Dix ans de guerre en Syrie : l’OSINT comme outil d’enquête sur la chaîne d’approvisionnement du programme chimique syrien

Dix ans de guerre en Syrie : l’OSINT comme outil d’enquête sur la chaîne d’approvisionnement du programme chimique syrien

La guerre en Syrie a été l’un des conflits les plus violents de cette dernière décennie. Conflit hyper médiatisé, il a fourni beaucoup de matière à la recherche en sources ouvertes qui a décollé. Plusieurs enquêtes ont pu confirmer l’utilisation d’armes chimiques par le gouvernement syrien sur sa population. La recherche open source s’est avérée être un outil précieux pour vérifier l’occurrence des attaques et si des armes chimiques avaient été utilisées.

Le programme chimique syrien et la nécessité d’établir une responsabilité

Alors que certains responsables syriens ont commencé à être jugés pour crimes de guerre, le besoin d’établir une responsabilité n’a jamais été aussi grand. Les individus impliqués dans le programme chimique syrien utilisé pendant la guerre sont des officiels syriens mais aussi des hommes d’affaires qui ont servi d’intermédiaires et d’écrans pour obtenir du matériel et des équipements à fournir au Centre d’études et de recherche syrien (CERS). L’enquête sur ces réseaux de prolifération est difficile et établir la chaîne d’approvisionnement complète peut être complexe. Quelques enquêtes menées par Syrian Archive, Bellingcat, C4ADS et Open Society Justice Initiative ont été publiées ici etsur les chaînes d’approvisionnement en armes chimiques.

Proposer une grille analytique de recherche en sources ouvertes pour détecter un risque de prolifération

A cette occasion, OpenFacto a voulu comprendre si une grille analytique de recherche en sources ouvertes pouvait être créée afin de détecter la prolifération des entreprises alimentant le CERS. Pour tester cette grille, nous avons pris deux cas existants qui sont passés devant les juges français et américains pour leur prétendue participation au programme d’armes chimiques syrien. La recherche OSINT établit des niveaux de risque pour les réseaux Houranieh et EKT qui peuvent être résumés avec les scorecards suivantes.

L’attribut alt de cette image est vide, son nom de fichier est 3VFfsDjD6SMY_qCEIa23YY8KhhMpFN4RkPTkBoCDLnbrgX7t80kC1Hp_-ZP46szfOJqRPR_sMTKpFF9661duooD3ccD70Y8A6oBYvxEniQTqL1Nsw6v3zdgdIbM67g=s0.
L’attribut alt de cette image est vide, son nom de fichier est 8eb2SobVNdVLaJvBjkixz-uitLyqMWLpvGZz0FUDZ8jQq_OnWaPv-DTieQO6jxe95wcU2sj3IwWoDOXscOozURIJg7uhNRQL_LLbsBn5_YtdqUX1OkyV7sR1TsYXoA=s0.

Points clefs

La recherche open source est un outil utile pour établir un niveau de risque associé à une entité suspectée de prolifération ou pour détecter des entités à haut risque.

L’OSINT PEUT FOURNIR DES INFORMATIONS CONTEXTUELLES. La recherche en sources ouvertes confirme un certain nombre d’éléments mentionnés dans les deux réseaux :

  • Les deux réseaux ont une dimension internationale avec des sociétés écrans en dehors de la Syrie
  • Ce qu’ils commercent peut être établi : métal, électronique, sécurité
  • De multiples sources mentionnent que ces réseaux semblent proches de l’entourage de Bachar Al Assad et du CERS
  • Il existe des antécédents d’inspection douanière et/ou d’application de sanctions américaines.

LES IMPORTATIONS REPRÉSENTENT UN RISQUE ÉLEVÉ D’ÊTRE UTILISÉES À DES FINS DE PROLIFÉRATION. La recherche en sources ouvertes établit un faisceau de preuves qui indiquent que les biens exportés et la destination finale de la Syrie auraient dû déclencher des inspections douanières renforcées.

RÉSILIENCE DU RÉSEAU. Les deux réseaux continuent d’être opérationnels à ce stade. Malgré des gels d’avoirs et des sanctions, ils ont fait preuve de résilience pour accéder aux marchés internationaux.

LES PLATEFORMES DE RÉSEAUX SOCIAUX SONT UTILISÉES POUR LA CRÉDIBILITÉ ET LA PUBLICITÉ. Le réseau Houranieh, mais surtout le réseau EKT, ont utilisé des plateformes de réseaux sociaux occidentales pour créer des comptes d’entreprise – des « Pages » – afin de promouvoir leur marque, leurs produits et de générer des ventes potentielles. Ces comptes sur les réseaux sociaux ont été utilisés comme outil de résilience pour surmonter la suppression des noms de domaine.

DES LACUNES EXISTENT AU NIVEAU INTERNATIONAL DANS LE CONTRÔLE DES EXPORTATIONS ET L’APPLICATION DES MESURES. Ces entités commerciales à haut risque ayant déjà fait l’objet d’une enquête pour leur contribution à un programme de prolifération continuent d’avoir accès aux marchés industriels et financiers internationaux pour effectuer des paiements. Cela démontre l’écart entre plusieurs juridictions en ce qui concerne les systèmes de contrôle des exportations. Cela montre également un manque de coordination et de communication entre l’UE et les juridictions nationales. Enfin, cela montre un effort international désordonné pour faire appliquer des mesures contre ces entités proliférantes.

Méthodologie et limites pour étudier les réseaux proliférants potentiels de chaîne d’approvisionnement

La prolifération implique principalement le transfert et l’exportation de technologies, de biens, de logiciels, de services ou d’expertises qui pourraient être utilisés dans des programmes liés aux armes nucléaires, chimiques ou biologiques et constitue évidemment une menace importante pour la sécurité. Surveiller des réseaux de prolifération et leur financement s’avère difficile car les transactions ont lieu dans un cadre commercial normal. L’objectif de ce projet est de démontrer l’efficacité de la recherche en sources ouvertes comme première ligne d’enquête pour évaluer un risque de prolifération associé aux entités et aux biens échangés. Les organismes financiers luttant contre le blanchiment d’argent, le financement du terrorisme et le financement de la prolifération comme le GAFI – le Groupe d’action financière – ont mis en place des indicateurs pour détecter le financement de la prolifération pour mieux repérer et caractériser les réseaux de prolifération. Ces indicateurs incluent souvent certains des concepts qui peuvent être recherchés en sources ouvertes :

  • La juridiction où se déroulent les transactions
  • Le type de biens exportés/importés
  • La forme juridique de la société commerciale et où elle est constituée
  • Liens entre plusieurs entreprises et/ou recours à un courtier/intermédiaire
  • Les écarts entre les activités de l’entreprise et les biens vendus/achetés
  • Des écarts entre le type de marchandises importées et le niveau technique de leurs destinations finales
  • La nationalité des dirigeants de la société
  • La destination finale des marchandises
  • Le bénéficiaire ultime de la transaction ou sa probabilité

Notre approche étape par étape

Ce projet de recherche a démarré sur la base des informations publiées par les autorités françaises mentionnant les noms, dates de naissance et personnes morales et personnes physiques jusqu’à la reconstitution des importations suspectes. Les étapes de recherche suivantes ont été suivies :

  1. Recherche en ligne de l’empreinte numérique des personnes physiques et morales sanctionnées et des liens existant entre elles.
  2. Identification de certains fournisseurs des entreprises
  3. Identification du type d’équipement, de matériel ou de produits importés.
  4. Évaluer le risque de prolifération : faible, moyen et élevé

Type de sources utilisées dans ce rapport

Un grand nombre de sources ont été utilisées à des fins de recherche dans ce rapport. Elles comprennent : les réseaux sociaux, les articles de presse, les rapports universitaires, les bases de données commerciales et les registres d’entreprises, les données obtenues à partir des connaissements, les fuites de données de l’administration syrienne, les outils d’analyse de sites Web en ligne.

Enquêter sur un réseau de prolifération

L’enquête sur un réseau de prolifération est difficile car elle prend l’apparence d’une transaction commerciale normale. Dans ce rapport, nous essayons de nous concentrer sur plusieurs parties du processus de transaction :

  • le réseau d’entreprises utilisé pour acheter des équipements et du matériel
  • le lien entre ce réseau et les instances gouvernementales stratégiques dans une juridiction de risque élevé
  • l’acheteur ultime s’il apparaît
  • le type de biens achetés
  • les fournisseurs

Recherche de personnes morales susceptibles de contourner les sanctions

La plupart des personnes morales présentées dans ce rapport peuvent être vérifiées en accédant à des registres commerciaux ou à des bases de données, soit gratuitement, soit pour une somme modique. Cependant, la Syrie ne fournit pas d’accès en ligne aux registres des sociétés commerciales. Les auteurs ont dû s’appuyer sur de multiples sources concordantes pour vérifier l’existence d’entités syriennes : e-mails, sites Web, adresses, mentions dans les médias locaux, mention dans les sources officielles ou les médias sociaux.

Recherche de données import/export

Pour identifier le type de marchandises expédiées, les fournisseurs impliqués et les entités commerciales utilisées par le réseau, nous nous sommes appuyés sur les données d’import/export pour obtenir les données d’expédition. Ces données d’expédition sont extraites des connaissements. Un connaissement est un document standard qui doit être délivré par l’expéditeur pour identifier la nature, la quantité, la qualité des marchandises. Ces données indiquent généralement le nom du fournisseur, le port (aérien) d’origine, le type et la quantité de marchandises, le destinataire – la société qui reçoit les marchandises – et le port (aérien) d’arrivée. Les marchandises sont souvent référencées à l’aide d’un code HS – le système harmonisé de désignation et de codification des marchandises. Ces codes sont des codes de classification des biens utilisés par tous les membres de l’Organisation mondiale des douanes (OMD) pour classer les marchandises à des fins douanières. S’ils n’indiquent pas le produit exact ni ses spécifications, cela donne sa catégorie. Les fournisseurs de données d’importation/exportation comme Panjiva ou ImportGenius se fournissent directement auprès de bureaux de douanes ou de vendeurs locaux de données. Tous les pays ne sont pas disponibles : la Chine ne propose qu’un jeu de données partiel.

Recherche d’équipements ou de matériels importés en cas de contournement des sanctions : établir un niveau de risque

Les biens à double usage sont des biens, des logiciels et des technologies qui peuvent être utilisés à la fois pour des applications civiles et militaires. Il comprend des matières premières comme certains types d’acier ou des produits chimiques spécifiques. Il est difficile d’enquêter sur de tels biens car leurs descriptions officielles dans les documents douaniers disponibles sont limitées. Ces types de sources donnent une indication du niveau de risque associé à un bien. La consultation de spécialistes douaniers peut être utile.

Qu’en est-il du bénéficiaire effectif ?

Selon le GAFI, le bénéficiaire effectif est « la personne physique qui détient ou contrôle en définitive et/ou la personne physique pour le compte de laquelle une transaction est effectuée ». Dans nos deux études de cas, le bénéficiaire effectif est connu – le Centre syrien d’études et de recherches scientifiques (CERS) – et est à l’origine de l’inscription du réseau d’entreprises sur la liste des gels d’avoir français.

Quelques limites : pas de flag’ mais un niveau de risque

Des sources ouvertes ont été utilisées pour recueillir des informations sur une relation directe ou indirecte entre le CERS et les deux entités différentes. Ce rapport n’offre pas de conclusions définitives ni de preuves irréfutables concernant le programme d’armes chimiques de la Syrie. Il donne un instantané de la chaîne d’approvisionnement qui était dans le domaine public au moment de la recherche. Les données disponibles concernant le type d’équipement envoyé sont génériques et ne remplacent pas une confirmation visuelle. Deuxièmement, OpenFacto n’a pas eu accès aux données décrivant les flux financiers : il n’y a rien de disponible dans le domaine public pour caractériser l’aspect financement des réseaux de prolifération. Troisièmement, alors qu’OpenFacto utilise les registres officiels de l’entreprise pour vérifier certaines participations et relations commerciales, ces informations ne représentent qu’un instantané de l’activité de l’entreprise à un moment donné : les registres peuvent ne pas être mis à jour régulièrement, peuvent ne pas être cohérents ou totalement exacts, et peuvent ne pas avoir les mêmes normes de déclaration dans toutes les juridictions. Enfin, le rapport devrait servir de base pour soulever d’autres questions, identifier les lacunes et lancer des enquêtes plus approfondies sur les cas.

Téléchargez notre rapport

Notre rapport est disponible en téléchargement en anglais ici et un résumé est disponible en français [à venir]

OpenFacto forme 20 journalistes du réseau Cenozo au Burkina Faso

OpenFacto forme 20 journalistes du réseau Cenozo au Burkina Faso

OpenFacto s’est rendu à Ouagadougou (Burkina Faso) du 19 au 24 mars 2021 pour former vingt journalistes d’investigation burkinabé, maliens et nigériens membres du réseau CeNoZo.

Le principal objectif de la CENOZO, est de contribuer au renforcement des capacités des journalistes d’investigation ouest-africains à travers des formations, du soutien financier et technique à l’investigation dans divers domaines tels que la corruption, le crime organisé, la mauvaise gouvernance, les violations des droits humains et l’environnement.

La CENOZO, a également pour objectif d’éditer des enquêtes, de faire du mentoring et du réseautage aux journalistes d’investigation ainsi que de porter une assistance juridique à ceux poursuivis pour leur travail. Pour atteindre ses objectifs, la CENOZO s’est entourée de plusieurs partenaires de divers horizons.

Cette formation d’une durée de 4 jours, montée en un temps record par CeNoZo (un mois et demi, en temps de pandémie…) visait à couvrir les bases techniques et juridiques de la recherche en sources ouvertes et d’initier et perfectionner les participants à l’usage des principaux moteurs de recherches et aux réseaux sociaux

Évidemment, une large part était consacrée à la géolocalisation et à la chronolocalisation sous toutes ces formes, le tout sur la base d’exemples très pratiques.

Outre le contenu de la formation, dense, ce type de manifestation reste également pour chaque journaliste, un excellent moyen de développer et cultiver son réseau de connaissance et de travailler en mode collaboratif.

Nous espérons que cet atelier est le premier d’une longue série de collaborations avec CeNoZo!

Merci donc à Arnaud et toute son équipe (Isabelle, Zalissa et Odette, notamment!!!) à Ouagadougou, ainsi qu’à Marthe Rubio de GIJN, pour avoir permis l’organisation de cet évènement!

Codes OTAN et OSINT

Codes OTAN et OSINT

Frappe d’une cathédrale historique dans le Haut Karabakh: les biens culturels en temps de guerre

Le 8 Octobre dernier une charge non identifiée tombait sur la Cathédrale Saint-Sauveur Ghazanchetsots, dans la petite ville de Chouchi dans le Haut Karabakh. Très vieille cathédrale arménienne, elle est inscrite sur une liste indicative du patrimoine mondial de l’UNESCO.

source: Twitter

La frappe d’un bien culturel n’est pas anodine puisqu’elle est codifié par le droit international dans la Convention de La Haye à laquelle l’Azerbaïdjan et l’Arménie sont parties.

«Les atteintes portées aux biens culturels, à quelque peuple qu’ils appartiennent, constituent des atteintes au patrimoine culturel de l’humanité entière, étant donné que chaque peuple apporte sa contribution à la culture mondiale»

En 2017, l’ONU va plus loin et désigne comme crime de guerre certaines destructions de biens culturels.

«La destruction délibérée du patrimoine est un crime de guerre, avait alors déclaré Irina Bokova, directrice générale de l’Unesco. Elle est devenue une tactique de guerre pour mettre à mal les sociétés sur le long terme, dans une stratégie de nettoyage culturel. C’est la raison pour laquelle la défense du patrimoine culturel est bien plus qu’un enjeu culturel, c’est un impératif de sécurité, inséparable de la défense des vies humaines».

Alors, alors qui a ciblé la Cathédrale de Chouchi?

Très rapidement, la nouvelle est reportée par un collectif de presse pro-russe ANNA News via leur chaîne Telegram affirmant qu’il s’agit d’une arme de l’OTAN à cause des références notées sur l’étiquette d’un débris retrouvé dans la cathédrale et pris en photo.

source: Telegram

Cette pièce est identifiée par la communauté journalistique comme étant française grâce à son code de description, qui serait lié à un numéro de nomenclature OTAN.

Code OTAN et équipement

Le numéro de nomenclature OTAN (NNO) fait partie du système OTAN de codification. Ce numéro désigne un article, une pièce unique dont l’identité est fixée par ce numéro. Le numéro est émis par des pays, les bureaux nationaux de codification (BNC).

Une compréhension de la composition du numéro de nomenclature OTAN permet d’en tirer plusieurs informations.

Le NNO se compose de treize chiffres. Les quatre premiers constituent le code de classification de l’équipement (de quel type d’équipement s’agit-il) et correspondent à un catalogue. Les deux chiffres suivants font référence au bureau national de codification, c’est à dire le pays. Les derniers chiffres sont attribués par un ordinateur et n’ont pas de sens propre. Il est intéressant de noter que 14 correspond à la France.

Plusieurs bases de données existent pour checker les codes en question. Nous en avons testé deux: ISO Group et NSNCenter.

Un missile français naval au milieu des terres du Haut Karabakh?

Les journalistes ont utilisé l’une de ses bases de données pour entrer le code de description de la pièce. Sur NSNCenter, le code AO2825 mène bien sur une pièce utilisée dans le cadre militaire. D’après la base de données, il s’agirait d’un équipement faisant partie de la catégorie missile guidé. Cette catégorie semble confirmer parfaitement la compréhension des événements du 8 octobre.

La base de données permet de confirmer non seulement la catégorie mais également le pays d’origine et le fabricant. Dans ce cas il s’agirait de Naval Group (ex DCN).

source: NSN Center

C’est là que les choses se corsent puisque Naval Group est une société qui est spécialisée l’industrie navale de défense et les énergies marines renouvelables.

Attribution française écartée

Non seulement il est étonnant de trouver de l’armement de Naval Group en pleine terre, mais l’hypothèse d’un tir depuis la mer semble peu probable avec une distance de 243 km à vol d’oiseau entre la ville et les côtes.

On changerait alors totalement de catégorie et pourrait poser la question d’un missile balistique de courte portée. Or le seul produit développé par le groupe industriel naval est le missile de croisière naval fait pour atteindre des cibles terrestres depuis la mer. Mais cet engin de 7 mètres pesant 2 tonnes ne fait pas qu’un simple trou dans la toiture d’une cathédrale…..Cette hypothèse ne tient donc pas la route.

En revenant sur la base de données pour le numéro de nomenclature OTAN, on remarque que le code AO2825 n’est pas référencé de façon identique dans la barre de recherche et dans les résultats.

Dans la barre de recherche, nous avons bien la lettre A – lettre O – 28-25 alors que le résultat associé est lettre A – zéro – 28-25.

La recherche de AO2825 ne donne d’ailleurs rien dans l’autre base de données mentionnée plus haut – ISO Group.

Lettre A – Lettre O – 28 – 25

Mais l’autre combinaison renvoie sur Naval Group.

Lettre A – zéro – 28 – 25

Il y aurait eu donc un « glitch » dans la base de données utilisée par le journaliste qui l’aurait induit en erreur. Une recherche avec AC2825 n’est pas non plus concluante puisqu’il s’agit d’un ressort.

La frappe a donc peu de chance d’avoir été faite avec du matériel français et les codes qui apparaissent sur l’étiquette ne sont peut-être pas des numéros de nomenclature de l’OTAN mais de simples numéros de série de l’équipement. OpenFacto continue de travailler sur la reconstitution de cet événement et la caractérisation des dommages sur la cathédrale.

#JeSuisProf – OpenFacto met à disposition un petit guide de la vie privée

#JeSuisProf – OpenFacto met à disposition un petit guide de la vie privée

En réaction aux événements de Conflans Sainte Honorine, OpenFacto met à disposition un petit guide basique sur la vie privée en ligne pour qu’un compte Facebook mal paramétré ou une adresse de domicile publique ne soit pas un frein au travail fantastique et à la sécurité des professeurs dans les écoles, collèges, lycées et fac.

N’hésitez pas à diffuser ce guide et à nous contacter si vous voulez le mettre à jour, apporter des précisions ou des corrections.

Guide à télécharger ici

CTF Trace Labs #5 – Recherches de micro-informations, gestion du temps, et Mr Freeze

CTF Trace Labs #5 – Recherches de micro-informations, gestion du temps, et Mr Freeze

Quand l’un des membres d’OpenFacto a annoncé sur Slack qu’un nouveau CTF (Capture The Flag) Trace Labs allait avoir lieu le 11 juillet, quelques mains se sont levées pour participer. Quand il a annoncé que cette fois-ci il aurait lieu de 17h à 23h, donc pas de minuit à 6h comme lors de la précédente édition, c’est une avalanche de membres qui a manifesté son intérêt ! (ou en tout cas assez pour constituer deux équipes de quatre, l’auteur étant simplement friand de formules grandiloquentes).


Vous n’avez jamais entendu parler de ces évènements organisés en vue de retrouver des personnes disparues ? Envie d’avoir un peu plus de détails ? Nous vous invitons à lire notre premier retour d’expérience écrit suite à notre précédente participation.


Aujourd’hui, pas d’article visant à approfondir un point de connaissance, comme avec le premier article qui s’intéressait à la question de l’analyse des tatouages.

L’idée est plutôt de faire le point sur notre organisation, ce qui a marché, ce qui a moins marché, et des axes d’amélioration possibles pour le futur.
Si vous avez des avis à partager sur ce qui suit, n’hésitez pas à nous répondre ici en commentaire ou via Twitter. Et si nous oublions de mentionner des éléments qui vous semblent importants, faites-nous signe et nous mettrons à jour l’article avec ces derniers.

Organisation

Pour cette édition, huit membres d’OpenFacto étaient motivés pour participer, nous avons donc fait deux équipes :

  • OpenFacto (obviously), comptant à son bord Capteurso, Hervé, Sébastien et ştəf// – fini 26ème sur 190 équipes ;
  • The French Flair by OF, composée notamment de L003, 0skAr et Roman – fini 23ème.
Tableau des scores final


Ensuite, pour répartir les gens entre les deux équipes, nous avons fait passer des tests d’aptitude à l’OSINT, évalué les CVs de chacun(e), et… non pas du tout, nous avons pris le premier (littéralement) site de répartition aléatoire en équipe sur Google, et défini les équipes à partir de là. Il s’est avéré que les teams ainsi formées ont bien fonctionné ; à voir pour la prochaine édition si nous essayons de déployer une réelle stratégie quant à ce sujet – nous y reviendrons plus tard.


Pour la communication écrite, nous avons privilégié Slack, qui permet de faire un thread par profil, afin de ne pas mélanger toutes les informations. Le canal vocal était assuré par Jitsi.

Il était envisagé d’utiliser framamind afin de faciliter la visualisation des profils et informations récoltées. Finalement, le fait de ne pas forcément changer souvent de cas d’analyse a fait que les threads Slack étaient suffisants. 

A noter toutefois que TraceLabs recommande dans son guide de ne pas passer plus d’une heure sur un cas où l’on ne trouverait aucune information, et conseille également l’utilisation de cartes mentales (cf. p.15-16).

Cette édition proposait l’analyse de huit cas, chaque membre d’une équipe était donc en charge de deux profils a minima, avec possibilité de passer sur d’autres en cas d’impasse. 

Quelques points à retenir pour les prochaines éditions

Ci-dessous une liste de points en vrac, sans classement suivant l’importance du contenu, mais qu’il nous semble pertinent d’avoir en tête pour les prochaines fois :

  • Si aucun flag n’est validé ni rejeté au bout d’une heure, ne pas hésiter à pinger l’équipe TraceLabs sur Slack, par exemple AK47Intel. Et même, mieux : vérifier à l’avance que l’équipe s’est bien vue assigner un juge (un fichier csv est fourni dans le channel du CTF afin de connaître le nom du juge qui s’occupe de l’équipe).
  • La recherche de profils snapchat via snapdex.com ne renvoie pas forcément de résultats pertinents.
  • Les copies d’écrans Android ne servent à rien si la preuve ne peut être rattachée à une URL (l’URL snapcode ne suffit pas).
  • Prendre le temps de faire une première passe, pour les profils US, sur des sites de recherches US (ex : spytox.com, thatsthem.com, etc.). MAIS bien prendre avec des pincettes ce que renvoient ces sites. Idéalement effectuer quelques vérifications derrière, avant de soumettre le flag.
  • Prendre le temps aussi de faire une première passe sur les informations basiques (ex : dates de naissance) qui, si elles ne rapportent que peu de points, une fois accumulés en fournissent finalement un nombre conséquent.
  • Prendre le temps – si réalisable – de lire les posts sur les réseaux sociaux de la personne disparue (notamment pour connaître ses hobbies). A minima aux alentours de la date de sa disparition. Se pencher aussi sur les commentaires et tags de personnes proches permettant (potentiellement) de récupérer d’autres profils de la cible, ainsi que leur nouveau compagnon/nouvelle histoire, qui les renvoient à leur profil actuel.
  • A ce sujet, Twint se révèle bien pratique pour ne récupérer que les tweets postés au moment de la disparition de la personne (notamment profils Twitter de ses amis).
  • La question de savoir comment déterminer si un numéro de téléphone US est assigné à un fixe ou un mobile s’est posée pendant l’évènement. A tête reposée, nous pouvons maintenant dire qu’il aurait pu être intéressant de passer par des services tels que TrueCaller ou OpenCnam, FreeCarrierLookup ou encore HLR Lookup déjà mentionné il y a quelques temps sur le discord d’OSINT-FR – mais aucune garantie quant à l’identification mobile/fixe.
  • Faire la liste d’un ensemble de sélecteurs (adresses mails, numéros de téléphones, création d’adresses mails et pseudos à partir du nom+prénom, etc.). Puis les vérifier sur autant de plateformes que possible (via whatsmyname ou instantusername), et lister le tout dans un document collaboratif. Envisager ensuite de désigner une à deux personnes afin d’approfondir ces données et réaliser une investigation latérale (recherche massive de sélecteurs et de sources potentielles) de l’investigation transversale (approfondissement d’un profil, ses commentaires, etc.).
  • Préparer des outils et moteurs pour le darkweb en amont et y passer au crible tous les sélecteurs (identité, email, username, etc.). Envisager de préparer une base de leaks avant l’évènement.
  • Préparer également un ensemble de services de « reconnaissance faciale » : Yandex, Bing, Tineye, etc..
  • Dans l’ensemble, nous avons réalisé beaucoup de recherches manuelles. A voir donc si et comment il serait possible d’en automatiser une partie.
  • Voir pour passer moins de temps sur certains profils. 6h, c’est à la fois très peu et très long, mais il s’agirait de réfléchir si passer 4 à 5h sur le même profil – ce qui a été le cas pour un ou deux membres – est vraiment un choix efficace.
  • Autre point à voir plus tard : envisager peut-être un rôle/spécialité par personne/compétence.
    • un/e « forgeron » qui récupère, par OSINT ou recréation, tous les sélecteurs, qu’il met à disposition ;
    • un/e ou deux enquêteurs qui approfondissent les profils et les subtilités historiques et comportementales ;
    • un/e spécial deepweb/darkweb.
      L’autre possibilité consistant à d’abord se concentrer sur un ou deux profils, puis passer à une revue de tous les profils en ne s’intéressant qu’à un des aspects mentionnés ci-dessus.

Conclusion

Ce qui est pas mal ressorti de nos discussions post-CTF, c’est la frustration de ne pas trouver des informations particulièrement remarquables sur chaque profil. Est-ce que cela vaut vraiment le coup de passer 6h sur le cas de deux à trois personnes disparues, pour ne ressortir finalement que des éléments facilement retrouvables : numéro de téléphone posté sur instagram, liens vers les différents profils sur les réseaux sociaux, etc. ?


A cette question que bon nombre se posent, Trace Labs réponds oui, cela vaut la peine : « We may not always find relevant or useful information to pass along to Law Enforcement (LE). But what we did accomplish was showing Law Enforcement that they truly have exhausted every lead and that they did their jobs well and to the best of their abilities. To them, that’s extremely valuable and it puts their minds at ease. » 


Chaque information, aussi minime qu’elle soit à vos yeux, doit être remontée : marque du téléphone de la personne (information intéressante pour les forces de l’ordre), goût prononcé pour le dessin, l’alcool, les Mr Freeze, etc.. Tout peut avoir son importance, pour peu que les personnes en charge de l’enquête n’y ait pas prêté attention. Et si c’est déjà le cas, cela les rassurera néanmoins quant au fait qu’elles ont cherché autant que possible.


En outre Trace Labs insiste sur le fait qu’il ne faut pas oublier les deux buts principaux de ces évènements :

  • trouver des informations sur des personnes disparues ;
  • améliorer nos compétences en OSINT – car oui, cela compte aussi.

Vous avez, vous aussi, été frustré par les données obtenues après de longues heures de recherches ? Hauts les cœurs, cela fait partie de l’apprentissage ! Et si vous n’avez pas l’impression d’être devenu une rock star de l’OSINT en 6h, vous avez néanmoins mis en pratique des connaissances déjà acquises – vous n’en deviendrez que plus efficace – voire appris de nouvelles techniques – on ne peut espérer mieux – et participé à un effort positif international. Donc rien de tout cela n’est perdu.


Un autre point qui nous a été remonté, c’est qu’il était encore plus sympa de réaliser ce genre d’évènements dans un même lieu avec le reste de l’équipe. Ainsi, à titre informatif, OpenFacto commence à réfléchir à comment réunir, une fois par an, l’ensemble de ses membres participant au CTF dans un espace commun, afin que les coéquipiers puissent interagir ensemble de vive voix, et que les différentes teams puissent ensuite échanger sur les cas abordés une fois le CTF fini.

Intéressé ? Faites-le-nous savoir sur Twitter ou notre Slack !


Un grand bravo à toutes les équipes !

Nouveau rapport par OpenFacto – Turkey’s shadow arms deliveries

Nouveau rapport par OpenFacto – Turkey’s shadow arms deliveries

Téléchargez le rapport – Download the report

OpenFacto est fier de présenter son premier long rapport d’enquête sur la détection des violations de l’embargo sur les armes à l’aide de techniques de recherche en sources ouvertes. Turkey’s Shadow Arms Deliveries se concentre sur six cas de livraisons suspectes d’armes turques à la Libye utilisant des moyens de transport commerciaux: MV AMAZON, vol ER-BAJ, MV SINGLE EAGLE, MV BANA, MV ANA et MV PRAY. Utilisant les réseaux sociaux, google map, les bases de données accessibles au public et d’autres techniques de recherche, le rapport présente de nombreuses preuves indiquant des violations potentielles de l’embargo sur les armes imposé par les Nations Unies par la Turquie.

OpenFacto is proud to present its first long form investigative report on detecting arms embargo violations using open sources techniques. Turkey’s Shadow Arms Deliveries focuses on six cases of suspected Turkish arms deliveries to Libya using commercial transportation: MV AMAZON, flight ER-BAJ, MV SINGLE EAGLE, MV BANA, MV ANA and MV PRAY. Using social media, google map, publicly available databases and other research techniques, the report presents extensive evidence pointing to potential violations of the UN arms embargo by the Turkey.