A decade into the Syrian war: OSINT as a tool to investigate Syria’s chemical program supply chain

A decade into the Syrian war: OSINT as a tool to investigate Syria’s chemical program supply chain

The war in Syria has been one of the most violent conflict of this past decade. Being one of the most documented conflict, it has provided a lot of material for open source research to take off. Multiple investigations have established the use of chemical weapons by the Syrian government on its population. Open source research has proven to be a valuable tool in verifying attacks and whether chemical weapons were used.

The Syrian chemical program and the need for accountability

At a time some Syrian officials have started to be trialed for war crimes, the need for accountability has never been greater. Individuals involved in the Syrian chemical program used during the war are Syrian officials but also businessmen who were used as intermediaries and fronts to obtain material and equipment for the Syrian Studies and Research Center. Investigating these proliferation networks has been difficult as establishing the full supply chain can be complex. A few investigations led by Syrian Archive, Bellingcat, C4ADS and Open Society Justice Initiative were published here and there on chemical weapons supply chains.

Proposing an open source research framework to detect a proliferation risk

On this occasion OpenFacto wanted to understand if an open source research framework could be created in order to detect proliferating companies supplying the Syrian Studies and Research Center. To test this framework we took two existing cases that were brought to the French and US justices for their alleged participation to the Syrian Chemical Weapon Program. OSINT research can establish risk levels for the Houranieh and EKT networks which can be summarized with the following scorecards.

Main findings

Open source research is a valid tool to establish a risk level associated with an entity suspected of proliferation or to detect high risk entities.

OSINT CAN PROVIDE SUPPORTING CONTEXTUAL INFORMATION. Open source research confirms a number of elements mentioned in both networks:

  • Both networks have an international dimension with front companies outside of Syria
  • What they trade can be established: metal, electronics, security
  • Multiple sources mention these networks seem close to Bashar Al Assad’s entourage and the SSRC
  • There is an history of customs inspection and/or sanction enforcement in US jurisdiction. 

THE IMPORTS POSE A HIGH RISK OF BEING USED FOR PROLIFERATION. Open source research gathers circumstantial evidence which indicates the items traded and the destination of Syria should have triggered enhanced customs inspections. 

NETWORK RESILIENCE. Both networks continue to operate to the present day. Despite asset freezes and sanctions they have demonstrated resilience to access international markets. 

SOCIAL MEDIA PLATFORMS USED FOR CREDIBILITY AND PUBLICITY. The Houranieh network, but mostly the EKT network, have been using Western social media platforms to create business accounts – ‘Pages’ – in order to promote their brand, products and generate potential sales leads. These social media accounts have been used as a resiliency tool to overcome domain name suppression. 

GAPS IN GLOBAL EXPORT CONTROL SYSTEM AND MEASURES ENFORCEMENT. High risk trade entities previously investigated for their contribution to a proliferation program continue to have access to international industrial markets and financial markets to make payments. It demonstrates a gap between several jurisdictions regarding export control systems. It also shows a lack of coordination and communication between the EU and national jurisdictions. Finally it shows a disjointed international effort to enforce measures against proliferating entities.

Methodology and Limits for investigating potential supply chain proliferation networks

Proliferation mainly involves the transfer and export of technology, goods, software, services or expertises that could be used in nuclear, chemical or biological weapon-related programmes and obviously poses a significant threat to security. Tracking proliferation networks and financing has been proven difficult because transactions take place within a normal business setting. 

The purpose of this project is to demonstrate the effectiveness of open-source research as a first and easily accessible tool to use in order to evaluate a proliferation risk associated with entities and goods traded.  

Financial organizations combating money laundering, terrorist financing and proliferation financing like the FATF – the Financial Action Task Force – have set up indicators to detect financing of proliferation to become better at flagging and characterising proliferation networks. These indicators often includes some the concepts which can be researched using OSINT:

  • The jurisdiction where the trades are taking place
  • The type of items traded
  • The legal form of the company proceeding to the trade and where it is incorporated
  • Links between several companies and/or the use of a broker
  • Discrepancies between the company’s activities and goods traded
  • Discrepancies between the type of goods imported and the technical level of their final destinations
  • The nationality of the company’s directors
  • The final destination of the goods
  • The ultimate beneficiary of the transaction or its likelihood

Our step by step approach 

This research project started from the information published by the French Authorities mentioning individuals’ names, dates of birth and corporate entities to the reconstitution of suspicious import transactions. The following research steps were taken:

  1. Researching sanctioned individuals and corporate entities digital footprint online and the links existing among them. 
  2. Identification of some of the companies’ suppliers
  3. Identification of the type of equipment, material or products imported. 
  4. Assessing the risk of proliferation: low, medium and high

Type of sources used in this report

A wide range of sources were used for research purposes in this report. They include: social media, press articles, academic reports, commercial databases and corporate registries, data obtained from bills of lading, leaked data from Syrian administration, online website analyzing tools. 

Investigating a proliferation network

Investigating a proliferation network is difficult as it takes the appearance of a normal business transaction. In this report we try focusing on several part of the transaction process:

  • the network of companies used to buy equipment and material
  • the link between this network and strategic governmental bodies in a red flag jurisdiction
  • the ultimate buyer if it appears
  • the type of goods which are bought 
  • the suppliers 

Researching corporate entities that may circumvent sanctions

Most of the corporate entities presented in this report can be verified by accessing commercial registries or databases, either for free or a small fee. However Syria does not provide online access to commercial corporate registries. The authors had to rely on multiple concordant sources to verify the existence of Syrian entities: emails, websites, addresses, mentions in local media, mention in official sources or social media.  

Researching import/export data

To identify the type of goods which are shipped, the suppliers involved and the corporate entities used by the network we relied on import/export data to get shipment data. These shipment data are extracted from bills of lading. A bill of lading is a standard document required to be issued by the shipper to identify the nature, quantity, quality of the goods. Usually these data indicate the supplier’s name, (air) port of origin, type of goods and quantity, consignee – the company receiving the goods – and (air) port of arrival. 

The goods are often referenced using a HS code – the Harmonized Commodity Description and Coding System. These codes are product classification codes used by  all the members of the World Customs Organization (WCO) to classify goods for customs purposes. While they do not indicate the exact product nor its specifications, it gives its good category. 

Shipment data providers like Panjiva or ImportGenius source the data directly to countries’ customs bureau or data brokers. Not all countries are available: China offers only a partial data set.

Researching equipment or material imported in cases of sanction circumventions: establishing a risk level

Dual-use items are goods, software and technology that can be used for both civilian and military applications. It does include raw material like certain types of steel or specific chemicals. Investigating such items is challenging as their official descriptions in available customs related documents are limited. These types of sources give an indication of risk level associated with an item.Consulting custom specialists can be helpful.

What about the beneficial owner?

According to the FATF, the beneficial owner is “the natural person who ultimately owns or controls and/or the natural person on whose behalf a transaction is being conducted”. In our two case studies the beneficial owner is known – the Syrian Scientific Studies and Research Center (SSRC) – and is the cause for the network of companies to be put on the French sanction list.

Some limits: no smoking gun but a risk level

Open sources have been used to gather information about a direct or indirect relation between the SSRC and the two different entities. This report does not offer definitive conclusions nor smoking gun evidence regarding Syria’s chemical weapon program. It captures a snapshot of the procurement chain which was in the public domain at the time of the research. Data available regarding the type of equipment sent are generic and do not replace a visual confirmation. Secondly, OpenFacto has had no access to data describing financial flows: there is nothing available in the public domain to characterize the financing aspect of proliferation networks. Thirdly, while OpenFacto uses official corporate records to verify some corporate holdings and commercial relationships, this information only represents a snapshot of corporate activity at a given time: records may not be updated regularly, may not be consistent or wholly accurate, and may not have the same standards of reporting across jurisdictions. Finally, the report should serve as a basis to raise further questions, identify gaps and launch deeper investigations into the cases.

Download our report

Our report is available for download in English here and an executive summary is provided in French [to come].

A decade into the Syrian war: OSINT as a tool to investigate Syria’s chemical program supply chain

Dix ans de guerre en Syrie : l’OSINT comme outil d’enquête sur la chaîne d’approvisionnement du programme chimique syrien

La guerre en Syrie a été l’un des conflits les plus violents de cette dernière décennie. Conflit hyper médiatisé, il a fourni beaucoup de matière à la recherche en sources ouvertes qui a décollé. Plusieurs enquêtes ont pu confirmer l’utilisation d’armes chimiques par le gouvernement syrien sur sa population. La recherche open source s’est avérée être un outil précieux pour vérifier l’occurrence des attaques et si des armes chimiques avaient été utilisées.

Le programme chimique syrien et la nécessité d’établir une responsabilité

Alors que certains responsables syriens ont commencé à être jugés pour crimes de guerre, le besoin d’établir une responsabilité n’a jamais été aussi grand. Les individus impliqués dans le programme chimique syrien utilisé pendant la guerre sont des officiels syriens mais aussi des hommes d’affaires qui ont servi d’intermédiaires et d’écrans pour obtenir du matériel et des équipements à fournir au Centre d’études et de recherche syrien (CERS). L’enquête sur ces réseaux de prolifération est difficile et établir la chaîne d’approvisionnement complète peut être complexe. Quelques enquêtes menées par Syrian Archive, Bellingcat, C4ADS et Open Society Justice Initiative ont été publiées ici etsur les chaînes d’approvisionnement en armes chimiques.

Proposer une grille analytique de recherche en sources ouvertes pour détecter un risque de prolifération

A cette occasion, OpenFacto a voulu comprendre si une grille analytique de recherche en sources ouvertes pouvait être créée afin de détecter la prolifération des entreprises alimentant le CERS. Pour tester cette grille, nous avons pris deux cas existants qui sont passés devant les juges français et américains pour leur prétendue participation au programme d’armes chimiques syrien. La recherche OSINT établit des niveaux de risque pour les réseaux Houranieh et EKT qui peuvent être résumés avec les scorecards suivantes.

L’attribut alt de cette image est vide, son nom de fichier est 3VFfsDjD6SMY_qCEIa23YY8KhhMpFN4RkPTkBoCDLnbrgX7t80kC1Hp_-ZP46szfOJqRPR_sMTKpFF9661duooD3ccD70Y8A6oBYvxEniQTqL1Nsw6v3zdgdIbM67g=s0.
L’attribut alt de cette image est vide, son nom de fichier est 8eb2SobVNdVLaJvBjkixz-uitLyqMWLpvGZz0FUDZ8jQq_OnWaPv-DTieQO6jxe95wcU2sj3IwWoDOXscOozURIJg7uhNRQL_LLbsBn5_YtdqUX1OkyV7sR1TsYXoA=s0.

Points clefs

La recherche open source est un outil utile pour établir un niveau de risque associé à une entité suspectée de prolifération ou pour détecter des entités à haut risque.

L’OSINT PEUT FOURNIR DES INFORMATIONS CONTEXTUELLES. La recherche en sources ouvertes confirme un certain nombre d’éléments mentionnés dans les deux réseaux :

  • Les deux réseaux ont une dimension internationale avec des sociétés écrans en dehors de la Syrie
  • Ce qu’ils commercent peut être établi : métal, électronique, sécurité
  • De multiples sources mentionnent que ces réseaux semblent proches de l’entourage de Bachar Al Assad et du CERS
  • Il existe des antécédents d’inspection douanière et/ou d’application de sanctions américaines.

LES IMPORTATIONS REPRÉSENTENT UN RISQUE ÉLEVÉ D’ÊTRE UTILISÉES À DES FINS DE PROLIFÉRATION. La recherche en sources ouvertes établit un faisceau de preuves qui indiquent que les biens exportés et la destination finale de la Syrie auraient dû déclencher des inspections douanières renforcées.

RÉSILIENCE DU RÉSEAU. Les deux réseaux continuent d’être opérationnels à ce stade. Malgré des gels d’avoirs et des sanctions, ils ont fait preuve de résilience pour accéder aux marchés internationaux.

LES PLATEFORMES DE RÉSEAUX SOCIAUX SONT UTILISÉES POUR LA CRÉDIBILITÉ ET LA PUBLICITÉ. Le réseau Houranieh, mais surtout le réseau EKT, ont utilisé des plateformes de réseaux sociaux occidentales pour créer des comptes d’entreprise – des « Pages » – afin de promouvoir leur marque, leurs produits et de générer des ventes potentielles. Ces comptes sur les réseaux sociaux ont été utilisés comme outil de résilience pour surmonter la suppression des noms de domaine.

DES LACUNES EXISTENT AU NIVEAU INTERNATIONAL DANS LE CONTRÔLE DES EXPORTATIONS ET L’APPLICATION DES MESURES. Ces entités commerciales à haut risque ayant déjà fait l’objet d’une enquête pour leur contribution à un programme de prolifération continuent d’avoir accès aux marchés industriels et financiers internationaux pour effectuer des paiements. Cela démontre l’écart entre plusieurs juridictions en ce qui concerne les systèmes de contrôle des exportations. Cela montre également un manque de coordination et de communication entre l’UE et les juridictions nationales. Enfin, cela montre un effort international désordonné pour faire appliquer des mesures contre ces entités proliférantes.

Méthodologie et limites pour étudier les réseaux proliférants potentiels de chaîne d’approvisionnement

La prolifération implique principalement le transfert et l’exportation de technologies, de biens, de logiciels, de services ou d’expertises qui pourraient être utilisés dans des programmes liés aux armes nucléaires, chimiques ou biologiques et constitue évidemment une menace importante pour la sécurité. Surveiller des réseaux de prolifération et leur financement s’avère difficile car les transactions ont lieu dans un cadre commercial normal. L’objectif de ce projet est de démontrer l’efficacité de la recherche en sources ouvertes comme première ligne d’enquête pour évaluer un risque de prolifération associé aux entités et aux biens échangés. Les organismes financiers luttant contre le blanchiment d’argent, le financement du terrorisme et le financement de la prolifération comme le GAFI – le Groupe d’action financière – ont mis en place des indicateurs pour détecter le financement de la prolifération pour mieux repérer et caractériser les réseaux de prolifération. Ces indicateurs incluent souvent certains des concepts qui peuvent être recherchés en sources ouvertes :

  • La juridiction où se déroulent les transactions
  • Le type de biens exportés/importés
  • La forme juridique de la société commerciale et où elle est constituée
  • Liens entre plusieurs entreprises et/ou recours à un courtier/intermédiaire
  • Les écarts entre les activités de l’entreprise et les biens vendus/achetés
  • Des écarts entre le type de marchandises importées et le niveau technique de leurs destinations finales
  • La nationalité des dirigeants de la société
  • La destination finale des marchandises
  • Le bénéficiaire ultime de la transaction ou sa probabilité

Notre approche étape par étape

Ce projet de recherche a démarré sur la base des informations publiées par les autorités françaises mentionnant les noms, dates de naissance et personnes morales et personnes physiques jusqu’à la reconstitution des importations suspectes. Les étapes de recherche suivantes ont été suivies :

  1. Recherche en ligne de l’empreinte numérique des personnes physiques et morales sanctionnées et des liens existant entre elles.
  2. Identification de certains fournisseurs des entreprises
  3. Identification du type d’équipement, de matériel ou de produits importés.
  4. Évaluer le risque de prolifération : faible, moyen et élevé

Type de sources utilisées dans ce rapport

Un grand nombre de sources ont été utilisées à des fins de recherche dans ce rapport. Elles comprennent : les réseaux sociaux, les articles de presse, les rapports universitaires, les bases de données commerciales et les registres d’entreprises, les données obtenues à partir des connaissements, les fuites de données de l’administration syrienne, les outils d’analyse de sites Web en ligne.

Enquêter sur un réseau de prolifération

L’enquête sur un réseau de prolifération est difficile car elle prend l’apparence d’une transaction commerciale normale. Dans ce rapport, nous essayons de nous concentrer sur plusieurs parties du processus de transaction :

  • le réseau d’entreprises utilisé pour acheter des équipements et du matériel
  • le lien entre ce réseau et les instances gouvernementales stratégiques dans une juridiction de risque élevé
  • l’acheteur ultime s’il apparaît
  • le type de biens achetés
  • les fournisseurs

Recherche de personnes morales susceptibles de contourner les sanctions

La plupart des personnes morales présentées dans ce rapport peuvent être vérifiées en accédant à des registres commerciaux ou à des bases de données, soit gratuitement, soit pour une somme modique. Cependant, la Syrie ne fournit pas d’accès en ligne aux registres des sociétés commerciales. Les auteurs ont dû s’appuyer sur de multiples sources concordantes pour vérifier l’existence d’entités syriennes : e-mails, sites Web, adresses, mentions dans les médias locaux, mention dans les sources officielles ou les médias sociaux.

Recherche de données import/export

Pour identifier le type de marchandises expédiées, les fournisseurs impliqués et les entités commerciales utilisées par le réseau, nous nous sommes appuyés sur les données d’import/export pour obtenir les données d’expédition. Ces données d’expédition sont extraites des connaissements. Un connaissement est un document standard qui doit être délivré par l’expéditeur pour identifier la nature, la quantité, la qualité des marchandises. Ces données indiquent généralement le nom du fournisseur, le port (aérien) d’origine, le type et la quantité de marchandises, le destinataire – la société qui reçoit les marchandises – et le port (aérien) d’arrivée. Les marchandises sont souvent référencées à l’aide d’un code HS – le système harmonisé de désignation et de codification des marchandises. Ces codes sont des codes de classification des biens utilisés par tous les membres de l’Organisation mondiale des douanes (OMD) pour classer les marchandises à des fins douanières. S’ils n’indiquent pas le produit exact ni ses spécifications, cela donne sa catégorie. Les fournisseurs de données d’importation/exportation comme Panjiva ou ImportGenius se fournissent directement auprès de bureaux de douanes ou de vendeurs locaux de données. Tous les pays ne sont pas disponibles : la Chine ne propose qu’un jeu de données partiel.

Recherche d’équipements ou de matériels importés en cas de contournement des sanctions : établir un niveau de risque

Les biens à double usage sont des biens, des logiciels et des technologies qui peuvent être utilisés à la fois pour des applications civiles et militaires. Il comprend des matières premières comme certains types d’acier ou des produits chimiques spécifiques. Il est difficile d’enquêter sur de tels biens car leurs descriptions officielles dans les documents douaniers disponibles sont limitées. Ces types de sources donnent une indication du niveau de risque associé à un bien. La consultation de spécialistes douaniers peut être utile.

Qu’en est-il du bénéficiaire effectif ?

Selon le GAFI, le bénéficiaire effectif est « la personne physique qui détient ou contrôle en définitive et/ou la personne physique pour le compte de laquelle une transaction est effectuée ». Dans nos deux études de cas, le bénéficiaire effectif est connu – le Centre syrien d’études et de recherches scientifiques (CERS) – et est à l’origine de l’inscription du réseau d’entreprises sur la liste des gels d’avoir français.

Quelques limites : pas de flag’ mais un niveau de risque

Des sources ouvertes ont été utilisées pour recueillir des informations sur une relation directe ou indirecte entre le CERS et les deux entités différentes. Ce rapport n’offre pas de conclusions définitives ni de preuves irréfutables concernant le programme d’armes chimiques de la Syrie. Il donne un instantané de la chaîne d’approvisionnement qui était dans le domaine public au moment de la recherche. Les données disponibles concernant le type d’équipement envoyé sont génériques et ne remplacent pas une confirmation visuelle. Deuxièmement, OpenFacto n’a pas eu accès aux données décrivant les flux financiers : il n’y a rien de disponible dans le domaine public pour caractériser l’aspect financement des réseaux de prolifération. Troisièmement, alors qu’OpenFacto utilise les registres officiels de l’entreprise pour vérifier certaines participations et relations commerciales, ces informations ne représentent qu’un instantané de l’activité de l’entreprise à un moment donné : les registres peuvent ne pas être mis à jour régulièrement, peuvent ne pas être cohérents ou totalement exacts, et peuvent ne pas avoir les mêmes normes de déclaration dans toutes les juridictions. Enfin, le rapport devrait servir de base pour soulever d’autres questions, identifier les lacunes et lancer des enquêtes plus approfondies sur les cas.

Téléchargez notre rapport

Notre rapport est disponible en téléchargement en anglais ici et un résumé est disponible en français [à venir]

OpenFacto forme 20 journalistes du réseau Cenozo au Burkina Faso

OpenFacto forme 20 journalistes du réseau Cenozo au Burkina Faso

OpenFacto s’est rendu à Ouagadougou (Burkina Faso) du 19 au 24 mars 2021 pour former vingt journalistes d’investigation burkinabé, maliens et nigériens membres du réseau CeNoZo.

Le principal objectif de la CENOZO, est de contribuer au renforcement des capacités des journalistes d’investigation ouest-africains à travers des formations, du soutien financier et technique à l’investigation dans divers domaines tels que la corruption, le crime organisé, la mauvaise gouvernance, les violations des droits humains et l’environnement.

La CENOZO, a également pour objectif d’éditer des enquêtes, de faire du mentoring et du réseautage aux journalistes d’investigation ainsi que de porter une assistance juridique à ceux poursuivis pour leur travail. Pour atteindre ses objectifs, la CENOZO s’est entourée de plusieurs partenaires de divers horizons.

Cette formation d’une durée de 4 jours, montée en un temps record par CeNoZo (un mois et demi, en temps de pandémie…) visait à couvrir les bases techniques et juridiques de la recherche en sources ouvertes et d’initier et perfectionner les participants à l’usage des principaux moteurs de recherches et aux réseaux sociaux

Évidemment, une large part était consacrée à la géolocalisation et à la chronolocalisation sous toutes ces formes, le tout sur la base d’exemples très pratiques.

Outre le contenu de la formation, dense, ce type de manifestation reste également pour chaque journaliste, un excellent moyen de développer et cultiver son réseau de connaissance et de travailler en mode collaboratif.

Nous espérons que cet atelier est le premier d’une longue série de collaborations avec CeNoZo!

Merci donc à Arnaud et toute son équipe (Isabelle, Zalissa et Odette, notamment!!!) à Ouagadougou, ainsi qu’à Marthe Rubio de GIJN, pour avoir permis l’organisation de cet évènement!

Codes OTAN et OSINT

Codes OTAN et OSINT

Frappe d’une cathédrale historique dans le Haut Karabakh: les biens culturels en temps de guerre

Le 8 Octobre dernier une charge non identifiée tombait sur la Cathédrale Saint-Sauveur Ghazanchetsots, dans la petite ville de Chouchi dans le Haut Karabakh. Très vieille cathédrale arménienne, elle est inscrite sur une liste indicative du patrimoine mondial de l’UNESCO.

source: Twitter

La frappe d’un bien culturel n’est pas anodine puisqu’elle est codifié par le droit international dans la Convention de La Haye à laquelle l’Azerbaïdjan et l’Arménie sont parties.

«Les atteintes portées aux biens culturels, à quelque peuple qu’ils appartiennent, constituent des atteintes au patrimoine culturel de l’humanité entière, étant donné que chaque peuple apporte sa contribution à la culture mondiale»

En 2017, l’ONU va plus loin et désigne comme crime de guerre certaines destructions de biens culturels.

«La destruction délibérée du patrimoine est un crime de guerre, avait alors déclaré Irina Bokova, directrice générale de l’Unesco. Elle est devenue une tactique de guerre pour mettre à mal les sociétés sur le long terme, dans une stratégie de nettoyage culturel. C’est la raison pour laquelle la défense du patrimoine culturel est bien plus qu’un enjeu culturel, c’est un impératif de sécurité, inséparable de la défense des vies humaines».

Alors, alors qui a ciblé la Cathédrale de Chouchi?

Très rapidement, la nouvelle est reportée par un collectif de presse pro-russe ANNA News via leur chaîne Telegram affirmant qu’il s’agit d’une arme de l’OTAN à cause des références notées sur l’étiquette d’un débris retrouvé dans la cathédrale et pris en photo.

source: Telegram

Cette pièce est identifiée par la communauté journalistique comme étant française grâce à son code de description, qui serait lié à un numéro de nomenclature OTAN.

Code OTAN et équipement

Le numéro de nomenclature OTAN (NNO) fait partie du système OTAN de codification. Ce numéro désigne un article, une pièce unique dont l’identité est fixée par ce numéro. Le numéro est émis par des pays, les bureaux nationaux de codification (BNC).

Une compréhension de la composition du numéro de nomenclature OTAN permet d’en tirer plusieurs informations.

Le NNO se compose de treize chiffres. Les quatre premiers constituent le code de classification de l’équipement (de quel type d’équipement s’agit-il) et correspondent à un catalogue. Les deux chiffres suivants font référence au bureau national de codification, c’est à dire le pays. Les derniers chiffres sont attribués par un ordinateur et n’ont pas de sens propre. Il est intéressant de noter que 14 correspond à la France.

Plusieurs bases de données existent pour checker les codes en question. Nous en avons testé deux: ISO Group et NSNCenter.

Un missile français naval au milieu des terres du Haut Karabakh?

Les journalistes ont utilisé l’une de ses bases de données pour entrer le code de description de la pièce. Sur NSNCenter, le code AO2825 mène bien sur une pièce utilisée dans le cadre militaire. D’après la base de données, il s’agirait d’un équipement faisant partie de la catégorie missile guidé. Cette catégorie semble confirmer parfaitement la compréhension des événements du 8 octobre.

La base de données permet de confirmer non seulement la catégorie mais également le pays d’origine et le fabricant. Dans ce cas il s’agirait de Naval Group (ex DCN).

source: NSN Center

C’est là que les choses se corsent puisque Naval Group est une société qui est spécialisée l’industrie navale de défense et les énergies marines renouvelables.

Attribution française écartée

Non seulement il est étonnant de trouver de l’armement de Naval Group en pleine terre, mais l’hypothèse d’un tir depuis la mer semble peu probable avec une distance de 243 km à vol d’oiseau entre la ville et les côtes.

On changerait alors totalement de catégorie et pourrait poser la question d’un missile balistique de courte portée. Or le seul produit développé par le groupe industriel naval est le missile de croisière naval fait pour atteindre des cibles terrestres depuis la mer. Mais cet engin de 7 mètres pesant 2 tonnes ne fait pas qu’un simple trou dans la toiture d’une cathédrale…..Cette hypothèse ne tient donc pas la route.

En revenant sur la base de données pour le numéro de nomenclature OTAN, on remarque que le code AO2825 n’est pas référencé de façon identique dans la barre de recherche et dans les résultats.

Dans la barre de recherche, nous avons bien la lettre A – lettre O – 28-25 alors que le résultat associé est lettre A – zéro – 28-25.

La recherche de AO2825 ne donne d’ailleurs rien dans l’autre base de données mentionnée plus haut – ISO Group.

Lettre A – Lettre O – 28 – 25

Mais l’autre combinaison renvoie sur Naval Group.

Lettre A – zéro – 28 – 25

Il y aurait eu donc un « glitch » dans la base de données utilisée par le journaliste qui l’aurait induit en erreur. Une recherche avec AC2825 n’est pas non plus concluante puisqu’il s’agit d’un ressort.

La frappe a donc peu de chance d’avoir été faite avec du matériel français et les codes qui apparaissent sur l’étiquette ne sont peut-être pas des numéros de nomenclature de l’OTAN mais de simples numéros de série de l’équipement. OpenFacto continue de travailler sur la reconstitution de cet événement et la caractérisation des dommages sur la cathédrale.

#JeSuisProf – OpenFacto met à disposition un petit guide de la vie privée

#JeSuisProf – OpenFacto met à disposition un petit guide de la vie privée

En réaction aux événements de Conflans Sainte Honorine, OpenFacto met à disposition un petit guide basique sur la vie privée en ligne pour qu’un compte Facebook mal paramétré ou une adresse de domicile publique ne soit pas un frein au travail fantastique et à la sécurité des professeurs dans les écoles, collèges, lycées et fac.

N’hésitez pas à diffuser ce guide et à nous contacter si vous voulez le mettre à jour, apporter des précisions ou des corrections.

Guide à télécharger ici

CTF Trace Labs #5 – Recherches de micro-informations, gestion du temps, et Mr Freeze

CTF Trace Labs #5 – Recherches de micro-informations, gestion du temps, et Mr Freeze

Quand l’un des membres d’OpenFacto a annoncé sur Slack qu’un nouveau CTF (Capture The Flag) Trace Labs allait avoir lieu le 11 juillet, quelques mains se sont levées pour participer. Quand il a annoncé que cette fois-ci il aurait lieu de 17h à 23h, donc pas de minuit à 6h comme lors de la précédente édition, c’est une avalanche de membres qui a manifesté son intérêt ! (ou en tout cas assez pour constituer deux équipes de quatre, l’auteur étant simplement friand de formules grandiloquentes).


Vous n’avez jamais entendu parler de ces évènements organisés en vue de retrouver des personnes disparues ? Envie d’avoir un peu plus de détails ? Nous vous invitons à lire notre premier retour d’expérience écrit suite à notre précédente participation.


Aujourd’hui, pas d’article visant à approfondir un point de connaissance, comme avec le premier article qui s’intéressait à la question de l’analyse des tatouages.

L’idée est plutôt de faire le point sur notre organisation, ce qui a marché, ce qui a moins marché, et des axes d’amélioration possibles pour le futur.
Si vous avez des avis à partager sur ce qui suit, n’hésitez pas à nous répondre ici en commentaire ou via Twitter. Et si nous oublions de mentionner des éléments qui vous semblent importants, faites-nous signe et nous mettrons à jour l’article avec ces derniers.

Organisation

Pour cette édition, huit membres d’OpenFacto étaient motivés pour participer, nous avons donc fait deux équipes :

  • OpenFacto (obviously), comptant à son bord Capteurso, Hervé, Sébastien et ştəf// – fini 26ème sur 190 équipes ;
  • The French Flair by OF, composée notamment de L003, 0skAr et Roman – fini 23ème.
Tableau des scores final


Ensuite, pour répartir les gens entre les deux équipes, nous avons fait passer des tests d’aptitude à l’OSINT, évalué les CVs de chacun(e), et… non pas du tout, nous avons pris le premier (littéralement) site de répartition aléatoire en équipe sur Google, et défini les équipes à partir de là. Il s’est avéré que les teams ainsi formées ont bien fonctionné ; à voir pour la prochaine édition si nous essayons de déployer une réelle stratégie quant à ce sujet – nous y reviendrons plus tard.


Pour la communication écrite, nous avons privilégié Slack, qui permet de faire un thread par profil, afin de ne pas mélanger toutes les informations. Le canal vocal était assuré par Jitsi.

Il était envisagé d’utiliser framamind afin de faciliter la visualisation des profils et informations récoltées. Finalement, le fait de ne pas forcément changer souvent de cas d’analyse a fait que les threads Slack étaient suffisants. 

A noter toutefois que TraceLabs recommande dans son guide de ne pas passer plus d’une heure sur un cas où l’on ne trouverait aucune information, et conseille également l’utilisation de cartes mentales (cf. p.15-16).

Cette édition proposait l’analyse de huit cas, chaque membre d’une équipe était donc en charge de deux profils a minima, avec possibilité de passer sur d’autres en cas d’impasse. 

Quelques points à retenir pour les prochaines éditions

Ci-dessous une liste de points en vrac, sans classement suivant l’importance du contenu, mais qu’il nous semble pertinent d’avoir en tête pour les prochaines fois :

  • Si aucun flag n’est validé ni rejeté au bout d’une heure, ne pas hésiter à pinger l’équipe TraceLabs sur Slack, par exemple AK47Intel. Et même, mieux : vérifier à l’avance que l’équipe s’est bien vue assigner un juge (un fichier csv est fourni dans le channel du CTF afin de connaître le nom du juge qui s’occupe de l’équipe).
  • La recherche de profils snapchat via snapdex.com ne renvoie pas forcément de résultats pertinents.
  • Les copies d’écrans Android ne servent à rien si la preuve ne peut être rattachée à une URL (l’URL snapcode ne suffit pas).
  • Prendre le temps de faire une première passe, pour les profils US, sur des sites de recherches US (ex : spytox.com, thatsthem.com, etc.). MAIS bien prendre avec des pincettes ce que renvoient ces sites. Idéalement effectuer quelques vérifications derrière, avant de soumettre le flag.
  • Prendre le temps aussi de faire une première passe sur les informations basiques (ex : dates de naissance) qui, si elles ne rapportent que peu de points, une fois accumulés en fournissent finalement un nombre conséquent.
  • Prendre le temps – si réalisable – de lire les posts sur les réseaux sociaux de la personne disparue (notamment pour connaître ses hobbies). A minima aux alentours de la date de sa disparition. Se pencher aussi sur les commentaires et tags de personnes proches permettant (potentiellement) de récupérer d’autres profils de la cible, ainsi que leur nouveau compagnon/nouvelle histoire, qui les renvoient à leur profil actuel.
  • A ce sujet, Twint se révèle bien pratique pour ne récupérer que les tweets postés au moment de la disparition de la personne (notamment profils Twitter de ses amis).
  • La question de savoir comment déterminer si un numéro de téléphone US est assigné à un fixe ou un mobile s’est posée pendant l’évènement. A tête reposée, nous pouvons maintenant dire qu’il aurait pu être intéressant de passer par des services tels que TrueCaller ou OpenCnam, FreeCarrierLookup ou encore HLR Lookup déjà mentionné il y a quelques temps sur le discord d’OSINT-FR – mais aucune garantie quant à l’identification mobile/fixe.
  • Faire la liste d’un ensemble de sélecteurs (adresses mails, numéros de téléphones, création d’adresses mails et pseudos à partir du nom+prénom, etc.). Puis les vérifier sur autant de plateformes que possible (via whatsmyname ou instantusername), et lister le tout dans un document collaboratif. Envisager ensuite de désigner une à deux personnes afin d’approfondir ces données et réaliser une investigation latérale (recherche massive de sélecteurs et de sources potentielles) de l’investigation transversale (approfondissement d’un profil, ses commentaires, etc.).
  • Préparer des outils et moteurs pour le darkweb en amont et y passer au crible tous les sélecteurs (identité, email, username, etc.). Envisager de préparer une base de leaks avant l’évènement.
  • Préparer également un ensemble de services de « reconnaissance faciale » : Yandex, Bing, Tineye, etc..
  • Dans l’ensemble, nous avons réalisé beaucoup de recherches manuelles. A voir donc si et comment il serait possible d’en automatiser une partie.
  • Voir pour passer moins de temps sur certains profils. 6h, c’est à la fois très peu et très long, mais il s’agirait de réfléchir si passer 4 à 5h sur le même profil – ce qui a été le cas pour un ou deux membres – est vraiment un choix efficace.
  • Autre point à voir plus tard : envisager peut-être un rôle/spécialité par personne/compétence.
    • un/e « forgeron » qui récupère, par OSINT ou recréation, tous les sélecteurs, qu’il met à disposition ;
    • un/e ou deux enquêteurs qui approfondissent les profils et les subtilités historiques et comportementales ;
    • un/e spécial deepweb/darkweb.
      L’autre possibilité consistant à d’abord se concentrer sur un ou deux profils, puis passer à une revue de tous les profils en ne s’intéressant qu’à un des aspects mentionnés ci-dessus.

Conclusion

Ce qui est pas mal ressorti de nos discussions post-CTF, c’est la frustration de ne pas trouver des informations particulièrement remarquables sur chaque profil. Est-ce que cela vaut vraiment le coup de passer 6h sur le cas de deux à trois personnes disparues, pour ne ressortir finalement que des éléments facilement retrouvables : numéro de téléphone posté sur instagram, liens vers les différents profils sur les réseaux sociaux, etc. ?


A cette question que bon nombre se posent, Trace Labs réponds oui, cela vaut la peine : « We may not always find relevant or useful information to pass along to Law Enforcement (LE). But what we did accomplish was showing Law Enforcement that they truly have exhausted every lead and that they did their jobs well and to the best of their abilities. To them, that’s extremely valuable and it puts their minds at ease. » 


Chaque information, aussi minime qu’elle soit à vos yeux, doit être remontée : marque du téléphone de la personne (information intéressante pour les forces de l’ordre), goût prononcé pour le dessin, l’alcool, les Mr Freeze, etc.. Tout peut avoir son importance, pour peu que les personnes en charge de l’enquête n’y ait pas prêté attention. Et si c’est déjà le cas, cela les rassurera néanmoins quant au fait qu’elles ont cherché autant que possible.


En outre Trace Labs insiste sur le fait qu’il ne faut pas oublier les deux buts principaux de ces évènements :

  • trouver des informations sur des personnes disparues ;
  • améliorer nos compétences en OSINT – car oui, cela compte aussi.

Vous avez, vous aussi, été frustré par les données obtenues après de longues heures de recherches ? Hauts les cœurs, cela fait partie de l’apprentissage ! Et si vous n’avez pas l’impression d’être devenu une rock star de l’OSINT en 6h, vous avez néanmoins mis en pratique des connaissances déjà acquises – vous n’en deviendrez que plus efficace – voire appris de nouvelles techniques – on ne peut espérer mieux – et participé à un effort positif international. Donc rien de tout cela n’est perdu.


Un autre point qui nous a été remonté, c’est qu’il était encore plus sympa de réaliser ce genre d’évènements dans un même lieu avec le reste de l’équipe. Ainsi, à titre informatif, OpenFacto commence à réfléchir à comment réunir, une fois par an, l’ensemble de ses membres participant au CTF dans un espace commun, afin que les coéquipiers puissent interagir ensemble de vive voix, et que les différentes teams puissent ensuite échanger sur les cas abordés une fois le CTF fini.

Intéressé ? Faites-le-nous savoir sur Twitter ou notre Slack !


Un grand bravo à toutes les équipes !