Violations of the arms embargo in Libya – Methodological Guide

Violations of the arms embargo in Libya – Methodological Guide

A vessel at large of the Libyan coast – Source : flickr

Open source research can help document Turkey’s multiple violations of the Libyan arms embargo.

OpenFacto has been following the conflict in Libya for several months, monitoring open source information and databases. We have specifically focused on the military support provided by several international actors to local armed factions, which is contrary to the resolution passed by the UN Security Council in 2011. This guide focuses on Turkey and its multiple violations of the arms embargo in Libya. Through six case studies, we will show how open sources can be used to identify and document Turkey’s failure to comply with the Security Council resolution, ultimately contributing and aggravating the conflict. In this article we show the methodology for:

  • Identification of ships and planes used for arms deliveries through cross-checking of reports, social networks and the study of traffic to Libyan ports from Turkey and airports.
  • Identification of arms delivery networks or mercenaries linked to arms shipping, terrorist groups and business interests
  • Identification of the Turkish industrials who manufactured the weapons.
  • Identification of the GNA as recipients of the arms (supported by Turkey in the conflict)

Using these methods, we have identified multiple examples that taken together point to a state strategy of concerted support to the Libyan conflict.


Other upcoming examples

Click on the links inserted in the images to discover the different investigations.


Through these six cases, this guide proposes below a methodology for monitoring and documenting violations of arms embargoes using open-sources.

A methodology for open source monitoring of arms embargoes

The arms embargo regime is a restriction and/or a series of sanctions that apply to arms in the broadest sense but also to so-called « dual-use » technologies (understood to mean both civilian and military). Arms embargoes can have a political, military objective and be a peacekeeping mechanism. It is important to understand what the arms embargo covers in the selected case study of Libya.
In Libya, the arms embargo regime prohibits the sale or supply of « arms and related materiel of all types: arms and ammunition, military vehicles and equipment, paramilitary equipment and matching spare parts, and prohibits the export by Libya of all arms and related materiel » according to Security Council resolution 1970 (2011) of the Libya Committee.
When seeking to identify violations of the embargo by a State actor or otherwise, the main challenge is identifying and establishing the complex system of transactions, purchasing and delivery channels, that are in essence as secretive as possible. In order to be efficient and to try to direct your monitoring and research effectively, we propose a focus on three nodes: the actors involved, the equipment and the delivery circuit.

Detecting embargoes

  • The implementation of an arms embargo or sanctions is decided by the UN Security Council or other state actors such as the European Union. The Stockholm International Peace Research Institute lists them and refers to the official documents instituting the implementation of embargoes.
  • The UN Security Council establishes an embargo monitoring committee by resolution. This committee, made up of a panel of experts, regularly produces very informative reports on the conditions of compliance or violations of the embargo. These reports are a veritable mine of information that focus precisely on the entities or logistical means that make up the circumvention circuit.

Actors involved

  • A good understanding of the conflict in an embargoed country makes it possible to map the local forces involved, and their known or potential international allies. It is important to understand from which international actor factions will seek support in order to identify the potential supplier/buyer relationship that can be established. It’s time to set up your tweetdeck with lists to keep track of news and subject-matter experts on your topic of interest.
  • To witness the material used by the local armed group, social networks are your best friends! Photos or videos of material that has arrived at its destination can be collected via postings by an armed group’s communication organs, or through the social media accounts of members. These can provide proof of the material’s journey from one point to another:
    • follow the pages of the various factions’ media outlets on social networks: Facebook, Telegram, Instagram…
    • follow the pages of social networks dedicated to armed groups or warlords.
    • follow local newspapers that support different factions online to retrieve the images

Equipments

  • SIPRI provides several databases that give an idea of the volumes of arms exported by certain countries. In the case of clandestine activity such as the violation of an embargo, the figures will not necessarily be there, but some indications may attract attention.
  • Specialised maritime information sites regularly post news about maritime seizures of illegal goods or arms: the ports and names of ships are mentioned.
  • Some organizations specializing in arms trafficking research publish guides to identifying some weapons: Small Arms Survey, Conflict Armement Research and iTrace portal.
  • Some tweeters always ready to help: @CalibreObscura, @ArmoryBazaar, @AbraxasSpa, @Silah_Report, etc…
  • Via the videos and images posted online: identify the material but also the quantities where possible.

Delivery routes

  • Circumvention of embargoes is carried out by logistics companies that care little for UN Council resolutions, often by falsifying export documents. It is therefore necessary to identify the ships or aircraft by which the arms are transported and the companies involved.
  • The study of the movements of ships and aircraft, as well as of the country’s embargoed ports, makes it possible to identify the means of transport used to carry the weapons. The basic tools are:
    Marine Traffic, Vessels Finder
    Flight radar
    Equasis an interesting ship-related database which makes it possible to identify ownership.
  • Once in possession of the company’s name, it is necessary to search corporate registration databases and to check the company’s reputation: presence on lists, jurisdictions, other vessels or aircraft conducting questionable deliveries, affiliations of directors.
    OCCRP large database
    OpenCorporate, tvery interesting for companies in Panama…
    ICIJ leaks-based database
  • Websites like Panjiva or 52wmb.com may sometimes show the company sending or receiving shipment on behalf of the sender or the final recipient (as a consignee): this sometimes makes it possible to identify an intermediary in the armament supply network and identify volumes.

Finally, it is necessary to cross-check and compile all the findings to see the recurrence of this type of over a certain period of time.

Additionnal ressources to go further on the other side of the Libyan conflict

Violations of the arms embargo in Libya – Methodological Guide

Violations de l’embargo sur les armes en Libye – Guide méthodologique

Visite d’un navire au large des côtes libyennes. – Source : flickr

La recherche en sources ouvertes permet de documenter les violations multiples de la Turquie de l’embargo sur les armes en Libye

OpenFacto a suivi sur plusieurs mois, au travers de sa veille en sources ouvertes, le conflit en Libye, et notamment le soutien militaire de plusieurs acteurs internationaux aux factions armées locales, contraire a l’embargo sur les armes imposé par le Conseil de Sécurité de l’ONU en 2011. Ce guide s’intéresse particulièrement à la Turquie et à ses multiples violations de l’embargo sur les armes en Libye. Au travers de six études de cas, nous verrons comment l’utilisation des sources ouvertes s’avère très utile pour documenter les manquements de la Turquie a la résolution du Conseil de Sécurité concourant ainsi à l’aggravation et l’influence du conflit :

  • Identification des navires ayant servi a la livraison d’armes grâce au recoupement de rapports, des réseaux sociaux et de l’étude du trafic aux ports libyens en provenance de Turquie.
  • Identification des réseaux de livraisons des armes ou des mercenaires liés à des transporteurs d’armes, des groupes terroristes ou businessmen peu scrupuleux.
  • Identification des industriels turcs qui ont fabriqué les armes
  • Identification des factions du Gouvernement d’Entente Nationale destinataires des armes que la Turquie soutient dans le conflit.
  • Multiplicité des cas d’études qui démontre une stratégie étatique de soutien au conflit Libyen.

D’autres exemples à venir…


Cliquez sur les liens sur les images pour découvrir les différentes investigations.


Au travers de ces six cas, ce guide propose ci-dessous une méthodologie pour assurer le suivi et la documentation les violations des embargos sur les armes en sources ouvertes.

Une méthodologie de suivie en sources ouvertes des embargos sur les armes


Le régime d’embargo sur les armes est une restriction et/ou une série de sanctions qui s’appliquent aux armements au sens large mais aussi aux technologies dites « à double-usage » (entendre civile et militaire). Il peut avoir un objectif politique, militaire et être un mécanisme de maintien de la paix. Il convient de bien comprendre ce qu’il couvre dans le cas d’étude choisi.
Dans le cas de la Libye, le régime d’embargo sur les armes interdit la vente ou la fourniture “d’armements et de matériel connexe de tous types : armes et munitions, véhicules et matériels militaires, équipements paramilitaires et pièces détachées correspondantes et interdire l’exportation par la Libye de tous armements et matériel connexe” d’après la résolution 1970 (2011) du Comite Libye du Conseil de sécurité.
Le défi, dans la recherche d’ une violation d’un embargo par un acteur étatique, réside dans la mise en place d’un système de transactions, d’un circuit d’achat et de livraison complexe qui est par essence le plus occulte possible. Pour être efficace et essayer d’orienter sa veille et sa recherche efficacement, nous vous proposons de nous concentrer sur trois nœuds : les acteurs en présence, les équipements et le circuit de livraison.

Détecter les embargos

  • La mise en place d’un embargo ou de sanctions sur les armes est décidée par le Conseil de Sécurité de l’ONU ou d’autres acteurs étatiques comme l’Union Européenne. Le Stockholm International Peace Research Institute en fait la liste et renvoie au texte instituant la mise en place des embargos.
  • Le Conseil de Sécurité de l’ONU met en place un comité de surveillance pour le respect de l’embargo par résolution. Ce comité, composé d’un panel d’experts, produit de façon régulière des rapports très riches en informations sur les conditions du respect ou des violations de l’embargo. Ces rapports sont une vraie mine d’informations pour pivoter précisément sur les entités ou les moyens logistiques qui forment le circuit de contournement.

Les acteurs en présence

  • La bonne compréhension du conflit dans le pays sous embargo permet d’établir une cartographie des forces locales en présence. Il est important de comprendre auprès de quel acteur international, telle ou telle faction va chercher du soutien afin d’identifier la relation potentielle fournisseur/acheteur qui peut s’établir. Il est l’heure de mettre en place votre tweetdeck avec des listes pour suivre l’actu et les personnes qui font autorité sur votre sujet d’intérêt.
  • Pour constater l’utilisation du matériel par le groupe arme local, les réseaux sociaux sont vos amis! Récolter des photos ou des vidéos du matériel arrivé à destination via la publication en ligne par l’organe de communication du groupe armé ou par les comptes de ses membres constitue autant de preuves du voyage du matériel d’un point à un autre :
    • suivre les pages des organes de communication des différentes factions sur les réseaux sociaux: Facebook, Telegram, Instagram…
    • suivre les pages des réseaux sociaux dédiés aux groupes armés ou chefs de guerre
    • suivre des journaux locaux partisans des différentes factions en ligne pour récupérer les images

Les équipements

  • SIPRI offre plusieurs bases de données qui donnent une idée des volumes d’armes exportées par certains pays. Dans le cas d’une activité clandestine comme la violation d’un embargo les chiffres n’y seront pas forcement mais quelques indications peuvent attirer l’attention.
  • Les sites d’informations spécialisés sur le secteur maritime mettent régulièrement en ligne des nouvelles concernant les saisies maritimes de biens illégaux ou d’armes : les ports et les noms des navires y sont mentionnés.
  • Certaines organisations spécialisées sur la recherche du trafic d’armes mettent en ligne des guides d’identification d’un certains nombres d’armements: Small Arms Survey, Conflict Armement Research et le portail iTrace
  • Un groupe de twittos en ligne toujours prêts a aider: @CalibreObscura, @ArmoryBazaar, @AbraxasSpa, @Silah_Report, etc…
  • Via les vidéos et images mises en ligne: identifier le matériel mais aussi les quantités quand c’est possible.

Le circuit de livraison

  • Le contournement des embargos s’effectue via des sociétés spécialisées dans la logistique peu regardantes sur les résolutions du Conseil de l’ONU et/ou par la falsification des documents d’exportation. Il convient donc d’identifier les navires ou les avions par lesquels l’armement est acheminé et les sociétés impliquées.
  • L’étude des mouvements des navires et des avions, ainsi que des ports du pays sous embargo permet d’identifier les moyens de transport utilises pour transporter les armes. Les outils de base sont:
    Marine Traffic, Vessels Finder
    Flight radar
    Equasis qui est une base de données intéressante liées aux navires et qui permet d’identifier leurs armateurs et propriétaires.
  • Une fois en possession du nom de la société, il convient de faire des recherches dans les bases de données d’enregistrement des sociétés, et de vérifier l’honorabilité de la société: reptation, présence sur des listes, juridictions, autres bateaux, avions dans des livraisons douteuses, affiliations des dirigeants.
    • La grande base de données de l’OCCRP
    OpenCorporate, très intéressante pour les sociétés au Panama notamment…
    • La base de données de leaks de l’ICIJ
  • Des sites comme Panjiva ou 52wmb.com peuvent parfois laisser apparaître la société qui envoie ou reçoit la livraison au nom de l’expéditeur ou du destinataire final (le consignee) : cela permet parfois d’identifier un intermédiaire dans le réseau de fourniture de l’armement, d’identifier des volumes.
    Enfin, il s’agit de recouper et de compiler pour voir la récurrence de ce type de contournement sur un certain temps.

Quelques ressources pour aller plus loin sur le conflit en Libye

Le virus du télétravail

Le virus du télétravail

Dans le décret n° 2020-260 du 16 mars 2020 portant réglementation des déplacements dans le cadre de la lutte contre la propagation du virus covid-19, il est écrit :

« Afin de prévenir la propagation du virus covid-19, est interdit jusqu’au 31 mars 2020 le déplacement de toute personne hors de son domicile à l’exception des déplacements pour les motifs suivants, dans le respect des mesures générales de prévention de la propagation du virus et en évitant tout regroupement de personnes :

1° Trajets entre le domicile et le ou les lieux d’exercice de l’activité professionnelle et déplacements professionnels insusceptibles d’être différés ; »

Dans le cas contraire d’un déplacement pouvant être différé, et ce dans l’optique de protéger la santé de toutes et tous, le télétravail est très fortement recommandé, d’autant plus quand il peut rapidement être mis en oeuvre sur le plan technique.

A travers quelques résultats de recherche issus du moteur de recherche Shodan, nous allons constater qu’en plus des préconisations sanitaires simples diffusées à la population, la mise en œuvre de gestes barrières informatiques ne représente pas un luxe.

En ces temps de crise et de vulnérabilité(s) humaine(s) et organisationnelle(s), nous avons d’autant plus besoin d’assurer la bonne marche de nos équipements informatiques.

Shodan et le balayage de ports

Le balayage de ports est une technique servant à rechercher les ports ouverts sur un serveur de réseau.

Cette technique est utilisée par les administrateurs des systèmes informatiques pour contrôler la sécurité des serveurs de leurs réseaux. La même technique est aussi utilisée par les pirates informatiques pour tenter de trouver des failles dans des systèmes informatiques. Un balayage de ports effectué sur un système tiers est généralement considéré comme une tentative d’intrusion, car un balayage de ports sert souvent à préparer une intrusion.

On peut détecter le système d’exploitation et sa version par la prise d’empreinte de la pile TCP/IP. Certains logiciels permettent également de détecter le nom du logiciel écoutant sur un port, voire sa version.

A grande échelle, Shodan réalise cette opération de balayage de ports sur tout Internet, et indexe les résultats de recherche, mis à disposition des utilisateurs. Shodan interpole également les versions de logiciels trouvées avec les bases de vulnérabilités logicielles usuelles et mondialement utilisées en sécurité informatique. Utilisé de manière orientée, Shodan est un moteur de recherche de serveurs et d’équipements informatiques vulnérables.

BlueKeep

BlueKeep (CVE-2019-0708) est une vulnérabilité de sécurité découverte dans l’implémentation du protocole Remote Desktop de Microsoft. Elle permet d’exécuter du code à distance. Son score CVSS (évaluation standardisée de la criticité des vulnérabilités selon des critères objectifs et mesurables) est maximal : 10.

Par exemple, la vidéo suivante montre ainsi comment, via une attaque en déni de service exploitant BlueKeep, il est possible d’engendrer facilement le crash d’un poste Windows 7 :

Shodan et BlueKeep

Actuellement en France, au moins 4395 postes sont toujours à priori vulnérables à BlueKeep :

Pour pouvoir procéder à des recherches dans Shodan, il est nécessaire de créer un compte utilisateur. Cependant, via le modèle de lien suivant, il est possible d’avoir tout de même accès aux données du moteur de recherche :

https://www.shodan.io/host/aaa.bbb.ccc.ddd

(aaa.bbb.ccc.ddd étant l’adresse IP d’une machine qui a été scannée par Shodan et pour laquelle les résultats de recherche ont été indexés)

Pour une machine supposément vulnérable à BlueKeep (un scan de port ne dit pas tout !), l’élément suivant va s’afficher dans la fenêtre de présentation de résultat :

Lorsque cela est possible techniquement, Shodan présente également une capture d’écran associée au port scanné :

Vraisemblablement, sur cette machine, un utilisateur s’est connecté à distance depuis une machine Dell non personnalisée (voir aussi ici ).

Recherche d’informations sur la machine vulnérable

Via une recherche inversée sur l’adresse IP trouvée par Shodan, on arrive à retrouver le nom de la société qui utilise la machine concernée :

Sur societe.com, on retrouve l’entreprise en question, ainsi que la même adresse que celle mentionnée dans le résultat de viewdns.com :

Entre les mains de personnes malveillantes, on imagine aisément les dégâts qui peuvent être provoqués par la possession de telles informations, et d’autant plus en ce moment.

Geste barrière préconisé

METTEZ A JOUR VOTRE MACHINE !

Syrie : Les barrages qui révèlent l’intérêt stratégique de l’autoroute M4

Syrie : Les barrages qui révèlent l’intérêt stratégique de l’autoroute M4

Thomas Eydoux et Elie Guckert, journalistes, livrent pour OpenFacto une analyse de l’intérêt stratégique d’une autoroute syrienne, à l’aide de techniques de géolocalisation.

Patrouille conjointe russo-turque le 15 mars sur la M4 entre Saraqeb et al-Nerab. Source : Millî Savunma Bakanlığı

L’autoroute M4 est devenue au cours des dernières années du conflit syrien un axe de plus en plus crucial. Longeant la frontière turque pour relier les villes de Lattaquié et Saraqeb dans le gouvernorat d’Idlib, elle est également connectée à la M5 et rejoint Alep avant d’atteindre la frontière Irakienne. Longue de près de 120 km au total, cette route a été le théâtre de nombreux incidents impliquant tous les belligérants. L’apparition de barrages à la mi-mars dans la région d’Idlib est venue une fois de plus mettre en lumière l’importance stratégique de cette route.

Carte de l’autoroute M4 (Source : Wikipedia)

Après plusieurs jours de violents combats début mars entre l’armée turque et le régime dans la région d’Idlib – où Ankara a perdu des dizaines d’hommes tout en infligeant de très lourdes pertes à l’armée syrienne – la Russie a finalement conclu un accord de cessez-le-feu avec la Turquie, le 5 mars, avec la mise en place de patrouilles conjointes sur la M4. De telles patrouilles avaient déjà été organisées à l’est sur ce même axe entre les États-Unis et la Turquie dès 2017 quand cette dernière a attaqué les forces kurdes du YPG, à la tête des Forces démocratiques syriennes qui ont mis fin au califat de l’État Islamique avec le soutien de la coalition occidentale. Au cours de l’offensive « Source de paix » fin 2019, cette route avait aussi été le théâtre d’exécutions sommaires imputées à des groupes rebelles soutenus par la Turquie.Le régime et la Russie patrouillant également sur cette route, elle est rapidement devenue encombrée par diverses factions aux intérêts opposés, et dont l’inévitable chevauchement a conduit à plusieurs accrochages. À la mi-février, les forces américaines se sont par exemple retrouvées prises pour cibles par des combattants syriens sous l’œil bienveillant d’une patrouille russe, près de Qamichli, à l’Est.

Vidéo Newsy + Bellingcat, sous-titrage français par Syrie Factuel

Pour le régime syrien, l’autoroute M4 constitue l’un des derniers grands axes de transport qui reste en dehors de son contrôle total. Elle traverse la province d’Idlib, dernière région aux mains des rebelles que le régime tente de reprendre depuis des mois au prix d’immenses pertes civiles.

Des barrages sur la M4

Signe de l’importance stratégique de la M4, l’accord russo-turc entré en vigueur le 5 mars prévoit, en plus des patrouilles conjointes, la mise en place d’un «couloir de sécurité» de six kilomètres de profondeur de chaque côté de l’autoroute, soit une zone tampon large de 12 kilomètres au total. Mais ce plan a été enrayé dès le début de sa mise en application. Selon l’AFP, un barrage a été réalisé en pleine nuit au milieu de la M4, «un jour à peine après que la Turquie et la Russie ont lancé une patrouille conjointe le long de l’autoroute».

Toujours selon l’AFP, ce barrage aurait été construit juste à côté d’al-Nerab, une localité qui se trouve à quelques kilomètres seulement de la ville de Saraqeb, carrefour stratégique entre Alep, Damas et Lattaquié. Saraqeb a fait l’objet de violents combats entre l’armée syrienne et les rebelles soutenus par la Turquie en février, avant que le régime ne s’en empare définitivement début mars.

Sur la vidéo de l’AFP, on peut repérer des éléments particuliers qui permettent de localiser précisément le lieu où se trouvait le barrage : on aperçoit ainsi un muret, à gauche de la route, et un ensemble de bâtiments, à droite. On remarque aussi un petit chemin de terre qui rejoint le barrage, à droite. On peut donc géolocaliser ce barrage sur la M4, à cet endroit, non loin d’al-Nerab.

Le muret, en rouge ; l’ensemble de bâtiments, en jaune ; et le chemin de terre, en vert.
Source : AFP
Le muret, en rouge ; l’ensemble de bâtiments, en jaune ; et le chemin de terre, en vert. Source : GoogleMaps
Position du barrage par rapport à al-Nerab. Source : GoogleMaps

Or, selon le média pro-Kremlin Sputnik, la première patrouille russo-turque « est partie de la localité de Trumba à deux kilomètres à l’ouest de Saraqeb le long de la route M4 qui relie les villes d’Alep et de Lattaquié. » Trumba se trouve ici, à un peu plus de 7 km au sud-est d’al-Nerab.

Des photos diffusées par le ministère de la Défense turc ainsi qu’une vidéo partagée par le média pro-russe Sputnik permettent de localiser la première patrouille russo-turque en train de se déplacer non-loin de ce barrage, le 15 mars. On distingue ainsi deux grandes roues au bord de la route, ainsi qu’une rangée de pylônes électriques de l’autre côté de la route. Ces éléments nous permettent de géolocaliser l’endroit précis où est passé la patrouille russo-turque du 15 mars, ici, où le convoi semble faire demi-tour.

En rouge, les deux grandes roues ; En jaune, les pylônes électriques. Source : Millî Savunma Bakanlığı
En rouge, les deux grandes roues ; En jaune, les pylônes électriques. Source : Sputnik
En rouge, les deux grandes roues, en jaune, les pylônes électriques – Source : GoogleMaps

Ce mini-parc d’attractions se trouve à moins d’une dizaine de kilomètres du barrage que nous avons localisé ci-dessus. En partant du principe que la patrouille est bien partie depuis Trumba, on peut donc retracer grossièrement l’itinéraire présumé de la patrouille par rapport au barrage : jonction avec la M4 au nord de Trumba, puis départ vers al-Nerab à l’ouest avant de finalement faire demi-tour à hauteur du parc, pour repartir en direction de l’est.

En rouge, la position des deux grandes roues où la patrouille fait demi-tour pour repartir en direction de l’est ; à gauche, au bout de la ligne bleue,, la position du barrage. Source : GoogleMaps

Impossible d’établir sur la seule base des vidéos et des photos si cette patrouille a effectivement renoncé à continuer son chemin vers al-Nerab en raison d’éventuels barrages. On sait en revanche que le ministère russe de la Défense a annoncé le même jour que «Le trajet de la patrouille conjointe a été réduit à cause des provocations prévues par des groupes radicaux échappant au contrôle de la Turquie.» 

Un accord contesté par les rebelles

Le 16 mars, la chaîne d’information al-Jazeera a publié un reportage au sujet d’une manifestation d’opposants au régime syrien, avec la fabrication d’un barrage bloquant l’accès aux patrouilles sur la M4. Grâce à des éléments particuliers observables dans le reportage, dans la vidéo de l’AFP (qui mentionne aussi ce deuxième barrage) et des images postées sur les réseaux sociaux, nous sommes en mesure de géolocaliser l’endroit exact où a eu lieu cette manifestation. On aperçoit un panneau publicitaire à l’entrée du village, à côté d’un muret longeant la route et derrière lequel se trouvent des bâtiments caractéristiques, ainsi que deux châteaux-d’eau en arrière plan. Ce qui permet d’affirmer que la manifestation s’est également déroulée à al-Nerab, à cet endroit, à un peu plus de 3 kilomètres du premier barrage identifié plus haut.

En rouge, le panneau publicitaire, en bleu, les châteaux-d’eau. Source : al-Jazeera
En vert, un bout du village ; en rouge, le panneau, en jaune, le muret, en bleu, les châteaux-d’eau et enfin en noir, le chemin de terre. Source : GoogleMaps
En jaune, le muret longeant la route, en bleu les châteaux-d’eau, en noir, un chemin de terre rejoignant le barrage. – Source : AFP
En rouge, le panneau publicitaire, en jaune, le muret longeant la route, en vert, un bout du village – Source : Twitter

Deux manifestants interviewés dans le reportage d’al-Jazeera expliquent pourquoi ces barrages ont été construits : « Nous n’ouvriront pas la route à moins que les forces d’Assad et les milices russes ne se retirent », affirme le premier. « Nous n’avons rien à faire de cet accord. Nous ne permettrons pas aux Russes de venir ici, ils doivent partir de notre pays ! », proteste le deuxième. Pour les opposants au régime de Damas, l’arrivée des Russes, même dans des patrouilles conjointes avec les Turcs qui soutiennent la rébellion, n’est évidemment pas une bonne nouvelle. D’autant que la mise en place d’une zone tampon s’étendant à 6 km au nord et au sud de la M4 donnera de fait au principal allié de Bachar al-Assad une forme de contrôle sur une large partie du territoire qui échappe encore aux forces du régime, et qui se retrouvera en quelque sorte coupé en deux. En outre, le village d’al-Nerab, actuellement en territoire rebelle, se retrouverait justement à l’intérieur de cette zone tampon.

En vert, le territoire sous contrôle rebelle avec al-Nerab (Nayrab), en rouge, le territoire sous contrôle du régime et de son allié russe, avec Saraqeb (Saraqib). Source Liveuamap

En conséquence, la Russie avait annoncé le 15 mars avoir accordé du temps à la Turquie «pour prendre des mesures appropriées en vue de neutraliser les terroristes et garantir la sécurité des patrouilles conjointes sur la route M4». La Turquie aurait depuis détruit au moins l’un des barrages, sans que nous soyons en mesure d’identifier lequel. Mais il semble que les protestations et la construction de barrages à al-Nerab continuent malgré tout, retardant toujours la possibilité pour les Russes de mener des patrouilles avec les Turcs.

Ces contre-temps démontrent la fragilité de l’accord russo-turc, car il appartient à la Turquie de garder le contrôle sur les différentes factions rebelles, ce qu’elle a continuellement échoué à faire depuis des mois. En outre, le cessez-le feu conclu le 5 mars a déjà été violé à de nombreuses reprises par les deux camps, et la Turquie a même annoncé le 19 mars que deux de ces soldats avaient été tués sur la M4 par des «groupes radicaux», sans donner plus de précisions.

Depuis le début de l’offensive du régime et de son allié russe sur la région d’Idlib en avril 2019 qui avait déjà fait exploser les accords de Sotchi, deux autres tentatives de cessez-le-feu ont déjà échoué. La question est donc désormais de savoir combien de temps tiendra réellement le troisième.

Fin février, l’ONU a qualifié la situation dans la région de « plus grande histoire d’horreur humanitaire du XXIe siècle », avec près d’un million de déplacés, dont les trois quarts sont des femmes et des enfants. 

Thomas Eydoux et Élie Guckert


  • Thomas Eydoux est journaliste en formation au CFPJ, actuellement chez BFMTV.
Combattonslecoronavirus.fr, vraiment ?

Combattonslecoronavirus.fr, vraiment ?

Article écrit par H

L’ avènement du coronavirus a donné lieu à un nombre croissant d’arnaques en ligne et de cyber malveillance. Dans sa page d’actualité consacrée au coronavirus, le site cybermalveillance.gouv.fr écrit :

« Vérifier la fiabilité et la réputation des sites que vous visitez, que ce soit pour vous informer ou réaliser un achat. Avant de fournir des informations personnelles ou bancaires, assurez-vous du sérieux du site sur lequel vous comptez vous inscrire ou commander en consultant les avis et en recherchant sur votre moteur de recherche d’éventuelles malversations connues.

Au moindre doute, abstenez-vous !

Avec la crise du CORONAVIRUS – COVID19 on voit fleurir de faux sites de ventes de masque chirurgical (FFP2), de gel hydroalcoolique, de téléconsultation médiale, de médicaments miracles ou de vaccins expérimentaux qui n’existent évidemment pas et qui n’ont d’autres objectifs que de vous escroquer. Les cybercriminels pourraient même vous livrer des produits périmés ou contrefaits qui mettraient en danger votre santé ou celle de vos proches. »

Par le biais d’un cas pratique, nous vous proposons de décrire un cheminement de recherches permettant de « vérifier la fiabilité et la réputation » d’une plateforme de vente en ligne. L’objectif d’un tel guide est de se doter d’un faisceau d’informations permettant de ne pas se faire escroquer, en supplément de tout ce qui peut être fourni par les réseaux sociaux et les forums de consommateurs.

Repérage

Sur un navigateur sans le moindre bloqueur de publicité activé, quel est le premier résultat proposé si l’on se met en quête de gel hydroalcoolique ?

Observer le site

La première étape consiste à bien observer le site internet pour voir son rendu général: est-ce un site bien fait? Y-a-t-il des éléments choquants?

Ici une faute d’orthographe qui ne fait vraiment pas sérieux…..On peut donc se demander s’il n’ y a pas anguille sous roche….

Généralités sur les noms de domaine

Pour commencer, il est nécessaire de rappeler les bases sur les noms de domaine. Pour trouver un site internet, tout comme trouver la maison de quelqu’un, il faut une adresse. Dans notre cas une adresse internet qui est composée de trois parties: le préfixe « www » (world wide web), un nom de domaine, lui-même composé d’une chaîne de caractères, et une extension (TLD – Top Level Domain). Dans l’exemple ci-dessous, l’extension utilisée est relative à la France : le .fr. La gestion des noms de domaine sous l’extension .fr est effectuée par l’AFNIC, l’office d’enregistrement désigné par l’État pour la gestion des extensions française: .fr, .re (Ile de la Réunion), .pm (Saint-Pierre et Miquelon), .tf (Terres australes et antarctiques françaises), .wf (Wallis et Futuna), .yt (Mayotte).

L’ensemble des démarches liées a un site internet (création, renouvellement, transfert, changement de titulaire ou suppression des noms de domaine) sont prises en charge par un prestataire de services (fournisseur d’accès à Internet, hébergeur, agence web, etc.) qui joue le rôle d’intermédiaire entre l’individu qui met en place un site internet et l’AFNIC.

Ces bureaux d’enregistrement permettent d’enregistrer un nom de domaine de manière anonymisée ou en mentionnant parfois une ou plusieurs des informations suivantes :

  • Nom
  • Prénom
  • Adresse email
  • Téléphone
  • Adresse Postale

Lorsqu’on déclare un nom de domaine, on vérifie d’abord si ce dernier n’a pas déjà été enregistré par une autre personne. De facto, via des moteurs de recherche spécifiques, on a alors accès aux informations sus-citées.

Des moteurs de recherche particuliers

La galaxie des moteurs de recherche de noms de domaine est touffue et hétérogène. Tous ne fournissent pas les mêmes informations, lesquelles sont souvent présentées de manières multiples. Via le méta-moteur suivant, il est possible d’avoir accès à 27 moteurs de recherche différents :

https://intelx.io/tools?tab=domain

(Attention : un onglet par moteur de recherche sera ouvert sur votre navigateur)

Extraction de la donnée intéressante

Sur Domain Dossier, il est fait mention d’une adresse email qui a été utilisée pour déclarer le nom de domaine ma-petite-pharmacie.fr :

Exploitation de l’adresse email

Pour pivoter sur l’adresse email, on peut faire une simple requête google qui donne des résultats éloquents immédiatement :

Sur Website Informer, on retrouve l’email, ma-petite-pharmacie.fr, d’autres sites web et … un nom de société !

On peut ensuite faire une recherche classique sur la société afin de trouver qui en a le controle. Via Manageo, la société en question nous renvoie sur le nom de son propriétaire :

Pivot sur le numéro de téléphone

On peut aussi chercher le numéro de téléphone qui apparaît sur le site internet pour voir s’il donne d’autres informations. On remarque vite qu’il est utilise par d’autres sites commerciaux en ligne….

Il s’agit en fait d’un numéro IP Callr destiné à faire croire que c’est un numéro terrestre marseillais

Recoupements

Le site de l’Association de Défense des Consommateurs de France a manifestement déjà procédé à quelques recherches :

Twitter n’est pas en reste non plus, et a permis de fournir un titre à cet article :

A ce stade des investigations, le faisceau d’informations récoltées est amplement suffisant pour se faire un avis quant à ma-petite-pharmacie.fr.

Pour conclure

Ce n’est pas parce qu’un site de vente en ligne apparait en tout premier dans les résultats de Google qu’il est forcément fiable.

Vous ne serez jamais le tout premier visiteur d’un nouveau site de vente en ligne, c’est mathématique. Si vous avez des doutes sur lui, il y a de fortes chances que quelqu’un en ait eu avant vous, et les ait exprimés sur les réseaux sociaux ou sur les sites d’entraide entre consommateurs.

En cas de doutes, il est simple et rapide de se faire une idée sur un site internet et de diminuer les chances d’arnaques. La peur est un des leviers de base de la manipulation. Elle ne fait pas de vous quelqu’un de faible, mais de juste humain.

Plus rapide que l’ éclair

On vous conseille aussi ce thread de @fs0c131y toujours bon pour débusquer ce type d’arnaque en ligne et qui a été mis en ligne plus vite que notre post 🙂

Collecte et archivage d’informations: quelle méthode adopter en OSINT ?

Collecte et archivage d’informations: quelle méthode adopter en OSINT ?

Ce billet est le second d’une série signée Wolfie et Hervé sur la méthodologie OSINT.

  • Pourquoi et quoi collecter (ID, détails associés, etc.) mais surtout comment (quelle méthode utiliser)
  • Pourquoi et comment archiver (en local, en ligne?)
  • Présentation des outils et de leurs limites (Framapad, gestionnaire de favoris, Google Suite) et quelles limites derrière ces outils (format de sauvegarde, confidentialité des données)

I. Collecte et archive: un duo qui a du sens

I.A. Pourquoi collecter, pourquoi archiver

C’est une lapalissade, mais l’objectif de l’OSINT, c’est avant tout… la collecte ! Bien sûr, viendra par la suite le temps du traitement et de l’analyse des informations collectées.

Collecter une information revient souvent à répondre à une question, il s’agit donc d’une seconde étape, celle de l’expression d’un besoin. Collecter va surtout permettre de préparer les informations nécessaires à la rédaction d’une note ou autre. La collecte peut être individuelle ou collaborative, dans ce second cas, il faut bien s’assurer qu’une méthode en commun permette de maximiser la recherche.

Parallèlement, l’archivage n’est ni plus ni moins que la façon dont on conserve les données collectées afin de pouvoir les réutiliser par la suite: sans archivage, pas de liens entre les enquêtes, sans liens avec les enquêtes, un enfermement dans la sphère tactique qui ne permet pas d’atteindre ses objectifs ! (cf article précédent).

I.B. Quoi collecter

Il est complexe d’établir un listing, dans la mesure où toute liste est forcément incomplète. En matière d’OSINT, la réalité dépasse bien souvent la fiction ! De façon générale, il est toutefois possible de distinguer 4 grandes familles d’éléments :

  • Les biodata, liées à tout ce qui concerne une personne (son nom, sa date de naissance, etc) et de l’autre, tout ce qui est de l’ordre de l’élément technique.
  • Les éléments techniques, qui correspondent à tout élément spécifique lié à un service de type informatique ou spécialisé
  • Les éléments audiovisuels, qui incluent les images, vidéos, métadonnées d’images ou de vidéos. A titre personnel, depuis la montée en puissance des opérations de désinformation, j’y inclus également les publications/posts de réseaux sociaux et les articles
  • Les éléments spatiotemporels, géolocalisation et date sont les plus fréquents, bien que l’on pourrait y inclure, sans forcément qu’il y ait besoin de l’archiver, d’autres éléments spatiotemporels comme… la météo !

En un coup d’œil, voici ce que l’on peut, grosso modo, collecter au sein de chaque catégorie:

schéma-de-collecte-OSINT-flowchart

Petit aparté sur les réseaux sociaux

Les réseaux sociaux sont un cas particulier, dans la mesure où ils sont souvent une porte vers d’autres éléments de collecte. Si on prend par exemple Facebook, il est possible de collecter :

  • Le numéro d’ID, ou UID (Utilisateur ID)
  • Le « pseudo URL » ou Vanity Name, c’est-à-dire le nom qui vient après le facebook.com
  • Le nom du compte Facebook en lui-même

Petit aparté sur les numéros d’ID

Le numéro d’ID, dans toute démarche de collecte sur les réseaux sociaux, est crucial. En effet, il permet, comme il a été démontré récemment sur un article consacré à Instagram, de retrouver des comptes. Car si un changement de pseudo intervient, il est parfois fréquent de perdre l’accès à un compte suspect identifié précédemment pour peu que celui-ci change son pseudo… et que l’on n’a pas enregistré ce dernier. Cela s’applique aussi dans la vraie vie : combien de fois vous êtes-vous gratté la tête en vous demandant quel était le nouveau nom qu’avait pris votre ami sur Facebook ?

L’ID est, de façon plus générale, indispensable. A la manière d’une carte d’identité, l’ID est ce qui a permis à différents services (qu’il s’agisse de réseaux sociaux, de bitcoin ou autre) de pouvoir identifier un compte dans un monde où, avec la montée d’Internet, l’homonymie est fréquente. Gardez en tête qu’il y a souvent un numéro d’ID quelque part, qu’il soit public (c’est le cas des réseaux sociaux) ou cachés, comme sur certains forums.

II. Comment collecter et archiver

II.A. Les workflows

La collecte est une démarche active de récupération de l’information. S’il faut garder un esprit libre et éviter la tentation de la Liste de Course en OSINT, où la pensée originale est souvent la clef de vos enquêtes, il est parfois nécessaire de conserver une structure pour s’assurer de bien avoir fermé toutes les portes.

Pour ce faire, n’hésitez pas à vous construire un « workflow » ou à en utiliser des préconçus. Un des workflows les plus connus est par exemple OSINT Framework, qui propose, à partir d’un élément donné une liste d’actions ou d’outils à réaliser.

(Ci-dessus, capture d’écran de l’OSINT FrameWork. Ce dernier est régulièrement mis à jour, merci il arrive de tomber sur des outils datés.)

D’autres workflows, comme ceux d’Intel Techniques, disponibles uniquement pour ceux qui ont acheté son livre (ou qui savent chercher…) sont aussi particulièrement efficaces et permettent de fermer toutes les portes, ou de se relancer lorsque l’on croit avoir atteint une impasse. Conseil: pour trouver de nouveaux workflows, schémas ou autres, pensez à une veille ou une recherche avec le mot-clef « OSINT flowchart », très utilisé par les anglo-saxons.

Enfin, n’hésitez pas si vous maniez la cartographie à vous créer vos propres workflows: en effet, la plupart des outils mis à disposition sont américano-centrés, ils ne sont pas toujours adaptés à un contexte européen, ou français.

II.B. Les techniques de collecte

1°) A la main :

Si vous savez que les informations que vous trouvez sur un site internet ne vous serviront qu’une fois (le site est unique et sur ce site, vous savez où se trouve votre information), il est inutile d’utiliser des outils complexes. Sauvegardez la page (un « Enregistrez-sous » sous format HTML est le plus rapide et permet de conserver le format, la plupart du temps. Mais l’utilisation du plugin SingleFile vous facilitera grandement la vie (cf infra)!), ou archiver en les éléments les plus importants. Il est essentiel de garder en tête le ratio temps passé à collecter l’info / temps passé à trouver une technique pour la récupérer. Et parfois, faire le travail à la main est beaucoup plus rapide!

Cela ne vous dispense pas cependant de faire preuve d’un minimum de méthode. Pour une collecte à la mano, nulle besoin d’outils compliqués – mais il faut systématiser son action. Le bloc-notes est d’ailleurs votre meilleur allié, car il permet de copier / coller à la volée de nombreux éléments utiles pour différentes recherches. Prenez donc l’habitude de garder à portée de clics: URLs, noms, prénoms, numéro d’ID qui permettront d’être flexibles dans votre enquête – sans compter le fait qu’il s’agit déjà d’un début d’archivage.

Autre point important, ne délaissez jamais vos favoris ! Ces derniers, souvent sous-utilisés, permettent pourtant de rapidement naviguer d’une page Web à une autre pour peu que l’on soit bien organisé. L’intérêt? Éviter de se perdre dans une foule d’onglets ouverts et de rechercher, pendant de longues minutes, la page sur laquelle on avait cru apercevoir quelque chose. Le ratio temps / efficacité, de nouveau.

Ci-dessous, un exemple d’organisation de favoris, dans laquelle l’on distingue les déplacements, les discussions, les associés, etc. Bien entendu, les cas sont fictifs, mais cela vous donne une idée de comment organiser son enquête et ne jamais (trop) s’y perdre…

2°) Avec des outils dédiés :

Une fois ces considérations de collecte manuelle établies, il est désormais possible d’aller plus loin par le biais d’une notion qui vous permettra de plus facilement d’optimiser vos recherches : le scraping. Il s’agit d’une technique consistant à automatiser la collecte de données non-structurées (ou mal structurées), et à les convertir en données structurées.

Si à l’inverse, vous êtes susceptible de revenir souvent sur une page, avez besoin de réactualiser régulièrement vos données, ou vous souhaitez partager votre méthode, ou collecter de l’information sur des dizaines et des dizaines de pages, Dans ce cas, oui, il vous faudra penser à automatiser la collecte.

Raisonnez « OSINT » et soyez humble. Une grande philosophie à retenir c’est que vous n’êtes pas plus intelligent que la moyenne. Si vous avez un problème, d’autres l’ont sans doute déjà eu avant vous! Et parmi ces « autres », quelqu’un l’a très probablement résolu!
Github, par exemple, fourmille d’outils et de scripts pour répondre à une grande quantités de questions. Il suffit de taper une recherche du type « github instagram osint« , pour obtenir une palette incroyable de logiciels utilisables.

Sachez que les journalistes, et plus particulièrement les datajournalistes, se sont penchés très tôt sur ces problématiques et utilisent et développent de nombreux outils très pratiques. Un de ces outils est Outwit-hub, qui n’est pas gratuit, mais qui permet de rapidement prototyper un projet de collecte de données, de manière visuelle et intuitive.

OpenRefine vous permettra également d’automatiser beaucoup de choses – et de les structurer.

3°) Par le code :

Parfois, il vous sera difficile de trouver exactement ce dont vous avez besoin. Dans ce cas, il vous sera nécessaire de coder ou de faire coder un petit outil capable de répondre à votre besoin.
Deux langages informatiques se prêtent facilement à ce petit jeu : Python et R. Faciles à apprendre, et à prendre en main, ils permettent l’un et l’autre à un débutant d’être rapidement autonome.
Les quelques semaines d’apprentissage dans lesquels vous investirez seront très vite rentabilisées. Il existe de très bons MOOC par exemple pour Python et vous pouvez également fréquenter des festivals de journalisme comme Dataharvest pour vous former au cours d’ateliers très pratiques et très orientés data.

II.C. Les techniques d’archivage

Il est de coutume de dire qu’Internet n’oublie rien. Or, la réalité qui s’applique toujours à l’enquête OSINT est celle de la LEM (Loi de l’Emmerdement Maximum). Cette loi mathématique, vérifiée depuis la nuit des temps, montre que ce sont toujours les éléments importants d’un dossier qui tendent à disparaître le plus rapidement, aussi sûrement que la tartine beurrée tombe toujours sur son côté oint (du verbe oindre).
Il faut donc se prémunir de cette disparition.

1° en Local :

Prenez toujours un soin particulier à enregistrer les pages intéressantes, si possible dans deux formats :

  • Sous forme de capture d’écran, qui génèrent des fichiers images que vous pourrez habilement insérer dans vos rapports.
  • Sous forme de fichier html, grâce au plugin SingleFile, qui génère un fichier unique reconnu par des logiciels d’indexation et de recherche full-text.

Hunch.ly, outil payant, fait ça très bien de manière automatisée, mais ne fonctionne que sous Chrome (et Chromium au prix de quelques acrobaties).

2° en ligne :

L’archivage en ligne permet de mettre à disposition de vos lecteurs, une version d’une page à un instant t, en limitant les risques d’accusation de manipulation.

Attention toutefois. L’usage de telle solution induit le recours à un service tiers, qui peut logguer votre adresse IP (utilisez Tor), et si vous tenez à la confidentialité d’une enquête, c’est peut-être une mauvaise idée d’archiver trop tôt un profil. Cela peut en effet mettre la puce à l’oreille de votre cible.

Il existe au moins trois bons site d’archivage en ligne, qui ont chacun leur petite spécialité, et qui doivent donc être considérés comme complémentaires.

  • Archive.org, le plus connu, est polyvalent, et contient énormément d’information. Il accepte toute sorte de documents, et est accessible via tor. Ses performances sont toutefois assez limités sur certains réseaux sociaux (Facebook et Twitter par exemple). Une fois un lien injecté dans Archive, le robot Alexa ira vérifier de temps en temps la page originale pour indexer d’éventuelles modifications.
  • Archive.fo (ou .today), anciennement archive.is, est plus modeste mais fonctionne très bien. Il est particulièrement redoutable pour archiver des pages Facebook. En effet, il utilise un compte FB dédié et ne se contente pas de sauvegarder un profil en mode déconnecté mais bien l’intégralité du profil public.
  • Teyit.link, un site turc lui aussi plus confidentiel que Archive.org, mais assez doué sur les réseaux sociaux.

Souvenez-vous enfin que si ces sites servent à archiver, ils servent également à vérifier qu’une info n’a pas déjà été archivée!!! Lors de vos recherches en sources ouvertes, un passage sur les sites d’archivage est primordial! Heureusement, Archive.org a créé un plug-in très utile qui permet immédiatement de rechercher si une page a été archivée ou pas par le passé.

III. Conclusion

La collecte et l’archivage s’effectuent naturellement en OSINT. Gardez toujours à l’esprit que pour qu’elles soient efficientes, ces deux phases doivent être un minimum organisées, surtout quand on débute.

N’hésitez donc pas à:

  • abuser de workflows pour vous guider dans vos enquêtes et s’assurer d’avoir fermé toutes les boucles
  • à utiliser votre bloc notes comme la base de vos recherches
  • à ne pas délaisser vos favoris et à ouvrir un favori par mission (sur un profil Firefox dédié…)
  • à utiliser le scraping pour les pages avec un volume important de données ou que vous devez collecter fréquemment
  • à archiver aussi fréquemment que possible: une page fermée, un compte de réseau social qui passe en privé, et c’est tout une investigation qui peut tomber à l’eau !