Le monde entier est un qactus

Le monde entier est un qactus

Cet article est le fruit d’une enquête au long cours menée depuis juillet 2021 sur un acteur clef de la désinformation français, par OpenFacto et SourcesOuvertes sur Twitter en collaboration avec le site ConspiracyWatch.
Il présente toutefois quelques nouveaux éléments d’identification et dresse un panorama méthodologique d’enquête sur la désinformation sur Internet. Les liens présents dans cet articles sont soit tronqués, soit présentés sous leur forme d’archive afin de ne pas générer de rétroliens de promotion du site.

1.98 millions de vues en juillet 2021…

Signalé en juillet 2021 sur Twitter par Tristan Mendès-France, le site internet de réinformation d’inspiration QAnon Qactus[.]fr présente à l’époque un nombre impressionnant de vues mensuelles selon https://www.similarweb.com/fr/ :

Si, ces trois derniers mois, son audience a quelque peu diminué, elle représente toujours plus d’un million de visiteurs mensuels. D’ailleurs le site lui-même en fait la promotion sur sa page, dans le footer (73.6+M de visites à la date de publication de cet article…).


Techniquement, Qactus est un blog hébergé par WordPress, et son nom de domaine est enregistré depuis le 6 mai 2020. Cette information est cohérente avec les premières traces de pages vues sur l’Internet Archive.

Ligne éditoriale

Si le site est très fréquenté, sa ligne éditoriale du site est prompte à mettre le lecteur dans un état profond (deep state… vous l’avez?) de perplexité :

Un GoogleDork assez basique montre par ailleurs que ce site recommandait également en 2021 des lectures très particulières…

Mais comment définir un peu plus précisément la ligne éditoriale de ce site?

En utilisant le logiciel libre Hyphe, il est possible en partant de ce site de collecter une grande partie des liens hypertextes contenus dans les 8.341 articles qu’il contient. De manière récursive, on applique la même technique sur ces liens découverts afin de vérifier si ceux-ci font également référence à des liens similaires ou à Qactus.

Jolifié à l’aide Gephi, il est dès lors possible de visualiser avec Retina les connexions entre ces liens, c’est à dire les citations communes et de repérer ainsi des sous-communautés d’intérêt.

On constate ici qu’à de très rares exceptions (quelques articles du Monde, du Mediapart ou du Guardian par exemple), l’essentiel des liens remontés sont issus de la sphère complotiste et/ou de réinformation, française ou internationale, et que ces sites, ou profils, se re-citent entre-eux, agissant comme une bulle informationnelle.

Une bulle efficace?

Avec un tel contenu mêlant notamment complot, antivax, antisémitisme, et admiration pro-russe, quel peut être l’impact de ses publications sur un réseau social?
Qactus est officiellement absent de Twitter : son compte a été suspendu. Il utilise principalement Gab, Vk, Facebook et Telegram pour diffuser ses articles. Cependant, ses publications y sont régulièrement reprises. Or ce réseau présente plusieurs intérêts : il est assez grand-public pour toucher une audience plus large que les plateformes plus confidentielles telles que Gab, et contribuer ainsi à sa viralité, et il est possible pour nous de récupérer facilement des données par scraping.

En collectant avec snscrape l’intégralité des tweets encore disponibles et contenant l’expression « qactus[.]fr », il est possible d’obtenir une liste de 119.789 tweets depuis le 26 juin 2020 (ce qui représente un peu plus de 170 tweets par jour…). Il est important de prendre en compte à ce stade qu’il ne s’agit que d’une photographie à un instant précis des tweets actuellement visibles : des comptes aujourd’hui fermés ont pu relayer encore plus ce contenu par le passé. Le corpus ainsi remonté est toutefois assez conséquent et permet de tirer quelques enseignements sur cette bulle.

9.016 utilisateurs ont ainsi repris et diffusé ces liens sur la période concernée. Certains sont particulièrement prolixes. Après nettoyage des données brutes sous OpenRefine, et à l’aide du logiciel R, et de Rstudio, il est possible d’établir le palmarès des 50 plus gros promoteurs de qactus s’établit ainsi :

Note : Les identifiants ont été anonymisés et le décompte des tweets ne tient compte que des URLS uniques. A titre d’exemple le premier des promoteurs a posté à lui-seul 3.910 liens uniques qactus sur Twitter: un vrai fan.

Certains de ces utilisateurs Twitter sont très influents, comme Christine Kelly, ou encore Yves Pozzo Di Borgo.

Ainsi trois de ces utilisateurs cumulent plus de 9.000 retweets chacun sur leurs tweets embarquant des liens vers un post sur qactus, et d’autres utilisateurs réalisent eux aussi de jolies performances.

L’analyse des likes sur ces tweets est par ailleurs également intéressante :

L’ensemble de ces données permet de cartographier une douzaine de profils particulièrement influents qui diffusent avec beaucoup de succès les posts du blog :

Il pourrait être envisagé de produire d’autres types d’analyses sur l’ensemble de ce jeu de données, mais cette première approche permet de rapidement montrer que même en dehors de sa sphère habituelle d’évolution (les réseaux alternatifs), et par le truchement de comptes influents (inauthentiques ou bien réels), la diffusion de son contenu est bien réelle, régulière, et assez massive.

Plusieurs des comptes observés ici présentent les caractéristiques habituellement observées chez les trolls et désinformateurs :

  • Plusieurs comptes utilisant des pseudonymes séquentiels;
  • Des biographies surchargées d’émoji, de descriptions enthousiastes et guerrières, pro-trump, etc;
  • Des comptes très récents, postant peu de contenus propres et pourtant très suivis;
  • Du contenu directement relayé depuis Gab et probablement automatisé
  • etc…

Une hypothèse possible, mais non vérifiée, est que sous un ou plusieurs de ces comptes, se cache en réalité le webmaster du site Qactus.

Mais pourquoi la propagation de ce contenu est-elle une notion importante?

L’argent, le fuel de la désinformation

La désinformation est un ensemble de techniques de communication qui visent à tromper des personnes ou l’opinion publique pour protéger des intérêts, influencer l’opinion publique ou semer la discorde. Dans le cas de qactus, il est d’ailleurs possible de s’interroger ici si l’on est en présence de mésinformation (l’auteur croit que son information est réelle et la diffuse) ou de désinformation (l’auteur sait que l’information est fausse et la diffuse).

Mais une autre motivation est plus probable : l’appât financier.

En effet, si le site est hébergé sur la plateforme WordPress.com (le coût de maintenance est de l’ordre d’une vingtaine d’euros par mois), il n’en oublie pas moins de déclarer un traqueur publicitaire pour générer de l’argent… Il n’y a pas de petits profits.

extrait du code source de la page Qactus

Ce type de traqueurs permet de générer des revenus en revendant les données collectées à Google. S’il est très complexe de déterminer les sommes générées par ce site, il est possible de l’estimer à gros traits de deux manières :

  • Une simulation opérée sur le site de Google lui-même, pour un site d’information basé en Europe, sur l’estimation basse de 1.3M de visites mensuelles est susceptible de rapporter environ 32.500€ par an, ce qui est déjà, avouons le, plutôt confortable.
  • Cette estimation, minimale, est à peu près conforme à celles découvertes en recherchant sur Google les articles de blogueurs spécialisés sur le sujet.


Le créateur du site génère donc sans doute et avec l’appui de Google, des revenus complémentaires pour le moins intéressants.

Mais est-il possible de l’identifier?

Qui est Vanec71?

Deux profils de rédacteurs sont référencés sur le site : Laruche71, pseudonyme plutôt récent sur le site et Vanec71, auteur et administrateur historique du site. Le moteur du site étant basé sur WordPress, il est également possible de remonter ces pseudonymes d’auteurs via le dork Google suivant, classique et toujours très puissant :

Par le biais de l’outil Epieos, qui permet de voir comment et sur quels sites est utilisée une adresse e-mail, nous procédons au test de . A la base, la logique intrinsèque de l’outil de Epieos est de procéder à des tests à partir d’une adresse dont on sait qu’elle existe.

Mais rien n’empêche de l’utiliser avec des adresses « potentielles », non?

Commençons donc par tester une adresse Gmail… et le résultat parle de lui-même…

Grâce aux liens fournis par Epieos, nous découvrons que notre exquis webmaster a fait ses courses au Gifi du Creusot :

« Vanec Blue » (le nom renvoyé par Epieos) nous menait également fin 2021 vers une chaîne Youtube, avec deux vidéos peu vues :

Ce compte a désormais changé d’identité et d’avatar mais se trouve toujours en ligne.

Deux vidéos seulement et peu de vues… Ce n’est pourtant pas faute d’en assurer la promotion sur … la chaîne officielle « Qactus – L’Informateur », où on retrouve une des deux vidéos, élément liant un peu plus les deux comptes si besoin en était.

L’étape du mezze

A ce stade, nous avons recueilli quelques éléments intéressants, mais Il convient désormais de les mélanger :

Si le résultat n’est pas fameux sur Google, la même opération menée sur d’autres moteurs de recherches s’avérait beaucoup plus fructueuse en 2021. Ainsi, le moteur Qwant était un peu plus loquace :

Nous retrouvons alors deux de nos pivots, ainsi que plein de pivots supplémentaires :

S’agit il de la personne derrière le site conspirationniste à 1.98 million de vues ?

A ce stade, rien ne permet de l’attester complètement. On peut cependant objecter qu’en terme de probabilités, le pourcentage de personnes qui ont le même pseudonyme (assez signant), habitant dans la même ville de taille très moyenne (population du Creusot : 21887 personnes – 2015) est sans doute assez faible…

Passons la seconde…

Pour résoudre le mystère, on va utiliser l’équivalent du site HaveIBeenPwned. Ce site, qui est ouvert à tous moyennant un abonnement, permet de rechercher des identifiants et mots de passe à l’intérieur d’immenses bases de données ayant préalablement fuité sur internet, suite à des compromissions.

Une recherche sur Vanec71 donne rapidement trois informations clefs : un nom, un prénom et une nouvelle adresse mail chez Microsoft.

« Pat S » aurait-il une adresse au Creusot? Les pages jaunes sont nos amies…

Sacré Patoche…

Golfeur – on peut être QAnon et aimer les sports d’élite – « Pat S » a un profil sur Copains d’Avant indiquant qu’il a certainement vécu un temps à Carcassonne avant de revenir au pays.

Et évidemment, Patoche est bien présent sur VK ou Facebook, ce qui permet de vérifier l’ensemble de ces éléments.

Contacté à de nombreuses reprises, il n’a jamais retourné nos appels.

Pour conclure

A l’aide de quelques outils facilement accessibles, et d’un peu de méthodologie, il est possible d’analyser un de sites moteurs de la désinformation francophone et de constater qu’il est au centre d’un écosystème plus global :

  • Des liens d’affiliations avec toute la sphère réinformationnelle et complotiste anglophone et francophone
  • Une propagation virale déborde largement sur les réseaux sociaux conventionnels, avec une communauté forte qui porte et amplifie le message
  • Une saturation de l’espace médiatique sur les thèmes récurrents de la réinformation et du complot
  • Un intérêt financier certain, pour un personnage très discret

The GRU’s galaxy of Russian-speaking websites

The GRU’s galaxy of Russian-speaking websites

Since 2016, numerous studies have shown Russian intelligence services’ involvement in online information operations. Case studies on the Internet Research Agency (IRA), Secondary Infektion , and the Ghostwriter campaigns shed light on the methods allegedly employed by the Russian government to influence and discredit beyond its borders.
However, little research has focused on Russian Intelligence’s control over the domestic information space. OpenFacto discovered and mapped more than one thousand Russian-speaking websites linked to the GRU, Russian military intelligence, to reconstruct their strategy and objectives, in a landscape already saturated with media loyal to the Kremlin.


OpenFacto’s study revealed that InfoRos, a news agency run by the GRU, began expanding into local news around 2012 throughout Russia. By registering no fewer than 1,341 digital « news portals » attached to cities, towns, districts, or even villages, InfoRos has created a network of amplifiers that surreptitiously broadcast the Russian government’s preferred narrative. The websites are primarily empty shells that regularly copy and paste innocuous content. These sites publish InfoRos content at regular intervals, which has a pro-government or anti-Western tone. The sites appear to relay an editorial line, which appearances suggest would be defined by the GRU, whose mandate is theoretically limited to outside the Russian Federation.


The report below presents OpenFacto’s methodology for discovering the websites and the hypotheses drawn from our analysis of the registered domain names, the Russian localities they target, and the chronology of their creation date. The main objective is to understand the objectives pursued by the GRU through InfoRos – especially in the digital space. To do so, we will first analyse InfoRos’ identity and its unique position within the Russian online « informational control » ecosystem.

This study will also introduce some tools and services to explore the « Ru.net  », a Russian and Russian-speaking segment of the Internet still little researched.

Download the report.

Download the domains’ list (csv file).

Update : 01-28-2022, correction of typos.

Colloque OSINT et Sciences Sociales (avec beaucoup de géopolitique dedans)

Colloque OSINT et Sciences Sociales (avec beaucoup de géopolitique dedans)

Le lundi 29 novembre, le landerneau de l’OSINT français s’était donné rendez-vous au rutilant Campus Condorcet, à Aubervilliers, autour du colloque « Où nous mènent les traces numériques ? Pratiques et apports de l’OSINT aux sciences sociales » organisé par le centre de recherche et de formation GEODE (Géopolitique de la Datasphère) et l’IRSEM (Institut de Recherche Stratégique de l’Ecole Militaire) en partenariat avec Paris 8, la Fabrique Défense (NDLR : Ministère des armées) et l’IFG (Institut Français de Géopolitique). Spoil Alert : si l’OSINT français était au cœur des discussions, forcément vu les acteurs de la journée, la Russie, la Chine et autres terrains politiquement sensibles ont été abordés.

Affiche de l’évènement

250 places ouvertes à tous (gratuites), billetterie sold out avant la date, l’événement promettait une belle réunion. Le déroulé de la journée et la composition des panels ont fait la part belle aux disciplines variées qui font appel à l’OSINT :  géopolitique, recherche, forces de l’ordre et de la défense, journalisme, cybersécurité, métiers de la data…

Après quelques propos introductifs de Kevin Limonier (GEODE) et Paul Charon (ISERM), la journée a démarré avec la présentation de Viginum. Le service tout-nouveau-tout-beau rattaché au cabinet du Premier ministre et placé auprès du SGDSN (secrétariat général de la défense et de la sécurité nationale) est chargé de la vigilance ainsi que de la protection contre les ingérences étrangères. L’équipe pluridisciplinaire de Viginum compte 21 agents, et à terme, fin 2022, 50 postes. 

La première table ronde, « l’OSINT comme pratique opératoire », invite Roman Adamczyk (EU Disinfo Lab), Hugo Benoist (OSINT-FR), Mathieu Gaucheler (Maltego), Romain Mielcarek (Journaliste) et Clément Audebert (Preligens) à présenter leurs structures (présentations teintées de marketing, nécessairement, pour Maltego ou Preligens) puis à répondre aux questions du public. Roman Adamczyk retrace le travail accompli contre la désinformation avec EU Disinfo Lab. L’ONG basée à Bruxelles a bouclé 10 enquêtes en un peu plus de 2 ans, l’occasion de revenir sur quelques déconvenues dans l’accueil de leur travail : entre les mises en demeures d’avocat et les erreurs dans la perception des enquêtes, les difficultés se situent parfois dans l’accueil de leur travail davantage que sur les investigations en elles-mêmes. L’intervention de Romain Mielcarek, journaliste, fait mouche (notamment si l’on compte les questions du public qui lui seront adressées). D’emblée, il souligne que l’OSINT est un vocable venu du monde du renseignement et ne s’applique pas au journalisme d’investigation. Que chaque discipline utilisant les recherches en ressources ouvertes doit trouver son cadre éthique   Et contrairement à cet effet de mode qui veut consacrer l’OSINT comme moyen unique de recherche, pour lui, ce n’est qu’un moyen parmi d’autres, venant en complément du travail sur le terrain que le praticien qu’il soit journaliste ou enquêteur, doit accomplir.

L’après-midi, la deuxième session offre l’espace à 4 chercheurs d’exposer leur expérience de l’OSINT. Léa Ronzaud (Graphika), narre l’investigation – finalement infructueuse – de son équipe pour retrouver le distributeur de PQ à l’effigie de Joe Biden sur Times Square. Hugo Estecahandy (GEODE) a offert à l’amphithéâtre un cours introductif au fonctionnement du bitcoin en partant d’une trouvaille sur le site d’Egalité et Réconciliation. Marie-Gabrielle Bertran (GEODE) mène avec brio une démonstration à deux têtes sur l’OSINT russe relativement ouvert puis sur les données grises (leaks) en prenant exemple  sur 2 affaires : le vol de 7,5 TB de données à SyTech, sous traitant de plusieurs organes officiels russes et l’attaque du groupe Sands à Las Vegas par un groupe de hacktivistes iraniens (support de présentation à disposition des membres OF). Enfin, dans une vidéo d’une quinzaine de minutes, Ksenia Ermoshina (CNRS) présente ses travaux de recherche sur les conséquences de l’annexion de la Crimée pour les infrastructures Internet dans la région. 

@nicolasquenel

Le dernier panel a rendu la délégation Open Facto un peu chauvine car notre président Hervé a posé les jalons d’un OSINT responsable par une définition épistémologique qui en dessine le champ et ses limites en rappelant la définition incontournable d’une information récupérée « sans ruse et sans stratagème », formule reprise ensuite par d’autres intervenants. A ses côtés, Rayya Roumanos, (IJBA), Kevin Limonier (GEODE), Paul Charon (IRSEM) et Fabien Laurençon (IRSEM) ont débattu autour du thème « Epistémologie de l’OSINT : apports et limites du renseignement d’origine sources ouvertes aux sciences sociales ». Une façon de rappeler que les investigations sur le « terrain numérique », techniques relativement récentes, permettent beaucoup de possibilités, mais doivent être aussi encadrées et organisées. 

La journée s’est donc terminée sur une touche « meta-osint », avec l’évocation des enjeux de demain. Quand les acteurs français de l’OSINT pensent l’OSINT, la boucle est bouclée.  

Retour sur la Conférence EUDisinfolab, 26-27 octobre 2021 Bruxelles

Retour sur la Conférence EUDisinfolab, 26-27 octobre 2021 Bruxelles

OpenFacto était représentée à la Conférence EUDisinfolab, qui s’est tenue à Bruxelles 26-27 octobre 2021 et vous propose ce compte-rendu agrémenté de quelques reflexions.

Conférence EUDisinfolab, 26-27 octobre 2021 Bruxelles

Paysage de la désinformation aujourd’hui

Paysage européen de la désinformation

La conférence EUDisinfolab a permis de faire le tour de nombreuses campagnes de désinformation qui ont touché les pays européens. Toutes avaient un but commun : déstabiliser les instances décisionnaires et polariser le débat public. De plus, il a été souligné que les écosystèmes de la désinformation devenaient de plus en plus complexes et que de nouveaux acteurs y entraient tous les jours.

La Lituanie ainsi que les Balkans sont ciblés par des campagnes de désinformations russes (et biélorusse) notamment sur les questions migratoires. Et, en Europe de l’Est, Daniel Fazekas (fondateur de Bamako.Social) relève quatre tendances majeures. Tout d’abord, l’institutionnalisation de la désinformation (en Hongrie, les médias proches du pouvoir ont propagé des infox faisant un lien entre immigration et arrive de l’épidémie) ; la dénonciation d’un ennemi intérieur (ONG, libéraux ou encore communautés LGBTQ+ en Hongrie) ; pourtant, en Hongrie encore, la propagande semble s’essouffler. À titre d’exemple, les médias pro-Orban engagent 20 fois moins que les médias anti-Orban. Enfin, des défis asymétriques apparaissent, en effet, de nouveaux médias issus du crowdfunding naissent, notamment sur YouTube en proposant des standards journalistiques de haut niveau.

Raquel Miguel Serrano, chercheuse au EUDisinfolab a également souligné que la désinformation qui a touché les élections fédérales allemandes a particulièrement ciblé les candidats verts, sachant que la candidate A. Baerbock a notamment subi une vague de désinformation sexiste ; ce type de campagne de désinformation genrée étant très employée en ce moment.

Économie de la désinformation

Suivre les enjeux financiers afin de caractériser une campagne de désinformation a autant d’importance dans la partie recrutement, à l’instar de l’exemple repris par Charlie Haynes, journaliste à la BBC, du Fazzegate où la Russie a offert de l’argent a des influenceurs pour répandre de la désinformation sur le vaccin produit par Pfizer ; que dans le business model des plateformes elles-mêmes. En effet, on se rend compte que lorsque la question financière entre en jeu, les plateformes ne gèrent plus la désinformation et n’offrent plus la transparence que les sociétés civiles seraient à même de leur réclamer.

Les campagnes de désinformation, à l’instar des campagnes cyber sont protéiformes. Il faut donc prendre en compte simultanément les différentes couches qui les caractérisent. La question financière en recouvre plusieurs, mais la question du financement des campagnes et des publicités ciblées présentent sur les réseaux sociaux sont particulièrement prégnantes.

Prévalence de l’anglais

Emerson T. Brooking (chercheur affilié au DFRLAb) revient sur le fait que plateformes étant en grande majorité américaines, leur travail de modération et leurs algorithmes sont surtout gérés en anglais. Ce qui crée une asymétrie dans la gestion de la désinformation dans les différents pays, biaise les instances de modération et crée d’importantes failles de sécurité.

So what?

Un besoin de normes et de standards

De nombreux interlocuteurs de la conférence ont souligné l’importance de travailler en collaboration avec les citoyens, les administrations publiques, le secteur privé car, pour répondre à la désinformation en tant qu’élément essentiel d’une activité d’ingérence structurellement hybride, la réponse elle-même doit être hybride. Cela demande tout d’abord une exigence de transparence, aussi bien des politiques que des méthodes journalistes, des algorithmes des plateformes ou du travail de débunkage des instances qui en ont la charge. Mais cela demande aussi de mettre en place des stratégies nationales et transnationales et, enfin, de travailler à la dimension normative de la description des campagnes de désinformation ainsi que le souligne Lutz Guellner, chef de la division des communications stratégiques au SEAE.

Il s’agit donc, à terme, de voir s’il est possible de créer une approche commune pour avoir des éléments de comparaison et pouvoir mettre en place des standards méthodologiques. Concernant la caractérisation des campagnes de désinformation, il importe de construire des ponts entre les différentes institutions pour éclairer les preuves. C’est-à-dire que les éléments investigués doivent pouvoir être partagés, mais il faut pouvoir également réfléchir à l’articulation des preuves qualitatives, quantitatives dans la description des campagnes de désinformation. Sous quelles formes, dans quelles normes, et de quelle manière seront-elles archivées ? A l’instar des pratiques OSINT, la qualité de la preuve facilitera sa validité ainsi qu’à terme le travail d’attribution de ces campagnes.

Stephen Turner, directeur des affaires publiques européennes sur Twitter est intervenu notamment pour expliquer comment le compte de D. Trump avait été supprimé de la plateforme, sachant que cette décision était intervenue après la mise en place de tout un ensemble de mesures prise à son encontre. Cependant, de nombreux éléments restent trop obscurs dans la définition d’éléments de modération sur les plateformes de réseaux. Sans transparence et sans norme, on peut tout à fait douter de la bonne foi de ce travail de modération.

Enfin, l’importance donnée à une campagne de désinformation peut-être éminemment politique et subjective. On a besoin de normes et de créer des standards pour mesurer l’impact de la désinformation, sortir de cette subjectivité et permettre une réponse ou une action face à une campagne de désinformation. (cf. les échelles de mesure proposées respectivement par Ben Nimmo et Ruurd Oosterwoud).

Figure 1. The Breakout Scale de Ben Nimmo

  • Catégorie 1 = aucune interaction avec l’extérieur
  • Catégorie 2 = amplification sur plusieurs plateformes par le biais de comptes inauthentiques
  • Catégorie 3 = urgence ! Multiples points de sortie sur multiples plateformes.
  • Catégorie 4 = les profils inauthentiques performent plus que les profils officiels
  • Catégorie 5 = une personnalité relaie l’information
  • Catégorie 6 = danger de violence

(Voir la présentation de Ruurd Oostewoud sur les 5 driven criteria to measure the impact of disinformation)

Éducation à long terme

Dans la lutte contre la désinformation, on cherche à savoir comment ramener les personnes à la réalité. Or à l’instar de la lutte contre la radicalisation, l’éducation à la désinformation prend du temps ainsi que le souligne Eliot Higgins, fondateur de Bellingcat. On ne peut pas se contenter d’un travail de débunkage qui a finalement une portée très limitée. Tout d’abord parce qu‘il se déroule sur des instances où ses conclusions ont moins de portée que la désinformation elle-même ensuite, parce qu’il est important que les gens y soient eux-mêmes sensibilisés et éduqués. Plusieurs intervenants et notamment le Dr Mathias Wargon, sont revenus sur la responsabilité des médias plus que des réseaux sociaux, dans la désinformation. Parce que les journalistes, par exemple, manquent de culture scientifique, parce qu’ils ne s’obligent pas à un débat réellement contradictoire. Car, en effet, s’il l’on s’écharpe sur les réseaux sociaux, les conséquences réelles finalement sont liées à ce qui est diffusés dans les médias eux-mêmes.

Digital service Act

La fin de la conférence a été l’occasion d’une présentation par Thomas Granjouan (EuDisinfolab), du Digital service Act (DSA), c’est-à-dire une proposition de lois pour la régularisation des plateformes.

Les points positifs soulignés sont les suivants : ce système peut être utilisé pour mettre en place un système de traitement des plaintes, pour demander la transparence sur les systèmes de recommandation, permet la mise en place d’audits sur les algorithmes ou bien encore d’imposer des sanctions ou de lourdes amendes en cas de non-conformité. Cependant, cette loi sur les services numériques ne prévoit aucune sanction contre l’inaction des plateformes, n’applique aucun code de conduite sur les publicités ou la désinformation présentent sur celles-ci. Enfin, elle n’élargit pas suffisamment l’accès aux données (manque de transparence en cause, encore un fois) et pose un problème sur lequel EuDisinfolab ainsi que Věra Jourová (vice-présidente de la commission européenne) sont revenus : la problématique de l’exemption des médias. Si la loi européenne propose de régulariser la modération de contenu sur les sites de grandes compagnies comme Google ou Facebook, l’exemption de cette modération appliquée aux médias est la porte ouverte à une désinformation sans précédent.

Pour conclure sur ces différentes interventions, il a été maintes fois répété que la construction d’une société résiliente aux campagnes de désinformation se construit sur l’éducation à long terme de la société civile sur ses méthodes aussi bien que sur une collaboration des différentes instances (civiles, administratives, privés…) qui la constitue. Les notions de transparence : des médias, des plateformes tout autant que dans le monitoring de la désinformation par une entité gouvernementale ainsi que la création d’un cadre réglementaire et la mise en place de normes ont été régulièrement invoqués comme éléments structurants dans la lutte contre la désinformation. Cette lutte se joue sur tous les fronts simultanément.


OpenFacto participe au CTF OSINT UYBHYS – Retex

OpenFacto participe au CTF OSINT UYBHYS – Retex

Vendredi 12 novembre se tenait la 6ème édition d’UYBHYS. durant laquelle un CTF d’OSINT était organisé de 16h00 à 22h00 en distanciel.

UYBHYS, pour “Unlock your Brain, Harden your System”, est l’événement de sécurité numérique le plus à l’Ouest, en Bretagne, evel-just !

Petit CTF sympa en perspective, organisé par : @erys70695660, @madame_https et @D4ftR0ck, ainsi que  @0xraven_

Une fine équipe encadrée par @realDumbleDork, fondateur de la communauté Osint-fr.

Ni une ni deux, nous nous y greffons, en nous répartissant sur deux équipes.

Au menu, une enquête fictive qui démarre sur la société Berzelius Corp, victime du vol de l’un de ses camions contenant des produits hautement chimiques. 
Trois parcours étaient disponibles : 

  • Une investigation principale avec une douzaine de challenges s’articulant autour du vol du camion par un groupuscule éco-terroriste.
  • Des investigations parallèles avec quatre défis autour des petits secrets des employés de la société fictive et de leurs interactions en terre bretonne.

Ces deux premiers parcours mixeront socmint, geoint, bases de données en ligne…

  • Les crypto-Investigations : 5 challenges. Ce dernier parcours se concentre sur le secteur de la crypto.

Côté Orga : 

Présents sur ce CTF : 135 joueurs répartis en 44 équipes.

Le CTF accuse un retard d’1 minute, car l’ensemble des challenges furent laissés en “Admin Only”. 

L’histoire est bien rodée, les personnages et l’intrigue nous amènent de recherches en découvertes, avec quelques petits sujets un peu tordus.

C’est dans la bonne humeur que se terminera ce CTF avec en scoreboard :

Quelques focus et anecdotes sur les challenges

Zoom sur Challenge “On the Road Again”

On notera parmi les différentes énigmes, un challenge qui a fait couler beaucoup d’encre : “On the Road Again”, concocté par @Erys.

10 équipes sur 44 sont parvenues à trouver la solution au défi… une énigme assez simple à résoudre et pourtant, les biais de confirmation, d’attribution et l’effet d’ancrage auront eu raison d’une bonne partie des participants.

Erys résumera le mieux la performance moyenne des participants à cette énigme :

Et oui :

Zoom sur le parcours Crypto :

Le parcours crypto se compose de cinq questions amenait les équipes à enquêter sur le financement de l’Ordre des Avocettes. Fort heureusement, les questions ne portaient pas sur l’analyse de la blockchain et aux nombreuses transactions qu’elle comporte, exercice délicat et chronophage 

Les challenges du parcours mettaient en lumière la relative notion de pseudonymat entourant les crypto-monnaies. Car si la blockchain est pseudonymisée, la surface numérique d’un wallet ne l’est pas pour autant. Il était possible de trouver toutes les réponses en effectuant une recherche simple sur un moteur de recherche à partir du numéro du wallet et en ajoutant éventuellement à la requête des détails sur ce qu’on voulait trouver.
    Un des challenges amène les équipes à trouver le nom d’un marché noir du dark web sur lequel le wallet s’était approvisionné en drogue, information que l’on trouvait pourtant sur le web de surface via un simple moteur de recherche sans nécessité de parcourir le dark web.

La question nous rappelait qu’il n’existe pas qu’une seule crypto-monnaie comme il n’existe pas qu’une seule blockchain. Et oui, un des wallets ciblés n’effectue pas que des transactions en Bitcoin [BTC] mais aussi en Bitcoin Cash [BCH]. Cette autre monnaie virtuelle étant régi par sa propre blockchain !

Et une dernière  anecdote pour la route :


    “Les Narcos chinois” ou “de la nécessité de bien vérifier si ce que l’on trouve est bien ce que l’on cherche”.

Vous est-il déjà arrivé de vous perdre sur internet ? N’ayez pas honte c’est tout à fait naturel, même au cours d’un CTF …

L’une des questions du challenge nécessitait de trouver des informations sur une adresse MAC :

adresse MAC : A8:BA:8B:CB:5F:82. Il semblerait qu’il s’agisse de l’adresse MAC de l’IPhone auquel est relié l’AirTag. Il est possible que cette adresse nous mène vers l’endroit où les voleurs cachent le camion et les produits chimiques.

A partir de ces informations, trouvez cette adresse postale.”

La résolution de cet énigme était simple si l’on avait connaissance du site wigle.net mentionné plus haut. Or, ce n’était absolument pas notre cas.

Passé la détresse des premiers instants suivi de requêtes paniques sur Google, l’un des membres de l’équipe a eu la bonne idée de passer l’adresse MAC sur shodan.io , ce qui n’est pas une mauvaise idée en soit et là … bingo !

Une adresse IP en Chine semble liée à une liste d’adresse MAC dont celle que nous cherchons, ce qui est très rare. Le challenge demandant de trouver une adresse, nous devons nous résoudre à tenter les coordonnées GPS liées à cette IP :

La Chine en Bretagne ? Tant pis qui ose gagne !

Pas très parlant, les routes n’ont même pas de noms sur Google Maps. Tiens ! Un coup de bol, un utilisateur a pris en photo et publié sur google l’endroit d’où proviennent les coordonnées GPS, nous touchons au but. Dans un endroit aussi bizarre ce ne peut être un hasard !

???!!!

Voilà donc le lieu où les Cartels de La Couyère et de Corps-Nuds (CF – le Challenge) se retrouvent pour négocier et se partager la Bretagne tout en concoctant des CTF GEOINT impossible. Une découverte capitale dans la lutte contre le crime organisé.

Plus sérieusement et malgré l’aspect trivial de la chose, il est important de vérifier si ce que l’on a trouvé correspond bien à ce que l’on cherchait. En effet Shodan a affiché l’adresse IP mais ne montrait pas explicitement ce qui avait été trouvé. En effectuant de nouveau la requête on se rend compte avec effroi en filtrant la page des résultats que :
Shodan n’a fait une correspondance que sur les 3 premiers digits de l’adresse MAC parmi la liste des autres adresses. Cela aurait donc pu être évité.

Qui plus est, les coordonnées GPS du site ipleak.net indiquait que la portée était de 5 km de rayon (pas très chirurgical).     Heureusement que cette folie a cessé, parce qu’il était possible, avec le nom d’utilisateur de la personne ayant posté cette photographie mythique, d’en déduire le mail et de pivoter sur son compte Instagram et TikTok qui comportait des publications de lieux, boutiques et … d’avions ! De quoi se perdre encore un tout petit peu.

Le + apprécié par les participants : 

  • Le format du CTF dans son déroulé et dans son timing et l’heure : meilleur compromis pour engager du monde sur un évènement sans trop impacter sur le temps perso, 
  • Le discord pour le chat temps réel, permettant aux équipes de ne pas perdre de temps sur des problèmes techniques, et de permettre aux organisateurs d’adapter ou de corriger en temps réel, tout dysfonctionnement, consignes pas très claires ou errances des participants (exemple, avec “On the road again” : les organisateur ont délivré un indice supplémentaire et corrigé la consigne de saisie de la réponse)

Les axes d’amélioration : 

  • On the road again : La consigne de la saisie de la réponse n’était pas claire et l’énigme tirée par les cheveux. Le style “enquête de détective” ne colle pas avec l’énigme posée qui est un jeu de mots et dont le flag est caché sur un site qui n’a aucun lien avec l’activité. 
  • Certaines tournures des énigmes ne sont pas très claires. 

Les conseils OF pour un CTF démarrer en CTF :

  1. Être une team pleine est préférable si on souhaite truster le top 10 
  2. S’organiser ! s’organiser et… s’organiser :
  • Parfois quand on bute, il faut savoir prendre le temps de revoir l’énigme depuis le début ou, à défaut de mieux, savoir abandonner. Exemple : challenge “On the Road again” qui n’apporte rien si ce n’est 30 points et ne débloque pas d’autres énigmes. 
  • Ne pas hésiter à solliciter l’équipe organisatrice si on sent que l’on a la réponse mais qu’on bute sur une question technique ou fonctionnelle. Exemple : nomenclature de la réponse (case sensitive, pris en en compte des accents…). 
  1. A moins qu’un CTF ne précise le sujet des recherches, se concerter à l’avance sur les outils à regrouper pour le CTF (via un https://start.me par exemple) et se partager les recherches par spécialité (exemple avec les challenge Crypto, domaine très spécifiques et totalement inconnus de certains osinteurs) 
  2. Ne pas oublier le document de travail partagé pour y déposer tous les indices et liens trouvés durant le CTF

Quelques liens utiles découverts durant le CTF :

  • https://www.immo-data.fr qui permet d’explorer une carte avec tous les biens à vendre à proximité et d’obtenir des informations détaillées sur les dits bien (et ainsi avoir des données de pivot pour compléter / affiner les recherches sur https://www.cadastre.gouv.fr par exemple) .
  • https://www.vivino.com et https://untappd.com/ : applications mobiles pour amateurs de vins et de bières qui y laissent des avis et parfois quelques petites informations personnelles (pour trouver un user, saisir le jeu de pseudos probables pour accéder à leurs pages dans l’url).
  • https://wigle.net/ : base de données permettant de trouver des réseaux sans fil (WIFI, objets connectés…) via leur adresse mac, entre autres.

Concernant la crypto et les blockchains :

Intro à la blockchain :
    La blockchain compile l’intégralité des transactions effectuées entre des portefeuilles de crypto-monnaies (appelés wallet), la transaction une fois vérifiée et compilée dans les règles de la blockchain est en théorie impossible à falsifier. Chaque crypto-monnaie possède son propre système de compilation de transactions, l’écrasante majorité utilisant le système de la blockchain.

Ces fameux registres en source ouvertes indiquent le numéro des wallets, les soldes et les montants impliqués dans chaque transaction.
Les transactions visibles en OSINT sont “anonymisées” car l’identité des propriétaires de wallet n’apparaît pas. On parle alors de “pseudonymat”, les plateformes en ligne étant légalement dans l’obligation de demander et de conserver l’identité réelle des détenteurs de wallet.
Les crypto-monnaies quant à elles, s’achètent, sauf exception, sur des plateformes en ligne contre de la monnaie fiduciaire ou en échanges d’autres crypto-monnaies.

Pour aller plus loin :

  • https://www.youtube.com/watch?v=6uYRN6b5EMU : “Comprendre la blockchain en 7 minutes »
    Cette chaîne : “Cryptoast” propose également les vidéos : “Qu’est ce que le Bitcoin” et “Comprendre les crypto-monnaies en 8 minutes”

Autres liens :

Lien pour accéder à l’ensemble du CTF (Q/R) : 

https://github.com/pcotret/ctf-writeups/tree/master/uybhys-2021

Lien vers le salon unlock

https://www.unlockyourbrain.bzh/

Lien vers OsintFr :

A decade into the Syrian war: OSINT as a tool to investigate Syria’s chemical program supply chain

A decade into the Syrian war: OSINT as a tool to investigate Syria’s chemical program supply chain

The war in Syria has been one of the most violent conflict of this past decade. Being one of the most documented conflict, it has provided a lot of material for open source research to take off. Multiple investigations have established the use of chemical weapons by the Syrian government on its population. Open source research has proven to be a valuable tool in verifying attacks and whether chemical weapons were used.

The Syrian chemical program and the need for accountability

At a time some Syrian officials have started to be trialed for war crimes, the need for accountability has never been greater. Individuals involved in the Syrian chemical program used during the war are Syrian officials but also businessmen who were used as intermediaries and fronts to obtain material and equipment for the Syrian Studies and Research Center. Investigating these proliferation networks has been difficult as establishing the full supply chain can be complex. A few investigations led by Syrian Archive, Bellingcat, C4ADS and Open Society Justice Initiative were published here and there on chemical weapons supply chains.

Proposing an open source research framework to detect a proliferation risk

On this occasion OpenFacto wanted to understand if an open source research framework could be created in order to detect proliferating companies supplying the Syrian Studies and Research Center. To test this framework we took two existing cases that were brought to the French and US justices for their alleged participation to the Syrian Chemical Weapon Program. OSINT research can establish risk levels for the Houranieh and EKT networks which can be summarized with the following scorecards.

Main findings

Open source research is a valid tool to establish a risk level associated with an entity suspected of proliferation or to detect high risk entities.

OSINT CAN PROVIDE SUPPORTING CONTEXTUAL INFORMATION. Open source research confirms a number of elements mentioned in both networks:

  • Both networks have an international dimension with front companies outside of Syria
  • What they trade can be established: metal, electronics, security
  • Multiple sources mention these networks seem close to Bashar Al Assad’s entourage and the SSRC
  • There is an history of customs inspection and/or sanction enforcement in US jurisdiction. 

THE IMPORTS POSE A HIGH RISK OF BEING USED FOR PROLIFERATION. Open source research gathers circumstantial evidence which indicates the items traded and the destination of Syria should have triggered enhanced customs inspections. 

NETWORK RESILIENCE. Both networks continue to operate to the present day. Despite asset freezes and sanctions they have demonstrated resilience to access international markets. 

SOCIAL MEDIA PLATFORMS USED FOR CREDIBILITY AND PUBLICITY. The Houranieh network, but mostly the EKT network, have been using Western social media platforms to create business accounts – ‘Pages’ – in order to promote their brand, products and generate potential sales leads. These social media accounts have been used as a resiliency tool to overcome domain name suppression. 

GAPS IN GLOBAL EXPORT CONTROL SYSTEM AND MEASURES ENFORCEMENT. High risk trade entities previously investigated for their contribution to a proliferation program continue to have access to international industrial markets and financial markets to make payments. It demonstrates a gap between several jurisdictions regarding export control systems. It also shows a lack of coordination and communication between the EU and national jurisdictions. Finally it shows a disjointed international effort to enforce measures against proliferating entities.

Methodology and Limits for investigating potential supply chain proliferation networks

Proliferation mainly involves the transfer and export of technology, goods, software, services or expertises that could be used in nuclear, chemical or biological weapon-related programmes and obviously poses a significant threat to security. Tracking proliferation networks and financing has been proven difficult because transactions take place within a normal business setting. 

The purpose of this project is to demonstrate the effectiveness of open-source research as a first and easily accessible tool to use in order to evaluate a proliferation risk associated with entities and goods traded.  

Financial organizations combating money laundering, terrorist financing and proliferation financing like the FATF – the Financial Action Task Force – have set up indicators to detect financing of proliferation to become better at flagging and characterising proliferation networks. These indicators often includes some the concepts which can be researched using OSINT:

  • The jurisdiction where the trades are taking place
  • The type of items traded
  • The legal form of the company proceeding to the trade and where it is incorporated
  • Links between several companies and/or the use of a broker
  • Discrepancies between the company’s activities and goods traded
  • Discrepancies between the type of goods imported and the technical level of their final destinations
  • The nationality of the company’s directors
  • The final destination of the goods
  • The ultimate beneficiary of the transaction or its likelihood

Our step by step approach 

This research project started from the information published by the French Authorities mentioning individuals’ names, dates of birth and corporate entities to the reconstitution of suspicious import transactions. The following research steps were taken:

  1. Researching sanctioned individuals and corporate entities digital footprint online and the links existing among them. 
  2. Identification of some of the companies’ suppliers
  3. Identification of the type of equipment, material or products imported. 
  4. Assessing the risk of proliferation: low, medium and high

Type of sources used in this report

A wide range of sources were used for research purposes in this report. They include: social media, press articles, academic reports, commercial databases and corporate registries, data obtained from bills of lading, leaked data from Syrian administration, online website analyzing tools. 

Investigating a proliferation network

Investigating a proliferation network is difficult as it takes the appearance of a normal business transaction. In this report we try focusing on several part of the transaction process:

  • the network of companies used to buy equipment and material
  • the link between this network and strategic governmental bodies in a red flag jurisdiction
  • the ultimate buyer if it appears
  • the type of goods which are bought 
  • the suppliers 

Researching corporate entities that may circumvent sanctions

Most of the corporate entities presented in this report can be verified by accessing commercial registries or databases, either for free or a small fee. However Syria does not provide online access to commercial corporate registries. The authors had to rely on multiple concordant sources to verify the existence of Syrian entities: emails, websites, addresses, mentions in local media, mention in official sources or social media.  

Researching import/export data

To identify the type of goods which are shipped, the suppliers involved and the corporate entities used by the network we relied on import/export data to get shipment data. These shipment data are extracted from bills of lading. A bill of lading is a standard document required to be issued by the shipper to identify the nature, quantity, quality of the goods. Usually these data indicate the supplier’s name, (air) port of origin, type of goods and quantity, consignee – the company receiving the goods – and (air) port of arrival. 

The goods are often referenced using a HS code – the Harmonized Commodity Description and Coding System. These codes are product classification codes used by  all the members of the World Customs Organization (WCO) to classify goods for customs purposes. While they do not indicate the exact product nor its specifications, it gives its good category. 

Shipment data providers like Panjiva or ImportGenius source the data directly to countries’ customs bureau or data brokers. Not all countries are available: China offers only a partial data set.

Researching equipment or material imported in cases of sanction circumventions: establishing a risk level

Dual-use items are goods, software and technology that can be used for both civilian and military applications. It does include raw material like certain types of steel or specific chemicals. Investigating such items is challenging as their official descriptions in available customs related documents are limited. These types of sources give an indication of risk level associated with an item.Consulting custom specialists can be helpful.

What about the beneficial owner?

According to the FATF, the beneficial owner is “the natural person who ultimately owns or controls and/or the natural person on whose behalf a transaction is being conducted”. In our two case studies the beneficial owner is known – the Syrian Scientific Studies and Research Center (SSRC) – and is the cause for the network of companies to be put on the French sanction list.

Some limits: no smoking gun but a risk level

Open sources have been used to gather information about a direct or indirect relation between the SSRC and the two different entities. This report does not offer definitive conclusions nor smoking gun evidence regarding Syria’s chemical weapon program. It captures a snapshot of the procurement chain which was in the public domain at the time of the research. Data available regarding the type of equipment sent are generic and do not replace a visual confirmation. Secondly, OpenFacto has had no access to data describing financial flows: there is nothing available in the public domain to characterize the financing aspect of proliferation networks. Thirdly, while OpenFacto uses official corporate records to verify some corporate holdings and commercial relationships, this information only represents a snapshot of corporate activity at a given time: records may not be updated regularly, may not be consistent or wholly accurate, and may not have the same standards of reporting across jurisdictions. Finally, the report should serve as a basis to raise further questions, identify gaps and launch deeper investigations into the cases.

Download our report

Our report is available for download in English here and an executive summary is provided in French [to come].