avec le #Asgardsrei ou via les geotags.

Puisque j’ai effectué mes premières recherches alors que le festival avait encore lieu, j’ai également téléchargé toutes les stories (publications qui disparaissent au bout de 24h) associées aux différents hashtags, ainsi que celles géo-tagués au Bingo Club.

En suivant peu ou prou le même procédé, j’ai cherché des images du festival sur Facebook, Vkontakte, Twitter, Youtube, Snapchat… Je me suis également intéressé aux différentes pages en rapport avec le festival: événement sur VKontakte, pages sur les réseaux sociaux des groupes présents, site internet du festival etc.

L’analyse

Après avoir récupéré des centaines de photos et vidéos du festival, il s’agissait désormais de repérer dans la foule le drapeau du GUD ou bien un visage familier.

Puisque la plupart des images étaient prises dans l’obscurité de la salle de concert, seulement interrompue par quelques flashs lumineux liés à la mise en scène, j’ai essayé de situer dans l’espace la personne que je cherchais. La foule semblait relativement statique (mis à part un mosh vers le centre de la salle à certains moments), j’en ai donc conclu que l’individu qui m’intéressait devait probablement se situer en face de la scène, vers l’avant de la salle. Si un simple croquis et un œil attentif m’ont permis de le repérer assez rapidement (quelques heures tout de même), j’ai aussi envisagé la possibilité de synchroniser différentes vidéos du festival pour en reconstituer des parties sous plusieurs angles.

Ce travail m’a donc permis de repérer le drapeau du GUD à de multiples reprises lors du festival (principalement lors des passages des groupes “Baise Ma Hache” et “Goatmoon”), mais surtout d’apercevoir son porteur.

Captures d’écran d’une vidéo publiée sur Youtube.

Identifier le porteur du drapeau

Cette silhouette qui m’était familière, ainsi que d’autres indices publiés sur la page Facebook “Ouest Casual” (associée au canal Telegram) laissant penser que le militant s’étant rendu en Ukraine était lié au groupe “Zouaves Paris”, m’ont conduit à consulter le profil d’un certain Marc “Hassin”. Ancien membre du GUD et militant bien connu des Zouaves Paris, Marc avait récemment mis à jour sa photo de profil Facebook, indiquant que celle-ci avait été prise en Ukraine, le 21/10/2019.

La photo de profil Facebook de Marc “Hassin”.

Peu convaincu par la possibilité que Marc “Hassin” ait effectué un voyage en Ukraine presque deux mois jours pour jours avant Asgardsrei, et en partant du principe que la date indiquée pouvait contenir une faute de frappe (10 pour le mois au lieu de 12) ou bien avoir été volontairement modifiée, j’ai décidé d’effectuer des recherches sur ce championnat de kick-boxing.

Ayant peu de résultats convaincants via Google et Yandex, j’ai encore une fois utilisé Instagram et cherché des photos utilisant #kickboxing aux alentours du 21 décembre. Sur plusieurs d’entre-elles, j’ai remarqué un décor similaire à celui en arrière-plan sur la photo de Marc “Hassin”.

Photo du championnat auquel a participé Marc “Hassin” publiée sur Instagram avec le #kickboxing.

Après vérification, il s’agissait bel et bien du même événement, un championnat s’étant déroulé au “Спорткомплекс КПИ” à Kiev du 20 au 22 décembre. J’ai donc une fois de plus réuni le maximum de photos et vidéos du championnat, que ce soit via divers #hashtags ou bien le géotag.

Marc n’apparaissant visiblement pas sur celles-ci, j’ai consulté méthodiquement les profils Instagram des personnes ayant publié ces photos: autres photos publiées, photos sur lesquels le compte est identifié, stories “à la une” (stories archivées par l’utilisateur et donc en ligne au delà des 24h initiales).

Après de longues recherches, j’ai finalement identifié Marc sur plusieurs photos, notamment des stories archivées. Sur l’une d’entre elles, Marc posait avec le même drapeau que celui brandit à Asgardsrei.

Photo de Marc “Hassin” au championnat de kick-boxing à Kiev avec un drapeau du GUD, publiée sur Instagram et archivée en “stories à la une”.

Conclusion

Si d’autres informations sont venues compléter mon enquête, ce sont les deux éléments présentés ici (la silhouette du porteur du drapeau et la photo de Marc avec ce même drapeau à Kiev quelques jours plus tard) qui en ont formé la base.

En somme, donc, pas de recours à des techniques de sorcellerie très poussées en OSINT, mais un travail se voulant méthodique et exhaustif. Comme quoi multiplier ses recherches autours de différents hashtags ou geotags et compulser des dizaines de profils efficacement peut (parfois) suffire!

Rumeur autour d’une vente aux enchères… pour manipuler l’opinion ?

Rumeur autour d’une vente aux enchères… pour manipuler l’opinion ?

Qui aurait imaginé que la vente d’une œuvre phare du pop art, symbole de la vie californienne, se retrouve au cœur d’un règlement de comptes politique de la famille Assad en Syrie ? Une vente aux enchères éclair, un milliardaire fugitif hongkongais, une rumeur lancée par un média russe… L’actualité de cette œuvre d’art révèle quelques failles de notre époque. Décryptage.

The splash david hockney
The splash david hockney

Le 11 février dernier, à Londres, le tableau intitulé « The Splash », réalisé par l’artiste britannique David Hockney en 1966, a été vendu aux enchères à 23,1 millions de livres, soit 27,4 millions d’euros. La vente aux enchères a été organisée par Sotheby’s, acteur dominant du marché des ventes d’art contemporain. La toile représente une piscine et un plongeoir, avec des éclaboussures, laissant penser qu’un nageur vient de pénétrer dans l’eau. Emblématique du quotidien en Californie où a vécu l’artiste, icône du Pop Art, cette peinture devient la troisième toile la plus chère de David Hockney.

Dans une atmosphère inquiète de savoir si le Brexit ou la crise du coronavirus aurait des impacts financiers sur le marché du monde de l’art, l’enchère semble plutôt décevante, dans le milieu de l’art.

Comme on peut le constater sur cette vidéo du direct de la vente, postée par la page Facebook de Sotheby’s, les enchères autour de l’œuvre de David Hockney, « star » de cette journée, ont été très rapides : la vente a été adjugée après une seule offre à Jackie Wachter, vice-présidente des ventes privées pour Sotheby’s à Los Angeles, mandatée par un client mystère, qui avait posé une garantie de tiers à Sotheby’s.

Vidéo de la vente aux enchères mise en ligne par Sotheby’s, à regarder à partir de 33’05 :

Le système de garanties permet à un vendeur d’être rassuré que son bien sera effectivement vendu, à un certain tarif minimum : le lot peut être garanti soit par la maison de vente aux enchères, soit par un tiers (acheteur intéressé, comme c’est le cas ici). Cette pratique n’est pas nouvelle, mais elle s’observe de plus en plus ces dernières années. En effet, elle permet d’inciter les propriétaires d’œuvres d’art à vendre leur biens, leur donnant la certitude d’une enchère minimum.

Un vendeur fugitif de Macao

Yvonne Lui et Joseph Lau, 2011 / Source Wikipedia

Le vendeur, lui, est connu : il s’agit de Joseph Lau, un milliardaire de 68 ans, actionnaire majoritaire de la Chinese Estates Holdings. Promoteur immobilier de Hong Kong, il détient une fortune d’environ 7,3 milliards de dollars, selon Bloomberg Billionaires Index

Il a été reconnu coupable par contumace de corruption et blanchiment d’argent par un tribunal de Macao, en 2014. Il lui était reproché le paiement d’un montant de 2,6 millions de dollars à l’ancien chef des travaux publics de Macao. Joseph Lau a été condamné à une peine de cinq ans de prison. Hong Kong n’ayant pas de traité d’extradition avec Macao, le milliardaire est pour l’heure fugitif de cette région autonome, puisqu’il refuse de s’y rendre. 

Le fugitif est aussi connu pour avoir acheté l’œuvre « Mao » d’Andy Warhol, en 2006 pour 17,4 millions de dollars. En 2007, il a également acquis un tableau de Paul Gauguin (« Te Poipoi ») pour 39,2 millions de dollars. C’est en 2006 qu’il s’offre « The Splash » de David Hockney, pour 2,9 millions de livres. 

Rumeur d’une vente à Bachar al-Assad : l’info qui fait plouf

Si l’identité du vendeur est connue, celle de l’acquéreur a été objet de rumeur, pour le moins étonnante. En effet, quelques semaines après la vente, plusieurs articles de presse ont relayé que la toile aurait été vendue à Bachar al-Assad, qui l’aurait offerte à sa femme, Asma al-Assad. Ainsi, le 25 avril dernier, Libération publie une chronique intitulée « Cadeau à 27 millions d’euros pour Asma al-Assad : scandale en Syrie après des accusations russes ». 

L’information provient d’un journal proche de Kremlin, Gosnovosti. Libération a pris les précautions de mettre son article au conditionnel, et d’indiquer que l’article à l’origine de la rumeur sa base sur un prétendu compte Twitter syrien introuvable. En réalité, le compte existe bien, mais le tweet qui relaie l’information, illustré en capture d’écran par le journal russe, a été effacé depuis. Ce compte Twitter n’a, à son actif, qu’une dizaine de tweets, et a été créé en janvier 2020. 

Malgré la pauvreté de cette source, l’information est reprise par plusieurs journalistes, parfois avec mesure : 

Comme ici, par un journaliste de Radio Canada : 

Là, par la directrice de l’information parlementaire Public Sénat : 

Pour d’autres, les pincettes ne sont plus de mises et nous voyons par exemple l’auteur du blog « Lunettes Rouges » publié sur le Monde, relayant l’information comme si elle avait été confirmée :

Ainsi encore, ce 8 mai 2020, il persiste et signe, alors même que le doute sur l’information lui avait été signalé suite à son premier tweet : 

Quelques médias relayent également l’information, avec plus ou moins de recul :

Pourtant, ce que révèle la sortie de cette rumeur qui a soulevé indignation en Syrie, c’est un potentiel changement de position de la Russie, envers Bachar al-Assad, mais aussi les règlements de comptes du clan Assad. 

Car il semble que les relations soient houleuses entre Bachar al-Assad et son cousin, Rami Makhlouf, l’homme le plus riche de Syrie, ancien pilier du régime, comme l’explique dans un billet Jean-Pierre Filiu sur son blog du Monde. Le cousin germain de Bachar al-Assad a profité de la libéralisation économique menée par Bachar al-Assad : « Makhlouf s’est alors constitué un véritable empire, accaparant à son profit les « privatisations » d’entreprises publiques, investissant dans les nouvelles banques « privées » et, avec Syriatel, prenant une position dominante dans la téléphonie mobile. Avec une fortune évaluée en milliards de dollars, de 3 à 7 suivant les sources, Makhlouf est devenu le grand financier des milices pro-Assad, dont le rôle dans la répression du soulèvement populaire de 2011 a été déterminant. »

Depuis 2018, les tensions se sont amplifiées entre les deux cousins. Notamment parce que la reconquête par le régime d’une grande partie du territoire syrien entraîne un partage des richesses qui n’avantage pas Rami Makhouf : une partie de ses biens ont été mis sous séquestre, des impôts importants lui sont exigés…

Certains disent que la rumeur lancée au sujet du tableau de David Hockney qu’Assad aurait offert à sa femme, pourrait être l’œuvre d’une tentative de déstabilisation, rappelant que le père (l’un des anciens chefs des services syriens de sécurité) et le frère de Rami Makhlouf sont aujourd’hui installés à Moscou.

Interpellation par vidéos Facebook 

C’est la première fois que le clan Assad se déchire publiquement : le 30 avril 2020, Rami Makhouf publie une première vidéo (qu’il republiera le lendemain) sur sa page Facebook, en public :

Il implore le président syrien de rééchelonner les arriérés d’impôts réclamés par le régime à son groupe, à hauteur, selon lui, de 162 millions d’euros. Le 3 mai, il republie une seconde vidéo, toujours sur Facebook :

Il dénonce ici, comme explique par Le Monde, les pressions exercées sur sa société Syriatel, notamment en arrêtant certains de ses employés : « Quelqu’un peut-il imaginer que les services de sécurité s’en prennent aux entreprises de Rami Makhlouf, qui a été le plus grand soutien et parrain de ces services pendant la guerre ?, s’interroge-t-il dans la vidéo. Si nous continuons sur cette voie, la situation dans le pays deviendra très difficile ». 

Rami Makhouf demande donc de repousser les paiements pour que sa société ne s’effondre pas. Le milliardaire est sous sanction américaine depuis 2008, pour « corruption publique ». L’Union européenne a aussi imposé des sanctions à Makhlouf depuis le début du conflit syrien en 2011, l’accusant d’avoir financé Bachar al-Assad.

Propagande russe 

Outre le conflit entre Bachar al-Assad et son cousin, la rumeur lancée par le média russe souligne, selon plusieurs journalistes syriens anti-régime, la propagande contre Bachar al-Assad lancée par les médias russes, depuis plusieurs mois et dont l’article sur le tableau en est l’exemple le plus « grossier ». L’un de ces journalistes anti-régime y voit même le « signe annonciateur d’une future expulsion de Bachar al-Assad, lors des prochaines élections présidentielles d’avril 2021 »

Mi-avril, le site russe pro-Poutine RIA FAN, détenu par l’homme d’affaire russe Evgueni Prigojine, proche de Poutine, publiait une série d’articles très critiques à l’égard de Bachar al-Assad, comme le signale Benoît Vitkine, journaliste au Monde, spécialiste de la Russie. Le site russe RIA FAN disait avoir effectué une enquête d’opinion dont les sondés donnaient 32% d’intention de vote pour les élections de 2021 en faveur du président actuel syrien.

Ces publications ont depuis été effacées du site, qui évoque « une attaque informatique » pour expliquer l’apparition de ces « fake news ». Le site a-t-il vraiment été victime d’un piratage ? Ou bien le journal russe a-t-il fait machine arrière ? Impossible de la savoir.

Quoiqu’il en soit, comme nous l’avons vu pour la rumeur sur l’achat du tableau de David Hockney par Bachar al-Assad, une désinformation est :

  1. Toujours une information sur d’éventuelles tentatives de déstabilisation : reste à savoir par qui, dans quel but, etc.
  2. Rarement « débunkée » autant qu’elle n’est partagée : l’information fausse peut donc marquer les esprits de lecteurs, pas forcément au courant, après coup, que ce n’était qu’une rumeur.

Mais où est alors la toile « The Splash » ? 

Selon une source proche de Bloomberg, qui a souhaité rester anonyme étant donné le caractère personnel de l’information, David Geffen serait l’heureux nouveau propriétaire de la toile « The Splash ». Une œuvre qu’il connaît bien pour l’avoir déjà acquise par le passé, avant de la revendre en 1985, comme l’indique le site de Sotheby’s :

Source : Sotheby’s

Pourquoi cette information paraît plus crédible ?

  • La source : Bloomberg est l’une des magazines américain les plus importants. Site d’information sérieux, il doit sa notoriété au fait d’avoir des journalistes respectant quelques règles avant de publier une information. Il apparaît peut probable que ce journal prenne le risque de publier une information qui peut être démentie par le propriétaire de l’oeuvre d’art.
  • La probabilité de l’information : un milliardaire qui avait déjà possédé l’oeuvre, ça paraît plausible.

Cette information reste évidemment à prendre avec des précautions mais on peut raisonnablement penser qu’un jour ou l’autre, que ce soit dans 5, 10 ou 15 ans, l’information sera rendue publique, ne serait-ce que lorsque l’oeuvre d’art reviendra un jour dans une salle de vente aux enchères.

Sur la base de cette hypothèse, on peut s’interroger sur la pertinence de racheter une œuvre, des années plus tard, à un prix pharaonique par rapport au premier achat. Même si ce milliardaire n’en est pas à compter son argent (David Geffen a récemment revendu une villa à Jeff Bezos à 165 millions de dollars, alors qu’il l’avait payé 47,5 millions 30 ans plus tôt), ce n’est tout de même pas sa meilleure affaire. Pourquoi racheter « The Splash » maintenant ? 

Nous avons recueilli l’avis de Cédric Aumaitre, directeur de Clear Art Conseil, et auteur d’un article publié le 21 février 2020 « Art et investissement : plongeon dans l’art contemporain ». Pourquoi acheter un tableau plus cher que ce qu’on l’a vendu ? Pour lui, si l’acquéreur s’avère bien David Geffen, seul lui détient la réponse, cependant, on peut tenter d’expliquer le contexte dans lequel s’est fait cette vente : 

« David Geffen est richissime, il possède plus d’argent qu’il ne peut en dépenser, donc le prix n’existe pas, du moins en tant que capacité à acheter. Cependant le prix à son importance, non par le montant de la dépense, mais par ce qu’elle peut signifier pour celui qui achète. Nous pouvons voir dans ce rachat une illustration de l’effet Veblen, phénomène par lequel la demande d’un bien augmente en même temps que son prix. A 30M$ ce tableau est plus désirable qu’à 3M$… » 

Le spécialiste du marché de l’art termine en expliquant que même à 27 millions de livres, l’achat de l’œuvre d’Hockney reste un bon placement : « Nous pouvons penser que ce tableau pourra faire une plus-value importante lors de sa revente. »