Colloque OSINT et Sciences Sociales (avec beaucoup de géopolitique dedans)

Colloque OSINT et Sciences Sociales (avec beaucoup de géopolitique dedans)

Le lundi 29 novembre, le landerneau de l’OSINT français s’était donné rendez-vous au rutilant Campus Condorcet, à Aubervilliers, autour du colloque « Où nous mènent les traces numériques ? Pratiques et apports de l’OSINT aux sciences sociales » organisé par le centre de recherche et de formation GEODE (Géopolitique de la Datasphère) et l’IRSEM (Institut de Recherche Stratégique de l’Ecole Militaire) en partenariat avec Paris 8, la Fabrique Défense (NDLR : Ministère des armées) et l’IFG (Institut Français de Géopolitique). Spoil Alert : si l’OSINT français était au cœur des discussions, forcément vu les acteurs de la journée, la Russie, la Chine et autres terrains politiquement sensibles ont été abordés.

Affiche de l’évènement

250 places ouvertes à tous (gratuites), billetterie sold out avant la date, l’événement promettait une belle réunion. Le déroulé de la journée et la composition des panels ont fait la part belle aux disciplines variées qui font appel à l’OSINT :  géopolitique, recherche, forces de l’ordre et de la défense, journalisme, cybersécurité, métiers de la data…

Après quelques propos introductifs de Kevin Limonier (GEODE) et Paul Charon (ISERM), la journée a démarré avec la présentation de Viginum. Le service tout-nouveau-tout-beau rattaché au cabinet du Premier ministre et placé auprès du SGDSN (secrétariat général de la défense et de la sécurité nationale) est chargé de la vigilance ainsi que de la protection contre les ingérences étrangères. L’équipe pluridisciplinaire de Viginum compte 21 agents, et à terme, fin 2022, 50 postes. 

La première table ronde, « l’OSINT comme pratique opératoire », invite Roman Adamczyk (EU Disinfo Lab), Hugo Benoist (OSINT-FR), Mathieu Gaucheler (Maltego), Romain Mielcarek (Journaliste) et Clément Audebert (Preligens) à présenter leurs structures (présentations teintées de marketing, nécessairement, pour Maltego ou Preligens) puis à répondre aux questions du public. Roman Adamczyk retrace le travail accompli contre la désinformation avec EU Disinfo Lab. L’ONG basée à Bruxelles a bouclé 10 enquêtes en un peu plus de 2 ans, l’occasion de revenir sur quelques déconvenues dans l’accueil de leur travail : entre les mises en demeures d’avocat et les erreurs dans la perception des enquêtes, les difficultés se situent parfois dans l’accueil de leur travail davantage que sur les investigations en elles-mêmes. L’intervention de Romain Mielcarek, journaliste, fait mouche (notamment si l’on compte les questions du public qui lui seront adressées). D’emblée, il souligne que l’OSINT est un vocable venu du monde du renseignement et ne s’applique pas au journalisme d’investigation. Que chaque discipline utilisant les recherches en ressources ouvertes doit trouver son cadre éthique   Et contrairement à cet effet de mode qui veut consacrer l’OSINT comme moyen unique de recherche, pour lui, ce n’est qu’un moyen parmi d’autres, venant en complément du travail sur le terrain que le praticien qu’il soit journaliste ou enquêteur, doit accomplir.

L’après-midi, la deuxième session offre l’espace à 4 chercheurs d’exposer leur expérience de l’OSINT. Léa Ronzaud (Graphika), narre l’investigation – finalement infructueuse – de son équipe pour retrouver le distributeur de PQ à l’effigie de Joe Biden sur Times Square. Hugo Estecahandy (GEODE) a offert à l’amphithéâtre un cours introductif au fonctionnement du bitcoin en partant d’une trouvaille sur le site d’Egalité et Réconciliation. Marie-Gabrielle Bertran (GEODE) mène avec brio une démonstration à deux têtes sur l’OSINT russe relativement ouvert puis sur les données grises (leaks) en prenant exemple  sur 2 affaires : le vol de 7,5 TB de données à SyTech, sous traitant de plusieurs organes officiels russes et l’attaque du groupe Sands à Las Vegas par un groupe de hacktivistes iraniens (support de présentation à disposition des membres OF). Enfin, dans une vidéo d’une quinzaine de minutes, Ksenia Ermoshina (CNRS) présente ses travaux de recherche sur les conséquences de l’annexion de la Crimée pour les infrastructures Internet dans la région. 

@nicolasquenel

Le dernier panel a rendu la délégation Open Facto un peu chauvine car notre président Hervé a posé les jalons d’un OSINT responsable par une définition épistémologique qui en dessine le champ et ses limites en rappelant la définition incontournable d’une information récupérée « sans ruse et sans stratagème », formule reprise ensuite par d’autres intervenants. A ses côtés, Rayya Roumanos, (IJBA), Kevin Limonier (GEODE), Paul Charon (IRSEM) et Fabien Laurençon (IRSEM) ont débattu autour du thème « Epistémologie de l’OSINT : apports et limites du renseignement d’origine sources ouvertes aux sciences sociales ». Une façon de rappeler que les investigations sur le « terrain numérique », techniques relativement récentes, permettent beaucoup de possibilités, mais doivent être aussi encadrées et organisées. 

La journée s’est donc terminée sur une touche « meta-osint », avec l’évocation des enjeux de demain. Quand les acteurs français de l’OSINT pensent l’OSINT, la boucle est bouclée.  

Retour sur la Conférence EUDisinfolab, 26-27 octobre 2021 Bruxelles

Retour sur la Conférence EUDisinfolab, 26-27 octobre 2021 Bruxelles

OpenFacto était représentée à la Conférence EUDisinfolab, qui s’est tenue à Bruxelles 26-27 octobre 2021 et vous propose ce compte-rendu agrémenté de quelques reflexions.

Conférence EUDisinfolab, 26-27 octobre 2021 Bruxelles

Paysage de la désinformation aujourd’hui

Paysage européen de la désinformation

La conférence EUDisinfolab a permis de faire le tour de nombreuses campagnes de désinformation qui ont touché les pays européens. Toutes avaient un but commun : déstabiliser les instances décisionnaires et polariser le débat public. De plus, il a été souligné que les écosystèmes de la désinformation devenaient de plus en plus complexes et que de nouveaux acteurs y entraient tous les jours.

La Lituanie ainsi que les Balkans sont ciblés par des campagnes de désinformations russes (et biélorusse) notamment sur les questions migratoires. Et, en Europe de l’Est, Daniel Fazekas (fondateur de Bamako.Social) relève quatre tendances majeures. Tout d’abord, l’institutionnalisation de la désinformation (en Hongrie, les médias proches du pouvoir ont propagé des infox faisant un lien entre immigration et arrive de l’épidémie) ; la dénonciation d’un ennemi intérieur (ONG, libéraux ou encore communautés LGBTQ+ en Hongrie) ; pourtant, en Hongrie encore, la propagande semble s’essouffler. À titre d’exemple, les médias pro-Orban engagent 20 fois moins que les médias anti-Orban. Enfin, des défis asymétriques apparaissent, en effet, de nouveaux médias issus du crowdfunding naissent, notamment sur YouTube en proposant des standards journalistiques de haut niveau.

Raquel Miguel Serrano, chercheuse au EUDisinfolab a également souligné que la désinformation qui a touché les élections fédérales allemandes a particulièrement ciblé les candidats verts, sachant que la candidate A. Baerbock a notamment subi une vague de désinformation sexiste ; ce type de campagne de désinformation genrée étant très employée en ce moment.

Économie de la désinformation

Suivre les enjeux financiers afin de caractériser une campagne de désinformation a autant d’importance dans la partie recrutement, à l’instar de l’exemple repris par Charlie Haynes, journaliste à la BBC, du Fazzegate où la Russie a offert de l’argent a des influenceurs pour répandre de la désinformation sur le vaccin produit par Pfizer ; que dans le business model des plateformes elles-mêmes. En effet, on se rend compte que lorsque la question financière entre en jeu, les plateformes ne gèrent plus la désinformation et n’offrent plus la transparence que les sociétés civiles seraient à même de leur réclamer.

Les campagnes de désinformation, à l’instar des campagnes cyber sont protéiformes. Il faut donc prendre en compte simultanément les différentes couches qui les caractérisent. La question financière en recouvre plusieurs, mais la question du financement des campagnes et des publicités ciblées présentent sur les réseaux sociaux sont particulièrement prégnantes.

Prévalence de l’anglais

Emerson T. Brooking (chercheur affilié au DFRLAb) revient sur le fait que plateformes étant en grande majorité américaines, leur travail de modération et leurs algorithmes sont surtout gérés en anglais. Ce qui crée une asymétrie dans la gestion de la désinformation dans les différents pays, biaise les instances de modération et crée d’importantes failles de sécurité.

So what?

Un besoin de normes et de standards

De nombreux interlocuteurs de la conférence ont souligné l’importance de travailler en collaboration avec les citoyens, les administrations publiques, le secteur privé car, pour répondre à la désinformation en tant qu’élément essentiel d’une activité d’ingérence structurellement hybride, la réponse elle-même doit être hybride. Cela demande tout d’abord une exigence de transparence, aussi bien des politiques que des méthodes journalistes, des algorithmes des plateformes ou du travail de débunkage des instances qui en ont la charge. Mais cela demande aussi de mettre en place des stratégies nationales et transnationales et, enfin, de travailler à la dimension normative de la description des campagnes de désinformation ainsi que le souligne Lutz Guellner, chef de la division des communications stratégiques au SEAE.

Il s’agit donc, à terme, de voir s’il est possible de créer une approche commune pour avoir des éléments de comparaison et pouvoir mettre en place des standards méthodologiques. Concernant la caractérisation des campagnes de désinformation, il importe de construire des ponts entre les différentes institutions pour éclairer les preuves. C’est-à-dire que les éléments investigués doivent pouvoir être partagés, mais il faut pouvoir également réfléchir à l’articulation des preuves qualitatives, quantitatives dans la description des campagnes de désinformation. Sous quelles formes, dans quelles normes, et de quelle manière seront-elles archivées ? A l’instar des pratiques OSINT, la qualité de la preuve facilitera sa validité ainsi qu’à terme le travail d’attribution de ces campagnes.

Stephen Turner, directeur des affaires publiques européennes sur Twitter est intervenu notamment pour expliquer comment le compte de D. Trump avait été supprimé de la plateforme, sachant que cette décision était intervenue après la mise en place de tout un ensemble de mesures prise à son encontre. Cependant, de nombreux éléments restent trop obscurs dans la définition d’éléments de modération sur les plateformes de réseaux. Sans transparence et sans norme, on peut tout à fait douter de la bonne foi de ce travail de modération.

Enfin, l’importance donnée à une campagne de désinformation peut-être éminemment politique et subjective. On a besoin de normes et de créer des standards pour mesurer l’impact de la désinformation, sortir de cette subjectivité et permettre une réponse ou une action face à une campagne de désinformation. (cf. les échelles de mesure proposées respectivement par Ben Nimmo et Ruurd Oosterwoud).

Figure 1. The Breakout Scale de Ben Nimmo

  • Catégorie 1 = aucune interaction avec l’extérieur
  • Catégorie 2 = amplification sur plusieurs plateformes par le biais de comptes inauthentiques
  • Catégorie 3 = urgence ! Multiples points de sortie sur multiples plateformes.
  • Catégorie 4 = les profils inauthentiques performent plus que les profils officiels
  • Catégorie 5 = une personnalité relaie l’information
  • Catégorie 6 = danger de violence

(Voir la présentation de Ruurd Oostewoud sur les 5 driven criteria to measure the impact of disinformation)

Éducation à long terme

Dans la lutte contre la désinformation, on cherche à savoir comment ramener les personnes à la réalité. Or à l’instar de la lutte contre la radicalisation, l’éducation à la désinformation prend du temps ainsi que le souligne Eliot Higgins, fondateur de Bellingcat. On ne peut pas se contenter d’un travail de débunkage qui a finalement une portée très limitée. Tout d’abord parce qu‘il se déroule sur des instances où ses conclusions ont moins de portée que la désinformation elle-même ensuite, parce qu’il est important que les gens y soient eux-mêmes sensibilisés et éduqués. Plusieurs intervenants et notamment le Dr Mathias Wargon, sont revenus sur la responsabilité des médias plus que des réseaux sociaux, dans la désinformation. Parce que les journalistes, par exemple, manquent de culture scientifique, parce qu’ils ne s’obligent pas à un débat réellement contradictoire. Car, en effet, s’il l’on s’écharpe sur les réseaux sociaux, les conséquences réelles finalement sont liées à ce qui est diffusés dans les médias eux-mêmes.

Digital service Act

La fin de la conférence a été l’occasion d’une présentation par Thomas Granjouan (EuDisinfolab), du Digital service Act (DSA), c’est-à-dire une proposition de lois pour la régularisation des plateformes.

Les points positifs soulignés sont les suivants : ce système peut être utilisé pour mettre en place un système de traitement des plaintes, pour demander la transparence sur les systèmes de recommandation, permet la mise en place d’audits sur les algorithmes ou bien encore d’imposer des sanctions ou de lourdes amendes en cas de non-conformité. Cependant, cette loi sur les services numériques ne prévoit aucune sanction contre l’inaction des plateformes, n’applique aucun code de conduite sur les publicités ou la désinformation présentent sur celles-ci. Enfin, elle n’élargit pas suffisamment l’accès aux données (manque de transparence en cause, encore un fois) et pose un problème sur lequel EuDisinfolab ainsi que Věra Jourová (vice-présidente de la commission européenne) sont revenus : la problématique de l’exemption des médias. Si la loi européenne propose de régulariser la modération de contenu sur les sites de grandes compagnies comme Google ou Facebook, l’exemption de cette modération appliquée aux médias est la porte ouverte à une désinformation sans précédent.

Pour conclure sur ces différentes interventions, il a été maintes fois répété que la construction d’une société résiliente aux campagnes de désinformation se construit sur l’éducation à long terme de la société civile sur ses méthodes aussi bien que sur une collaboration des différentes instances (civiles, administratives, privés…) qui la constitue. Les notions de transparence : des médias, des plateformes tout autant que dans le monitoring de la désinformation par une entité gouvernementale ainsi que la création d’un cadre réglementaire et la mise en place de normes ont été régulièrement invoqués comme éléments structurants dans la lutte contre la désinformation. Cette lutte se joue sur tous les fronts simultanément.


OpenFacto participe au CTF OSINT UYBHYS – Retex

OpenFacto participe au CTF OSINT UYBHYS – Retex

Vendredi 12 novembre se tenait la 6ème édition d’UYBHYS. durant laquelle un CTF d’OSINT était organisé de 16h00 à 22h00 en distanciel.

UYBHYS, pour “Unlock your Brain, Harden your System”, est l’événement de sécurité numérique le plus à l’Ouest, en Bretagne, evel-just !

Petit CTF sympa en perspective, organisé par : @erys70695660, @madame_https et @D4ftR0ck, ainsi que  @0xraven_

Une fine équipe encadrée par @realDumbleDork, fondateur de la communauté Osint-fr.

Ni une ni deux, nous nous y greffons, en nous répartissant sur deux équipes.

Au menu, une enquête fictive qui démarre sur la société Berzelius Corp, victime du vol de l’un de ses camions contenant des produits hautement chimiques. 
Trois parcours étaient disponibles : 

  • Une investigation principale avec une douzaine de challenges s’articulant autour du vol du camion par un groupuscule éco-terroriste.
  • Des investigations parallèles avec quatre défis autour des petits secrets des employés de la société fictive et de leurs interactions en terre bretonne.

Ces deux premiers parcours mixeront socmint, geoint, bases de données en ligne…

  • Les crypto-Investigations : 5 challenges. Ce dernier parcours se concentre sur le secteur de la crypto.

Côté Orga : 

Présents sur ce CTF : 135 joueurs répartis en 44 équipes.

Le CTF accuse un retard d’1 minute, car l’ensemble des challenges furent laissés en “Admin Only”. 

L’histoire est bien rodée, les personnages et l’intrigue nous amènent de recherches en découvertes, avec quelques petits sujets un peu tordus.

C’est dans la bonne humeur que se terminera ce CTF avec en scoreboard :

Quelques focus et anecdotes sur les challenges

Zoom sur Challenge “On the Road Again”

On notera parmi les différentes énigmes, un challenge qui a fait couler beaucoup d’encre : “On the Road Again”, concocté par @Erys.

10 équipes sur 44 sont parvenues à trouver la solution au défi… une énigme assez simple à résoudre et pourtant, les biais de confirmation, d’attribution et l’effet d’ancrage auront eu raison d’une bonne partie des participants.

Erys résumera le mieux la performance moyenne des participants à cette énigme :

Et oui :

Zoom sur le parcours Crypto :

Le parcours crypto se compose de cinq questions amenait les équipes à enquêter sur le financement de l’Ordre des Avocettes. Fort heureusement, les questions ne portaient pas sur l’analyse de la blockchain et aux nombreuses transactions qu’elle comporte, exercice délicat et chronophage 

Les challenges du parcours mettaient en lumière la relative notion de pseudonymat entourant les crypto-monnaies. Car si la blockchain est pseudonymisée, la surface numérique d’un wallet ne l’est pas pour autant. Il était possible de trouver toutes les réponses en effectuant une recherche simple sur un moteur de recherche à partir du numéro du wallet et en ajoutant éventuellement à la requête des détails sur ce qu’on voulait trouver.
    Un des challenges amène les équipes à trouver le nom d’un marché noir du dark web sur lequel le wallet s’était approvisionné en drogue, information que l’on trouvait pourtant sur le web de surface via un simple moteur de recherche sans nécessité de parcourir le dark web.

La question nous rappelait qu’il n’existe pas qu’une seule crypto-monnaie comme il n’existe pas qu’une seule blockchain. Et oui, un des wallets ciblés n’effectue pas que des transactions en Bitcoin [BTC] mais aussi en Bitcoin Cash [BCH]. Cette autre monnaie virtuelle étant régi par sa propre blockchain !

Et une dernière  anecdote pour la route :


    “Les Narcos chinois” ou “de la nécessité de bien vérifier si ce que l’on trouve est bien ce que l’on cherche”.

Vous est-il déjà arrivé de vous perdre sur internet ? N’ayez pas honte c’est tout à fait naturel, même au cours d’un CTF …

L’une des questions du challenge nécessitait de trouver des informations sur une adresse MAC :

adresse MAC : A8:BA:8B:CB:5F:82. Il semblerait qu’il s’agisse de l’adresse MAC de l’IPhone auquel est relié l’AirTag. Il est possible que cette adresse nous mène vers l’endroit où les voleurs cachent le camion et les produits chimiques.

A partir de ces informations, trouvez cette adresse postale.”

La résolution de cet énigme était simple si l’on avait connaissance du site wigle.net mentionné plus haut. Or, ce n’était absolument pas notre cas.

Passé la détresse des premiers instants suivi de requêtes paniques sur Google, l’un des membres de l’équipe a eu la bonne idée de passer l’adresse MAC sur shodan.io , ce qui n’est pas une mauvaise idée en soit et là … bingo !

Une adresse IP en Chine semble liée à une liste d’adresse MAC dont celle que nous cherchons, ce qui est très rare. Le challenge demandant de trouver une adresse, nous devons nous résoudre à tenter les coordonnées GPS liées à cette IP :

La Chine en Bretagne ? Tant pis qui ose gagne !

Pas très parlant, les routes n’ont même pas de noms sur Google Maps. Tiens ! Un coup de bol, un utilisateur a pris en photo et publié sur google l’endroit d’où proviennent les coordonnées GPS, nous touchons au but. Dans un endroit aussi bizarre ce ne peut être un hasard !

???!!!

Voilà donc le lieu où les Cartels de La Couyère et de Corps-Nuds (CF – le Challenge) se retrouvent pour négocier et se partager la Bretagne tout en concoctant des CTF GEOINT impossible. Une découverte capitale dans la lutte contre le crime organisé.

Plus sérieusement et malgré l’aspect trivial de la chose, il est important de vérifier si ce que l’on a trouvé correspond bien à ce que l’on cherchait. En effet Shodan a affiché l’adresse IP mais ne montrait pas explicitement ce qui avait été trouvé. En effectuant de nouveau la requête on se rend compte avec effroi en filtrant la page des résultats que :
Shodan n’a fait une correspondance que sur les 3 premiers digits de l’adresse MAC parmi la liste des autres adresses. Cela aurait donc pu être évité.

Qui plus est, les coordonnées GPS du site ipleak.net indiquait que la portée était de 5 km de rayon (pas très chirurgical).     Heureusement que cette folie a cessé, parce qu’il était possible, avec le nom d’utilisateur de la personne ayant posté cette photographie mythique, d’en déduire le mail et de pivoter sur son compte Instagram et TikTok qui comportait des publications de lieux, boutiques et … d’avions ! De quoi se perdre encore un tout petit peu.

Le + apprécié par les participants : 

  • Le format du CTF dans son déroulé et dans son timing et l’heure : meilleur compromis pour engager du monde sur un évènement sans trop impacter sur le temps perso, 
  • Le discord pour le chat temps réel, permettant aux équipes de ne pas perdre de temps sur des problèmes techniques, et de permettre aux organisateurs d’adapter ou de corriger en temps réel, tout dysfonctionnement, consignes pas très claires ou errances des participants (exemple, avec “On the road again” : les organisateur ont délivré un indice supplémentaire et corrigé la consigne de saisie de la réponse)

Les axes d’amélioration : 

  • On the road again : La consigne de la saisie de la réponse n’était pas claire et l’énigme tirée par les cheveux. Le style “enquête de détective” ne colle pas avec l’énigme posée qui est un jeu de mots et dont le flag est caché sur un site qui n’a aucun lien avec l’activité. 
  • Certaines tournures des énigmes ne sont pas très claires. 

Les conseils OF pour un CTF démarrer en CTF :

  1. Être une team pleine est préférable si on souhaite truster le top 10 
  2. S’organiser ! s’organiser et… s’organiser :
  • Parfois quand on bute, il faut savoir prendre le temps de revoir l’énigme depuis le début ou, à défaut de mieux, savoir abandonner. Exemple : challenge “On the Road again” qui n’apporte rien si ce n’est 30 points et ne débloque pas d’autres énigmes. 
  • Ne pas hésiter à solliciter l’équipe organisatrice si on sent que l’on a la réponse mais qu’on bute sur une question technique ou fonctionnelle. Exemple : nomenclature de la réponse (case sensitive, pris en en compte des accents…). 
  1. A moins qu’un CTF ne précise le sujet des recherches, se concerter à l’avance sur les outils à regrouper pour le CTF (via un https://start.me par exemple) et se partager les recherches par spécialité (exemple avec les challenge Crypto, domaine très spécifiques et totalement inconnus de certains osinteurs) 
  2. Ne pas oublier le document de travail partagé pour y déposer tous les indices et liens trouvés durant le CTF

Quelques liens utiles découverts durant le CTF :

  • https://www.immo-data.fr qui permet d’explorer une carte avec tous les biens à vendre à proximité et d’obtenir des informations détaillées sur les dits bien (et ainsi avoir des données de pivot pour compléter / affiner les recherches sur https://www.cadastre.gouv.fr par exemple) .
  • https://www.vivino.com et https://untappd.com/ : applications mobiles pour amateurs de vins et de bières qui y laissent des avis et parfois quelques petites informations personnelles (pour trouver un user, saisir le jeu de pseudos probables pour accéder à leurs pages dans l’url).
  • https://wigle.net/ : base de données permettant de trouver des réseaux sans fil (WIFI, objets connectés…) via leur adresse mac, entre autres.

Concernant la crypto et les blockchains :

Intro à la blockchain :
    La blockchain compile l’intégralité des transactions effectuées entre des portefeuilles de crypto-monnaies (appelés wallet), la transaction une fois vérifiée et compilée dans les règles de la blockchain est en théorie impossible à falsifier. Chaque crypto-monnaie possède son propre système de compilation de transactions, l’écrasante majorité utilisant le système de la blockchain.

Ces fameux registres en source ouvertes indiquent le numéro des wallets, les soldes et les montants impliqués dans chaque transaction.
Les transactions visibles en OSINT sont “anonymisées” car l’identité des propriétaires de wallet n’apparaît pas. On parle alors de “pseudonymat”, les plateformes en ligne étant légalement dans l’obligation de demander et de conserver l’identité réelle des détenteurs de wallet.
Les crypto-monnaies quant à elles, s’achètent, sauf exception, sur des plateformes en ligne contre de la monnaie fiduciaire ou en échanges d’autres crypto-monnaies.

Pour aller plus loin :

  • https://www.youtube.com/watch?v=6uYRN6b5EMU : “Comprendre la blockchain en 7 minutes »
    Cette chaîne : “Cryptoast” propose également les vidéos : “Qu’est ce que le Bitcoin” et “Comprendre les crypto-monnaies en 8 minutes”

Autres liens :

Lien pour accéder à l’ensemble du CTF (Q/R) : 

https://github.com/pcotret/ctf-writeups/tree/master/uybhys-2021

Lien vers le salon unlock

https://www.unlockyourbrain.bzh/

Lien vers OsintFr :

OpenFacto forme 20 journalistes du réseau Cenozo au Burkina Faso

OpenFacto forme 20 journalistes du réseau Cenozo au Burkina Faso

OpenFacto s’est rendu à Ouagadougou (Burkina Faso) du 19 au 24 mars 2021 pour former vingt journalistes d’investigation burkinabé, maliens et nigériens membres du réseau CeNoZo.

Le principal objectif de la CENOZO, est de contribuer au renforcement des capacités des journalistes d’investigation ouest-africains à travers des formations, du soutien financier et technique à l’investigation dans divers domaines tels que la corruption, le crime organisé, la mauvaise gouvernance, les violations des droits humains et l’environnement.

La CENOZO, a également pour objectif d’éditer des enquêtes, de faire du mentoring et du réseautage aux journalistes d’investigation ainsi que de porter une assistance juridique à ceux poursuivis pour leur travail. Pour atteindre ses objectifs, la CENOZO s’est entourée de plusieurs partenaires de divers horizons.

Cette formation d’une durée de 4 jours, montée en un temps record par CeNoZo (un mois et demi, en temps de pandémie…) visait à couvrir les bases techniques et juridiques de la recherche en sources ouvertes et d’initier et perfectionner les participants à l’usage des principaux moteurs de recherches et aux réseaux sociaux

Évidemment, une large part était consacrée à la géolocalisation et à la chronolocalisation sous toutes ces formes, le tout sur la base d’exemples très pratiques.

Outre le contenu de la formation, dense, ce type de manifestation reste également pour chaque journaliste, un excellent moyen de développer et cultiver son réseau de connaissance et de travailler en mode collaboratif.

Nous espérons que cet atelier est le premier d’une longue série de collaborations avec CeNoZo!

Merci donc à Arnaud et toute son équipe (Isabelle, Zalissa et Odette, notamment!!!) à Ouagadougou, ainsi qu’à Marthe Rubio de GIJN, pour avoir permis l’organisation de cet évènement!

Clinique de Droit International d’Assas (CDIA) – Seconde formation

Clinique de Droit International d’Assas (CDIA) – Seconde formation

Pendant trois demi-journées, les étudiants de la Clinique de Droit International d’Assas ont eu l’opportunité de participer à une formation aux techniques d’investigation en sources ouvertes. Malgré la situation sanitaire qui empêchait toute rencontre physique et limitait quelque peu les interactions, les étudiants, motivés, ont bénéficié d’une formation entièrement en ligne, chaque samedi matin, pendant trois semaines, organisée par l’association Open Facto.

Entre apprentissage des bases de l’OSINT (Open source intelligence), exercices pratiques et rencontres avec des professionnels (journalistes et juristes spécialisés), cette formation est venue, de l’avis de tous les étudiants, compléter utilement leur parcours universitaire. Tous sont sortis ravis de la formation et, pour beaucoup ce fut en effet une véritable découverte, riche en apprentissages.

La première demi-journée de formation a débuté par une présentation des aspects juridiques et techniques de l’OSINT puis s’est poursuivie par la préparation du poste de travail et l’utilisation des moteurs de recherche. Au cours de la deuxième demi-journée, les étudiants ont appris à rechercher des informations à partir des réseaux sociaux et des systèmes de messagerie instantanée avant de s’initier à la géolocalisation. Enfin, la dernière demi-journée s’est concentrée sur l’approfondissement de la géolocalisation et s’est clôturée par la rencontre avec deux assistants juridiques spécialisés du Pôle Crimes contre l’humanité, crimes et délits de guerre du Tribunal Judiciaire de Paris.

A travers les techniques qu’ils ont apprises, cette formation a également permis aux étudiants de se rendre compte que l’OSINT est un outil accessible, à condition d’avoir un minimum de curiosité et un sens réel de l’observation – qui peut se travailler. Les étudiants ont ainsi été impressionnés des informations qu’il était possible d’obtenir à partir de seulement quelques données et d’un peu de persévérance.

Face aux premiers exercices, les étudiants, encore novices pour la majorité, ont pu se sentir quelque peu déstabilisés. Mais, grâce à la méthode apprise, ils se sont rapidement pris au jeu de la recherche. Progressivement, la plupart se sont d’ailleurs sentis plus à l’aise. On comprend alors aussi que l’une des clefs de l’OSINT repose dans la pratique.

A ce sujet, les étudiants pourront être amenés à recourir à l’OSINT dans le cadre des projets cliniques, en particulier au sein du pôle affaires pénales. Par la suite et selon les voies professionnelles vers lesquelles ils s’orientent, ils auront certainement l’occasion d’utiliser de telles techniques comme ont pu témoigner les deux assistants spécialisés que les étudiants ont rencontrés.

En définitive, c’est avec enthousiasme que s’est terminée cette formation et l’envie partagée d’aller plus loin.

Nina Chaize,

Chargée de communication pour la Clinique de droit international d’Assas.

La Clinique sur Facebook : https://www.facebook.com/CDIAssas

En Biélorussie, la répression aux multiples visages

En Biélorussie, la répression aux multiples visages

par Antoine Hasday et Thomas Eydoux

“La dernière dictature d’Europe”: c’est à travers ce lieu commun journalistique que l’on entend le plus souvent parler de la Biélorussie, ou Belarus. Pays martyr de la Seconde Guerre mondiale, situé entre la Russie et la Pologne, il est rattaché à l’URSS au lendemain du conflit.

Après la chute du mur de Berlin, la Biélorussie accède à l’indépendance et à la démocratie le 27 juillet 1990. Quatre ans plus tard, le 10 juillet 1994, le député Alexandre Loukachenko est élu président au suffrage universel, porté par sa campagne anti-corruption. Souhaitant préserver un système économique à la soviétique, il rencontre de nombreuses difficultés, renforce la dépendance du pays vis-à-vis de la Russie et devient de plus en plus impopulaire. Loukachenko renforce son pouvoir personnel en 1996, et la Biélorussie bascule dans la dictature. L’homme est “réélu” en 2001, 2006, 2010, 2015, lors de scrutins condamnés comme frauduleux par la communauté internationale. Réprimant violemment toute opposition, le régime biélorusse fait aussi l’objet de sanctions.

En août dernier, Loukachenko est “réélu” pour la cinquième fois. Mais quelque chose a changé : de nombreux Biélorusses prennent la rue pour réclamer son départ, après 25 ans de dictature. Le régime réplique par la violence.

Dans les rues, la répression revêt différentes formes. Certaines unités sont en uniforme, facilement reconnaissables. D’autres cherchent à se fondre dans la masse et à éviter toute identification. Qui est responsable des violences du 1à août dernier?

Panorama des forces en présence

OMON, la force brute

Ce sont les policiers les plus visibles sur les photos et vidéos des manifestations. Ce sont les plus nombreux dans les rues. Les unités OMON (Otriad Mobilny Ossobogo Naznatchénia – détachement mobile à vocation spéciale) sont les forces spéciales de la police biélorusse. Chargés du maintien de l’ordre, ils sont généralement habillés en noir, avec casque, bouclier en métal et matraque.

Ils portent le plus souvent deux patchs distinctifs. Le premier est celui du Ministère de l’Intérieur biélorusse, le second est celui de leur unité. 

Les OMON utilisent des camions-cellules de la marque MAZ (MA3, en russe) pour détenir certains manifestants arrêtés.

Mais rapidement, avec des manifestations parfois plus éparses, la stratégie de ces unités évolue. D’un maintien de l’ordre “traditionnel” (rangs serrés, charges, canon à eau et gaz lacrymogène), certains policiers commencent à aller au contact des protestataires. Dès lors, les tenues sont allégées, mais les patchs sont toujours portés. 

Sur certaines vidéos, on les voit frapper violemment les manifestants, parfois à mains nues. 

A Minsk, les postes de polices sont nombreux. Des activistes ont d’ailleurs mis en ligne une carte qui les localise presque tous.

source

De petits hommes verts

Dans les rues de Minsk, plusieurs vidéos montrent des hommes cagoulés et habillés en treillis verts. Les premières vidéos émergent sur les réseaux sociaux à partir du 5 septembre. Ils ne portent aucun patch, mais emploient les mêmes méthodes violentes que les policiers OMON.

Néanmoins, certains d’entre eux sont équipés d’une caméra piéton DOZOR, fabriquée par TS-Market, une entreprise russe. C’est ce que remarque Georges Barros, dans sa veille pour l’Institute for the study of war (ISW). 

Elles sont clairement visibles sur ces vidéos, ici et ici

Les forces spéciales de l’intérieur biélorusses 

En plus des forces spéciales de police, le gouvernement de Loukachenko fait appel à des militaires du Ministère de l’Intérieur biélorusse (MVD).

Ceux présents à Minsk proviennent sûrement en majeure partie de l’unité 3214, décrite comme une des unités de la Garde des Forces Armées. L’unité 3214, la plus importante, et dont les baraquements sont situés au nord-est de Minsk, a reçu la visite d’Alexandre Loukachenko au moins une fois ces 3 derniers mois. La première fois le 28 juillet 2020, avant les élections. Une vidéo et des photos ont été prises à cette occasion. Lors de sa venue, un exercice presque grandeur nature s’est tenu. Des militaires chargés (en partie) du maintien de l’ordre ont dispersé de faux manifestants, avec des canons à eau et du gaz lacrymogène. 

Sur les clichés disponibles, les militaires sont facilement reconnaissables avec leurs treillis type multicam, qui dénotent face aux habits sombres des policiers OMON. Vidéo d’état

Trois éléments du décor permettent de confirmer que cette photo de la visite a été prise dans les baraquements de l’unité 3102 : l’auvent bleu à l’avant-plan ; le bâtiment en L au toit rouge au second plan, et la tour blanche à l’arrière-plan.

SOBR et SPBT, deux faces d’une même pièce

Ces deux unités dépendent elles aussi du Ministère de l’Intérieur.  La première, SOBR ( СОБР – Специальный Отряд Быстрого Реагирования, unité spéciale de réaction rapide) est chargée de l’anti-terrorisme et du grand banditisme. En raison de l’héritage de l’ex-URSS, l’influence de la Russie sur l’organisation de ses forces armées est importante. Equipés comme des forces spéciales occidentales modernes, les soldats SOBR sont difficilement identifiables d’autres unités spéciales de militaires. 

Sur Twitter, Rob Lee explique avoir vu des véhicules de type Tigr, un GAZ-2330 de conception russe, qui appartiennent sans doute aux unités SOBR, selon lui. Des blindés, que l’on retrouve également sur cette vidéo, datée du 10 août, diffusée par le média Nexta.  

Néanmoins, sur cette vidéo “semi-officielle” de ces soldats, il est clairement indiqué dans leur dos leur appartenance, avec les lettres СОБР patchées dans le dos de certains hommes. On remarque là encore un Tigr, dans une livrée camouflée cette fois-ci, à la différence du noir sombre aperçu dans les rues de Minsk le 10 août dernier. 

Les SOBR ne seraient pas les seules unités à avoir été déployés par le ministère de l’intérieur pour réprimer les manifestants. D’autres soldats, qui appartiennent cette fois-ci au SPBT (СПБТ – Специальное подразделение по борьбе с терроризмом, Unité spéciale de lutte contre le terrorisme), auraient été aperçus, toujours aux alentours du 10 août.  Les soldats du SPBT appartiennent à l’unité “Diamant”, “Алмаз” en russe. Sur l’une des vidéos où on les voit s’entraîner, filmés par une chaîne nationale, ils portent un patch “МВД” (MVD, le Ministère de l’intérieur biélorusse). Un patch qui va avoir son importance plus loin dans cet article.

Le média biélorusse Tut.by a diffusé une photo qui accompagnait un article le 11 août un peu avant 15 heures. Dessus, le journaliste affirme y voir des éléments SBPT. L’article, diffusé le 11 août après-midi, est illustré par une photo prise de nuit. On peut donc supposer sans trop se tromper qu’elle a été prise la veille, le 10 août au soir donc, le premier jour où ces unités (SOBR et SBPT) ont été aperçues.

Encore une fois, nous ne pouvons pas affirmer avec certitude que des soldats de cette unité se trouvaient à Minsk le soir du 10 août. 

Le KGB, ou plutôt le groupe Alpha

Toujours tributaire de l’URSS, la Biélorussie a conservé les unités du KGB. Mieux équipés que les forces de polices traditionnelles, et a priori mieux entraînés, les hommes du KGB sont chargés des missions les plus complexes. Anti-terrorisme, lutte contre le crime-organisé et le grand banditisme, opérations spéciales, le KGB doit intervenir lorsque la tâche est trop complexe pour les hommes du Ministère de l’intérieur. 

La proximité avec leur voisin russe est encore toujours d’actualité. Sur cette vidéo, on les voit s’entraîner avec les homologues russes du FSB. En Biélorussie, les membres du KGB font partie du groupe Alpha, avec un patch particulier. Ce sont eux qui ont arrêté certains membres du groupe Wagner le 29 juillet à Minsk, suspectés de vouloir déstabiliser les élections. Sur la vidéo de l’arrestation, diffusée par l’agence de presse russe Ruptly, on distingue durant quelques secondes l’équipement de l’un des membres du KGB. La ressemblance avec ceux vus à Minsk le 10 août est frappante. Bien que, encore une fois, il nous est impossible d’affirmer que ce sont bien eux. 

En résumé, les unités sont nombreuses et leurs missions sont différentes. Mais lorsque les manifestants biélorusses descendent dans la rue pour protester, aucune distinction : la répression se fait aveuglément. C’est particulièrement vrai après le 10 août (comme mentionné plus haut), jour à partir duquel les forces spéciales biélorusses sont visibles en action dans les rues de Minsk sur les photos et vidéos. En revanche, sur l’ensemble des images disponibles, qui prouvent leur présence, aucun élément ne permet de les différencier clairement (KGB, SOBR ou SPBT). Néanmoins, une chose est sûre, c’est que la tension est montée d’un cran ce jour-là. Un manifestant y a même perdu la vie.

Le Ministère de l’intérieur derrière le meurtre d’un manifestant ?

Dans une vidéo filmée par un habitant du quartier, on distingue un manifestant vêtu de blanc, Alexander Taraikovsky (34 ans) qui s’avance, mains levées, vers un cordon de forces de sécurité. Au moins un coup de feu est tiré dans sa direction : la flamme est visible sur la vidéo. Quelques instants plus tard, le manifestant s’effondre, mort.

Si, à première vue, le lieu semble difficile à identifier, plusieurs éléments disponibles en source ouverte nous ont permis d’authentifier la vidéo. 

Tout d’abord, nous avons consultés les clichés, pris de jours cette fois-ci, lors de la cérémonie d’hommage au manifestant tué se tenant le 13 août. Cet article, disponible sur internet, explique que l’hommage a eu lieu dans les environs de la station de métro de Pushkinskaya à Minsk. Là même où se manifestant serait mort. On y trouve un post Facebook de Dirk Schuebel, diplomate à la tête de la délégation de l’Union Européenne en Biélorussie. Comme expliqué, il s’y est rendu le 13 août, 3 jours après les faits. C’est via son compte Facebook que nous avons trouvé les premières photos de l’événement. 

En comparant la vue Google Maps et les photos diffusées par le diplomate, nous pouvons déjà trouver plusieurs points de comparaison, chacun étant entouré d’une couleur différente. En plus, le média lui-même a diffusé des clichés.

La particularité du site est sa forme géométrique, où chaque coin de la place est cerné par 4 bâtiments similaires (qui seraient les entrées du métro). Celui que nous avons entouré en rouge va s’avérer particulièrement important.

Sur d’autres photos de l’hommage que nous avons trouvé sur internet, nous avons pu remarquer l’enseigne d’un cinéma, entourée en blanc. 

Nous avons donc noté les éléments importants du lieu où a eu lieu l’hommage.

Revenons maintenant à la vidéo. Sur la première disponible, nous pouvons retrouver certains éléments, dont le bâtiment, entouré en rouge, ainsi que les deux panneaux qui lui sont proches.  Il est donc clair que la vidéo a été tournée à l’endroit même où a eu lieu la cérémonie d’hommage, là où est mort le manifestant.

Beaucoup de clichés pris cette nuit montrent des hommes des forces spéciales, dont les unités ont été décrites plus haut, qui sont présents sur la place. Une simple recherche d’image inversée via Yandex nous a permis d’en retrouver plusieurs – qui nous ont par ailleurs aidées lors de l’explication des différentes unités présentes). 

Sur la vidéo diffusée sur Twitter, la flamme visible d’un tir semble venir de l’avant-dernier policier en partant de la droite (entre 0’06 et 0’08). Sur ces captures d’écran, il semble qu’il vise, tire et abaisse ensuite son arme.

Une autre vidéo, diffusée par Euronews, a été prise derrière les policiers. On ne distingue pas les tirs mais on voit le deuxième policier en partant de la droite (la perspective est inversée) abaisser son fusil, puis la caméra se déplace sur le manifestant, mortellement blessé à l’abdomen, qui s’écroule quelques secondes plus tard. On peut faire l’hypothèse que c’est ce policier qui a tiré.

Nous avons synchronisé les deux vidéos, puis effectué un arrêt sur image lors du moment où le coup de feu est visible sur la vidéo amateur.

Par ailleurs, on peut distinguer les lettres présentes dans le dos de l’un d’entre eux, celles du ministère de l’intérieur. Ce qui laisse penser que ces hommes relèvent de son autorité.

Une autre photo de Getty Images (ici) montre le fusil encore fumant de l’un des policiers (mais il est possible que plusieurs coups de feu aient été tirés). 

Après le tir, les forces de sécurité se dirigent vers le corps et l’on voit passer une voiture sombre, tous phares allumés, près d’eux. Comme sur la vidéo diffusée sur Twitter.

La conclusion de l’étude des images trouvées en sources ouvertes est sans appel. Les autorités biélorusses ont affirmé que l’homme s’était tué avec une grenade qu’il tenait à la main. Comme le démontre Euronews et l’ensemble de ces images, c’est un mensonge.