Samedi 11 avril 2020, 23h59. Plus qu’une minute avant le début des recherches...
Si la gamification est un concept qui touche de plus en plus de domaines, c’est peut-être ici une des meilleures applications qui en découle. Dans moins de 60 secondes s’apprêtait à se tenir la quatrième édition du CTF (Capture The Flag) organisé par Trace Labs, une organisation visant à récolter un grand nombre d’informations sur des personnes disparues par le biais d’évènements comme celui-ci.
Une quinzaines de profils sont déposés sur la plateforme dédiée, donnant les informations de bases sur les disparus : nom, prénom, âge, date de naissance, taille, poids, date à laquelle la personne a été vue pour la dernière fois, et parfois des détails concernant sa disparition, comme les personnes avec qui elle est suspectée se trouver. De là, les participants ont 6 heures (de minuit à 6h du matin en France, horaires américains obligent) pour réunir un maximum d’informations sur ces profils, toutes accessibles exclusivement en sources ouvertes. Pas de prise de contact possible avec les membres de la famille et amis ; pas de hack ; pas de récupération d’informations via des sites de médias, légaux, ou en lien direct avec la disparition de la personne (faciles à trouver et pas de valeur ajoutée).
Les données récoltées sont ensuite déposées sur la plateforme du CTF, qui permet d’attribuer des points suivant le contenu : informations sur les amis, 10 points ; informations sur la famille, 20 points ; réseaux sociaux du sujet, 50 points ; détails sur le jour de sa disparition, 500 points ; données trouvées sur le Dark Web, 1000 points, etc. .
Si la conversion « données sur une vie humaine/points » surprend de prime abord, on comprend vite que le but derrière n’est pas de prendre à la légères ces vies. Il s’agit simplement de donner une dynamique aux recherches, motivées non seulement par la volonté de contribuer à un projet utile et de grande ampleur, mais aussi de trouver un maximum d’informations en un temps limité avec la volonté de se dépasser soi-même – et les autres – où chaque nouveau point gagné s’accompagne d’une montée d’adrénaline propre aux CTFs. Qui dit performance, dit plus de données de récoltées, dit plus de chances de retrouver les sujets disparus.
C’est dans ce contexte que l’équipe d’OpenFacto a pris part à son premier CTF un dimanche matin en pleine période de confinement.
Au cours de leurs recherches, un des membres de l’équipe s’est notamment heurté à une problématique à laquelle il n’avait pas l’habitude de se confronter : une des jeunes personnes dont il étudiait le profil présentait un tatouage dans le cou. Que faire du motif inscrit sur sa peau ? Etait-il possible de faire le lien entre la disparue et une organisation quelconque ?
De l’identification des tatouages
Dans le cas étudié ici, un tatouage est visible dans le cou côté gauche du sujet. On peut observer le nombre « 112 » à l’encre noire, et ce qui pourrait apparaître comme le caractère ‘%’.
Photo floutée et retouchée de la personne portant le tatouage
Un tatouage pour les identifier tous
Si l’identité de la personne est connue dans le cas présent, lorsque l’on ne dispose que d’informations limitées sur un individu (ex : son physique), les tatouages font parti des signes distinctifs permettant d’aiguiller, parfois de manière significative, une enquête. On peut prendre ici l’exemple cité par Katelyn Bowden, fondatrice de la Badass Army qui se donne pour mission de lutter contre le revenge porn, narrant une de ses « premières expériences d’OSINT » sur le podcast de la conférence d’OSINT et SE Layer 8.
Suite au vol de son sac à main par un homme portant un tatouage de mitrailleuse au visage, et du fait du manque de réactivité des autorités locales, elle décide de chercher par elle-même le malfaiteur. Pour ce faire, elle poste un message sur le groupe Facebook local de la ville. Toute l’astuce dans sa démarche est de ne pas avoir demandé de manière frontale si des gens connaissaient l’homme au visage tatoué. Au contraire, elle a pris le parti de simplement poster un message se lamentant des choix pathétiques de certaines personnes concernant le motif de leurs tatouages. Elle a ensuite demandé aux autres habitants si eux aussi avaient leurs propres exemples. Le commérage étant une activité particulièrement appréciée dans les petites communautés, Katelyn a rapidement reçu la réponse qu’elle attendait : une femme mentionnant le tatouage en forme de mitrailleuse sur le visage de son neveu. L’expérience décrite ici s’inscrit bien dans une démarche de récolte d’informations en source ouverte : le débat a certes été lancé par la victime du vol, mais l’agrégation de données s’est faite de manière passive, les gens postant d’eux-mêmes leurs messages sans qu’il n’y ait besoin de leur soutirer de manière active l’information.
Ce qu’il faut en retenir – outre le fait, comme le fait remarquer Katelyn, qu’un tatouage de mitrailleuse sur le visage n’est pas le meilleur moyen de rester discret – c’est que les tatouages sont clairement des signes distinctifs à prendre en compte dans une investigation. En plus de pouvoir plus facilement repérer la personne sur d’autres photos, ce détail permet, s’il est particulièrement original, d’identifier la personne – à condition de s’adresser à une communauté qui le connaît.
Des tatouages pour… en regrouper certains
C’est d’ailleurs aux communautés auxquelles nous allons nous intéresser dans cette partie. Suite aux interrogations concernant le tatouage cervical, un autre membre de l’équipe a rapidement aiguillé vers une page de l’ADL, Anti-Defamation League. Spécialisée dans les symboles utilisés par les suprémacistes blancs et autres hate groups, cette base de données regroupe ces symboles par catégorie (slogans, nombres, symboles neo-nazis, etc.), accompagnant parfois ces informations de photos illustratives. Constituée sous la forme d’un site disposant de filtres, cette page est particulièrement pratique pour la recherche de symboles très utilisés par ces groupes. A cela peut s’ajouter d’autres ressources, moins pratiques à utiliser car sous format PDF, mais qui ont le mérite de compléter la liste proposée par ADL. Le site de Public Intelligence met ainsi à disposition des documents publiés par diverses autorités américaines (et canadienne), certains portant sur les listes de tatouages surveillés par ces autorités. On trouve notamment :
Il est important toutefois de bien garder à l’esprit que ce genre de tatouage n’indique pas nécessairement l’appartenance d’une personne à un groupe quelconque à l’instant présent (cf. article de l’EFF, Electronic Frontier Foundation, au sujet de l’utilisation des tatouages en vue de l’identification d’un individu et de ses croyances/attachement à une organisation).
On notera au passage que si la culture populaire aurait tendance à associer les tatouages aux bandes criminelles organisées japonaises, les yakuzas, le port de tatouages n’a pas la même symbolique que dans des pays comme les États-Unis, le Mexique, etc.. Traditionnellement, les yakuzas n’ont pas de « tatouages de gangs » à proprement parler, il s’agit plus de la transcription d’expériences de vie à même la peau, comme l’explique un tatoueur interviewé par la BBC. L’article donne l’exemple d’un de ses contacts qui, ayant rencontré un certain nombre de difficultés dans sa jeunesse, a reçu un tatouage de carpe koï remontant le courant, témoignant de sa volonté et sa force à surmonter l’adversité. Ainsi, si les yakuzas avaient pour usage de se rencontrer dans les bains publics, ce n’était pas seulement pour s’assurer qu’aucun ne portait une arme sur lui – difficile de cacher une arme lorsqu’on ne porte pas de vêtements. Cela permettait également aux autres membres de voir les tatouages de chacun afin de se faire une idée de la personne qu’ils avaient face à eux. En bref : si les tatouages sur le sujet étudié vous donnent le sentiment qu’ils sont liés aux yakuzas, il s’agit de chercher la signification qui en découle plus que l’attachement à un gang particulier.
Retour sur le cas étudié
Via le site ADL, on peut voir que la chaîne de caractères « 112% » est affiliée à un motif suprémaciste blanc. Le « 100% » signifierait alors « 100% blanc », et le 12 correspondrait aux lettres « AB » comme « Aryan Brotherhood« . Cet élément a été soumis et accepté par les juges Trace Labs.
Retour d’expérience et conclusion
6h de recherches et quelques cannettes de boisson énergisante plus tard, l’équipe terminait 42ème sur 174 équipes, avec 56 soumissions de données.
Scoreboard final
Des enseignements les plus généraux que nos investigateurs ont pu tirer de cette expérience, il y a tout d’abord l’apprentissage de la gestion du bruit. En effet, si trouver des informations lorsque le sujet semble ne pas avoir de présence sur les réseaux sociaux s’avère ardue, évoluer dans un brouhaha de données l’est tout autant. Dans le cadre du CTF où les analyses portaient sur des personnes disparues, plusieurs profils nécessitaient en premier lieu de faire la part entre les comptes associés à la *disparition de la personne* et les comptes associés à la personne *elle-même*. A défaut de proposer une méthode pour écarter automatiquement ces comptes des recherches, l’équipe recommande de garder à l’esprit que certains comptes seront créés spécifiquement pour chercher la personne disparue. Si les commentaires sur ces comptes peuvent être regardés, une grande majorité ne sera que des expressions de compassion plus que des éléments utiles pour avancer dans l’enquête.
L’autre leçon à retenir s’est dévoilée en fin de parcours, quand la fatigue commençait à se faire sentir…
– J’ai trouvé ! J’ai trouvé son profil Linkedin, s’écria l’un des membres. – Sérieux ? Bien joué, j’ai pas du tout eu le réflexe de chercher. En même temps, pour une jeune de 16 ans… – Comment ça 16 ans ? Non, non, vu sa tête, elle a la trentaine bien tassée. – Ah ? Pourtant sur sa fiche c’est noté 16 ans…
Même nom, même prénom, les deux photos représentant une femme typée hispanique… mais pas la même personne. Le biais de confirmation, qui consiste à privilégier les informations qui nous confortent dans nos hypothèses, a été expérimenté par l’équipe ce soir-là. Rien de critique, puisque la confrontation des avis a permis de se dégager rapidement de ce biais cognitif. Il s’agit donc ici de se souvenir de l’importance de prendre du recul par rapport à ses recherches, soit en *adoptant* soi-même un autre point de vue, soit en *demandant* à une tierce personne son point de vue.
Enfin, concernant le CTF à proprement parler, les retours d’expériences principaux sont les suivants :
il semblerait que la réponse de base en cas de refus d’une donnée par les juges soit « manque de contexte« . L’équipe a interprété ce message comme étant signe que l’information n’était pas intéressante en soit, et pas nécessairement comme un élément à prendre au pied de la lettre – qui impliquerait la « recherche de plus de contexte » pour l’information considérée ;
bien penser à préparer son matériel avant le CTF, ce qui inclut notamment :
création de comptes dédiés (mails, Linkedin, Twitter, Facebook, TikTok, etc.) ;
environnement de travail dédié (VM, navigateur nettoyé des 1500 onglets ouverts en permanence le reste du temps, etc.) ;
outils et plugins fonctionnels sur l’environnement de travail ;
avoir sous la main des sites spécifiques aux US (@technisette propose sur sa page start-me un certain nombre de bases de données et moteurs de recherches dédiés à chaque pays) ;
bien communiquer avec le reste de l’équipe, et ne pas hésiter à être à deux sur un même sujet, afin de permettre un « jeu de ping-pong d’informations » ;
suivant ce à quoi l’investigateur carbure : prévoir plus de Guinness au frais, mais moins de boisson énergisante;
si le sujet reste moralement lourd (recherche de personnes disparues), l’aspect ludique choisi par Trace Labs permet de mettre cet aspect de côté pour se dédier entièrement aux recherches. L’expérience est enrichissante, et permet même aux novices de s’entraîner sur des cas réels, allant un peu plus loin dans leur formation OSINT. On peut mentionner à ce titre, moins « gamifié » mais également accessible à tous, la plateforme d’Europol « Stop child abuse – Trace an object », qui propose de chercher des informations sur des objets (vêtements, détails de décors) afin d’aider à faire avancer les enquêtes visant à retrouver à la fois les enfants abusés mais aussi les criminels.
Dimanche 12 avril, 6h01. Les membres de l’équipes se déconnectèrent un à un en vue d’aller trouver le repos après ces quelques heures de recherches intensives. Fatigués mais satisfaits de cette expérience, ils étaient unanimes quant à un objectif : participer au prochain CTF de Trace Labs, en vue de récolter encore plus d’informations et contribuer à l’effort collectif – et international – investi dans ces campagnes de recherches.
Merci à Mélanie d’avoir pointé à l’auteure le site de Public Intelligence qui s’est avéré bien utile pour la rédaction de cet article.
Dans l’article OpenFacto du 25 mars 2020 sur le télétravail, nous présentions le principe global de fonctionnement de l’outil Shodan, qui est de nouveau au cœur du présent article. Ici, toujours sur Shodan, et grâce à la combinaison de quelques filtres de recherche, nous avons découvert que le même fournisseur d’accès Syrien héberge à la fois le portail officiel du gouvernement et des services susceptibles d’être dédiés à des attaques informatiques… Voici comment.
Shodan : filtres de recherche et résultats
En utilisant la syntaxe suivante, Shodan nous permet de filtrer les résultats de recherche par pays :
country:codepays
Pour chaque pays, on va utiliser un code de deux lettres, dont la liste est disponible ici. Ainsi, pour la Syrie, on obtient les résultats suivants :
Shodan permet également la combinaison de filtres pour préciser un peu cette recherche par port
country:SY port:22
Le port 22 est traditionnellement utilisé par le protocole SSH, un outil qui facilite les connexions sécurisées entre deux systèmes, en autorisant la prise en main à distance. Vous comprenez donc que la requête ci-dessus permet de lister les services SSH découverts en Syrie, qui sont en nombre beaucoup moins conséquent :
En regardant de plus près les résultats de recherche ci-dessus, on constate que deux d’entre eux sont étiquetés comme « scanner » (à gauche) :
Lorsqu’une adresse IP trouvée par Shodan comporte une telle étiquette, elle est accompagnée de la mention : « This IP has been observed scanning the Internet. » Cela signifie que les services hébergés par cette adresse IP parcourent l’intégralité du web à la recherche de machines vulnérables, et ce dans le but possible de procéder à des attaques informatiques.
Exploration du sous-réseau
Les deux adresses IP trouvées ci-dessus font partie du même réseau /24, à savoir :
a.b.c.x
a.b.c.y
Dans shodan, un autre filtre de recherche permet de lister toutes les adresses IP trouvées sur un même sous-réseau :
net:a.b.c.0/24
Parmi les résultats de recherche, on trouve la machine suivante, hébergée par Syrian Telecom comme toutes les autres machines du même sous réseau /24 :
Exploration sécurisée d’URLs
Dans la capture d’écran précédente, l’icône suivante permet d’accéder directement à l’URL trouvée par Shodan, non plus via https://www.monadresse.com mais http://monadresseIP:monport :
En faisant un clic droit sur l’icône, on va sélectionner « Copier l’adresse du lien » et la renseigner dans le moteur de recherches du site urlscan.io.
urlscan.io est un scanner d’URL qui permet d’obtenir des informations sur des sites web potentiellement frauduleux, et qui fournit en sortie une capture d’écran des pages capturées. Plus précisément, dans le cas qui nous concerne, cet outil permet de parcourir des sites web à notre place, sans laisser de trace(s) d’accès ni risquer une éventuelle infection.
On constate alors que le site web trouvé par Shodan est le portail officiel du gouvernement Syrien :
Corroboration des résultats trouvés
Lorsque les administrateurs système d’équipements informatiques constatent des requêtes suspectes venant d’adresses IP, ils ont à leur disposition des moteurs de listes noires. Sur ces outils, ils peuvent à la fois renseigner le détail des requêtes suspectes reçues, et rechercher si les adresses IPs en question n’ont pas déjà été la source d’autres requêtes frauduleuses.
Ainsi, sur abuseipdb.com, on remarque que huit adresses IP sur ce range sont signalées :
Parmi celles-ci, une des deux adresses a déjà été mentionnée plus de 600 fois depuis le début de l’année 2020, et est toujours en activité :
Même chose pour la seconde adresse IP, mentionnée plus de 400 fois depuis Décembre 2019, et elle aussi, toujours en activité :
Pour l’anecdote, on notera que durant la rédaction de cet article, le compteur de ces signalements d’abus a continué à tourner!….
Pour aller plus loin
Le dernier rapport d’activité de Syrian Telecom accessible en ligne date de… 2011, conflit oblige. Mais cet opérateur de télécommunication, très lié au régime syrien (Le chef de l’Etat en est le président…) mène depuis longtemps des activités « agressives » sur et depuis son réseau :
sur son territoire pour la surveillance des communications du pays (il est intimement lié à l’affaire Qosmos, par exemple entre 2009 et 2011. Lire à ce sujet les articles de Mediapart et de reflets.info)
A l’international, avec au moins deux détournements de trafic (BGP Hijack) identifiés en 2014 et en 2015 par exemple…
Pour autant, il convient d’être particulièrement prudent quant à l’interprétation des résultats des observations ci-dessus et de préciser que l’attribution formelle à l’opérateur des scans opérés par la machine syrienne est impossible à faire sur la base de ces quelques éléments.
En effet, la machine observée ci-dessus, par exemple, fait tourner un certain nombre de services (serveur ftp, web, etc…) qui s’ils apparaissent assez légitimes, n’en sont pas moins obsolètes dans leurs versions déployées et particulièrement sensibles aux vulnérabilités (CVE). L’hypothèse d’une compromission de ce serveur par un ou plusieurs autres attaquants, nationaux ou internationaux, dans le but de masquer leur(s) réelle(s) origine(s), est ainsi tout à fait envisageable.
Outils
Pour réaliser ces recherches, nous utilisons les services de Shodan. L’accès à l’application est gratuite pour quelques recherches élémentaires mais payante pour des recherches plus approfondies. Les tarifs peuvent être un peu prohibitifs pour les particuliers mais sachez qu’en général, il y a toujours quelques promotions pour le Black Friday par exemple.
Il est également possible d’utiliser Censys.io ou encore l’application française Onyphe…
Ajout du 5 avril 2020 : @Mbahal nous recommande également le site internet greynoise.io
A vessel at large of the Libyan coast – Source : flickr
Open source research can help document Turkey’s multiple violations of the Libyan arms embargo.
OpenFacto has been following the conflict in Libya for several months, monitoring open source information and databases. We have specifically focused on the military support provided by several international actors to local armed factions, which is contrary to the resolution passed by the UN Security Council in 2011. This guide focuses on Turkey and its multiple violations of the arms embargo in Libya. Through six case studies, we will show how open sources can be used to identify and document Turkey’s failure to comply with the Security Council resolution, ultimately contributing and aggravating the conflict. In this article we show the methodology for:
Identification of ships and planes used for arms deliveries through cross-checking of reports, social networks and the study of traffic to Libyan ports from Turkey and airports.
Identification of arms delivery networks or mercenaries linked to arms shipping, terrorist groups and business interests
Identification of the Turkish industrials who manufactured the weapons.
Identification of the GNA as recipients of the arms (supported by Turkey in the conflict)
Using these methods, we have identified multiple examples that taken together point to a state strategy of concerted support to the Libyan conflict.
Click on the links inserted in the images to discover the different investigations.
Through these six cases, this guide proposes below a methodology for monitoring and documenting violations of arms embargoes using open-sources.
A methodology for open source monitoring of arms embargoes
The arms embargo regime is a restriction and/or a series of sanctions that apply to arms in the broadest sense but also to so-called « dual-use » technologies (understood to mean both civilian and military). Arms embargoes can have a political, military objective and be a peacekeeping mechanism. It is important to understand what the arms embargo covers in the selected case study of Libya. In Libya, the arms embargo regime prohibits the sale or supply of « arms and related materiel of all types: arms and ammunition, military vehicles and equipment, paramilitary equipment and matching spare parts, and prohibits the export by Libya of all arms and related materiel » according to Security Council resolution 1970 (2011) of the Libya Committee. When seeking to identify violations of the embargo by a State actor or otherwise, the main challenge is identifying and establishing the complex system of transactions, purchasing and delivery channels, that are in essence as secretive as possible. In order to be efficient and to try to direct your monitoring and research effectively, we propose a focus on three nodes: the actors involved, the equipment and the delivery circuit.
The UN Security Council establishes an embargo monitoring committee by resolution. This committee, made up of a panel of experts, regularly produces very informative reports on the conditions of compliance or violations of the embargo. These reports are a veritable mine of information that focus precisely on the entities or logistical means that make up the circumvention circuit.
Actors involved
A good understanding of the conflict in an embargoed country makes it possible to map the local forces involved, and their known or potential international allies. It is important to understand from which international actor factions will seek support in order to identify the potential supplier/buyer relationship that can be established. It’s time to set up your tweetdeck with lists to keep track of news and subject-matter experts on your topic of interest.
To witness the material used by the local armed group, social networks are your best friends! Photos or videos of material that has arrived at its destination can be collected via postings by an armed group’s communication organs, or through the social media accounts of members. These can provide proof of the material’s journey from one point to another:
follow the pages of the various factions’ media outlets on social networks: Facebook, Telegram, Instagram…
follow the pages of social networks dedicated to armed groups or warlords.
follow local newspapers that support different factions online to retrieve the images
Equipments
SIPRI provides several databases that give an idea of the volumes of arms exported by certain countries. In the case of clandestine activity such as the violation of an embargo, the figures will not necessarily be there, but some indications may attract attention.
Specialised maritime information sites regularly post news about maritime seizures of illegal goods or arms: the ports and names of ships are mentioned.
Via the videos and images posted online: identify the material but also the quantities where possible.
Delivery routes
Circumvention of embargoes is carried out by logistics companies that care little for UN Council resolutions, often by falsifying export documents. It is therefore necessary to identify the ships or aircraft by which the arms are transported and the companies involved.
The study of the movements of ships and aircraft, as well as of the country’s embargoed ports, makes it possible to identify the means of transport used to carry the weapons. The basic tools are: • Marine Traffic, Vessels Finder • Flight radar • Equasis an interesting ship-related database which makes it possible to identify ownership.
Once in possession of the company’s name, it is necessary to search corporate registration databases and to check the company’s reputation: presence on lists, jurisdictions, other vessels or aircraft conducting questionable deliveries, affiliations of directors. • OCCRP large database • OpenCorporate, tvery interesting for companies in Panama… • ICIJ leaks-based database
Websites like Panjiva or 52wmb.com may sometimes show the company sending or receiving shipment on behalf of the sender or the final recipient (as a consignee): this sometimes makes it possible to identify an intermediary in the armament supply network and identify volumes.
Finally, it is necessary to cross-check and compile all the findings to see the recurrence of this type of over a certain period of time.
Additionnal ressources to go further on the other side of the Libyan conflict
Visite d’un navire au large des côtes libyennes. – Source : flickr
La recherche en sources ouvertes permet de documenter les violations multiples de la Turquie de l’embargo sur les armes en Libye
OpenFacto a suivi sur plusieurs mois, au travers de sa veille en sources ouvertes, le conflit en Libye, et notamment le soutien militaire de plusieurs acteurs internationaux aux factions armées locales, contraire a l’embargo sur les armes imposé par le Conseil de Sécurité de l’ONU en 2011. Ce guide s’intéresse particulièrement à la Turquie et à ses multiples violations de l’embargo sur les armes en Libye. Au travers de six études de cas, nous verrons comment l’utilisation des sources ouvertes s’avère très utile pour documenter les manquements de la Turquie a la résolution du Conseil de Sécurité concourant ainsi à l’aggravation et l’influence du conflit :
Identification des navires ayant servi a la livraison d’armes grâce au recoupement de rapports, des réseaux sociaux et de l’étude du trafic aux ports libyens en provenance de Turquie.
Identification des réseaux de livraisons des armes ou des mercenaires liés à des transporteurs d’armes, des groupes terroristes ou businessmen peu scrupuleux.
Identification des industriels turcs qui ont fabriqué les armes
Identification des factions du Gouvernement d’Entente Nationale destinataires des armes que la Turquie soutient dans le conflit.
Multiplicité des cas d’études qui démontre une stratégie étatique de soutien au conflit Libyen.
Cliquez sur les liens sur les images pour découvrir les différentes investigations.
Au travers de ces six cas, ce guide propose ci-dessous une méthodologie pour assurer le suivi et la documentation les violations des embargos sur les armes en sources ouvertes.
Une méthodologie de suivie en sources ouvertes des embargos sur les armes
Le régime d’embargo sur les armes est une restriction et/ou une série de sanctions qui s’appliquent aux armements au sens large mais aussi aux technologies dites « à double-usage » (entendre civile et militaire). Il peut avoir un objectif politique, militaire et être un mécanisme de maintien de la paix. Il convient de bien comprendre ce qu’il couvre dans le cas d’étude choisi. Dans le cas de la Libye, le régime d’embargo sur les armes interdit la vente ou la fourniture “d’armements et de matériel connexe de tous types : armes et munitions, véhicules et matériels militaires, équipements paramilitaires et pièces détachées correspondantes et interdire l’exportation par la Libye de tous armements et matériel connexe” d’après la résolution 1970 (2011) du Comite Libye du Conseil de sécurité. Le défi, dans la recherche d’ une violation d’un embargo par un acteur étatique, réside dans la mise en place d’un système de transactions, d’un circuit d’achat et de livraison complexe qui est par essence le plus occulte possible. Pour être efficace et essayer d’orienter sa veille et sa recherche efficacement, nous vous proposons de nous concentrer sur trois nœuds : les acteurs en présence, les équipements et le circuit de livraison.
Le Conseil de Sécurité de l’ONU met en place un comité de surveillance pour le respect de l’embargo par résolution. Ce comité, composé d’un panel d’experts, produit de façon régulière des rapports très riches en informations sur les conditions du respect ou des violations de l’embargo. Ces rapports sont une vraie mine d’informations pour pivoter précisément sur les entités ou les moyens logistiques qui forment le circuit de contournement.
Les acteurs en présence
La bonne compréhension du conflit dans le pays sous embargo permet d’établir une cartographie des forces locales en présence. Il est important de comprendre auprès de quel acteur international, telle ou telle faction va chercher du soutien afin d’identifier la relation potentielle fournisseur/acheteur qui peut s’établir. Il est l’heure de mettre en place votre tweetdeck avec des listes pour suivre l’actu et les personnes qui font autorité sur votre sujet d’intérêt.
Pour constater l’utilisation du matériel par le groupe arme local, les réseaux sociaux sont vos amis! Récolter des photos ou des vidéos du matériel arrivé à destination via la publication en ligne par l’organe de communication du groupe armé ou par les comptes de ses membres constitue autant de preuves du voyage du matériel d’un point à un autre : • suivre les pages des organes de communication des différentes factions sur les réseaux sociaux: Facebook, Telegram, Instagram… • suivre les pages des réseaux sociaux dédiés aux groupes armés ou chefs de guerre • suivre des journaux locaux partisans des différentes factions en ligne pour récupérer les images
Les équipements
SIPRI offre plusieurs bases de données qui donnent une idée des volumes d’armes exportées par certains pays. Dans le cas d’une activité clandestine comme la violation d’un embargo les chiffres n’y seront pas forcement mais quelques indications peuvent attirer l’attention.
Les sites d’informations spécialisés sur le secteur maritime mettent régulièrement en ligne des nouvelles concernant les saisies maritimes de biens illégaux ou d’armes : les ports et les noms des navires y sont mentionnés.
Certaines organisations spécialisées sur la recherche du trafic d’armes mettent en ligne des guides d’identification d’un certains nombres d’armements: Small Arms Survey, Conflict Armement Research et le portail iTrace
Via les vidéos et images mises en ligne: identifier le matériel mais aussi les quantités quand c’est possible.
Le circuit de livraison
Le contournement des embargos s’effectue via des sociétés spécialisées dans la logistique peu regardantes sur les résolutions du Conseil de l’ONU et/ou par la falsification des documents d’exportation. Il convient donc d’identifier les navires ou les avions par lesquels l’armement est acheminé et les sociétés impliquées.
L’étude des mouvements des navires et des avions, ainsi que des ports du pays sous embargo permet d’identifier les moyens de transport utilises pour transporter les armes. Les outils de base sont: • Marine Traffic, Vessels Finder • Flight radar • Equasis qui est une base de données intéressante liées aux navires et qui permet d’identifier leurs armateurs et propriétaires.
Une fois en possession du nom de la société, il convient de faire des recherches dans les bases de données d’enregistrement des sociétés, et de vérifier l’honorabilité de la société: reptation, présence sur des listes, juridictions, autres bateaux, avions dans des livraisons douteuses, affiliations des dirigeants. • La grande base de données de l’OCCRP • OpenCorporate, très intéressante pour les sociétés au Panama notamment… • La base de données de leaks de l’ICIJ
Des sites comme Panjiva ou 52wmb.com peuvent parfois laisser apparaître la société qui envoie ou reçoit la livraison au nom de l’expéditeur ou du destinataire final (le consignee) : cela permet parfois d’identifier un intermédiaire dans le réseau de fourniture de l’armement, d’identifier des volumes. Enfin, il s’agit de recouper et de compiler pour voir la récurrence de ce type de contournement sur un certain temps.
Quelques ressources pour aller plus loin sur le conflit en Libye
Dans le décret n° 2020-260 du 16 mars 2020 portant réglementation des déplacements dans le cadre de la lutte contre la propagation du virus covid-19, il est écrit :
« Afin de prévenir la propagation du virus covid-19, est interdit jusqu’au 31 mars 2020 le déplacement de toute personne hors de son domicile à l’exception des déplacements pour les motifs suivants, dans le respect des mesures générales de prévention de la propagation du virus et en évitant tout regroupement de personnes :
1° Trajets entre le domicile et le ou les lieux d’exercice de l’activité professionnelle et déplacements professionnels insusceptibles d’être différés ; »
Dans le cas contraire d’un déplacement pouvant être différé, et ce dans l’optique de protéger la santé de toutes et tous, le télétravail est très fortement recommandé, d’autant plus quand il peut rapidement être mis en oeuvre sur le plan technique.
A travers quelques résultats de recherche issus du moteur de recherche Shodan, nous allons constater qu’en plus des préconisations sanitaires simples diffusées à la population, la mise en œuvre de gestes barrières informatiques ne représente pas un luxe.
En ces temps de crise et de vulnérabilité(s) humaine(s) et organisationnelle(s), nous avons d’autant plus besoin d’assurer la bonne marche de nos équipements informatiques.
Shodan
et le balayage de ports
Le balayage de ports est une technique servant à rechercher les ports ouverts sur un serveur de réseau.
Cette
technique est utilisée par les administrateurs des systèmes
informatiques pour contrôler la sécurité des serveurs de leurs
réseaux. La même technique est aussi utilisée par les pirates
informatiques pour tenter de trouver des failles dans des systèmes
informatiques. Un balayage de ports effectué sur un système tiers
est généralement considéré comme une tentative d’intrusion, car
un balayage de ports sert souvent à préparer une intrusion.
On peut détecter le système d’exploitation et sa version par la prise d’empreinte de la pile TCP/IP. Certains logiciels permettent également de détecter le nom du logiciel écoutant sur un port, voire sa version.
A grande échelle, Shodan réalise cette opération de balayage de ports sur tout Internet, et indexe les résultats de recherche, mis à disposition des utilisateurs. Shodan interpole également les versions de logiciels trouvées avec les bases de vulnérabilités logicielles usuelles et mondialement utilisées en sécurité informatique. Utilisé de manière orientée, Shodan est un moteur de recherche de serveurs et d’équipements informatiques vulnérables.
BlueKeep
BlueKeep (CVE-2019-0708) est une vulnérabilité de sécurité découverte dans l’implémentation du protocole Remote Desktop de Microsoft. Elle permet d’exécuter du code à distance. Son score CVSS (évaluation standardisée de la criticité des vulnérabilités selon des critères objectifs et mesurables) est maximal : 10.
Par exemple, la vidéo suivante montre ainsi comment, via une attaque en déni de service exploitant BlueKeep, il est possible d’engendrer facilement le crash d’un poste Windows 7 :
Shodan
et BlueKeep
Actuellement en France, au moins 4395 postes sont toujours à priori vulnérables à BlueKeep :
Pour pouvoir procéder à des recherches dans Shodan, il est nécessaire de créer un compte utilisateur. Cependant, via le modèle de lien suivant, il est possible d’avoir tout de même accès aux données du moteur de recherche :
(aaa.bbb.ccc.ddd étant l’adresse IP d’une machine qui a été scannée par Shodan et pour laquelle les résultats de recherche ont été indexés)
Pour
une machine supposément vulnérable à BlueKeep (un scan de port ne
dit pas tout !), l’élément suivant va s’afficher dans la
fenêtre de présentation de résultat :
Lorsque
cela est possible techniquement, Shodan présente également une
capture d’écran associée au port scanné :
Vraisemblablement, sur cette machine, un utilisateur s’est connecté à distance depuis une machine Dell non personnalisée (voir aussi ici ).
Recherche
d’informations sur la machine vulnérable
Via
une recherche inversée sur l’adresse IP trouvée par Shodan, on
arrive à retrouver le nom de la société qui utilise la machine
concernée :
Sur societe.com, on retrouve l’entreprise en question, ainsi que la même adresse que celle mentionnée dans le résultat de viewdns.com :
Entre
les mains de personnes malveillantes, on imagine aisément les dégâts
qui peuvent être provoqués par la possession de telles
informations, et d’autant plus en ce moment.
Thomas Eydoux et Elie Guckert, journalistes, livrent pour OpenFacto une analyse de l’intérêt stratégique d’une autoroute syrienne, à l’aide de techniques de géolocalisation.
Patrouille conjointe russo-turque le 15 mars sur la M4 entre Saraqeb et al-Nerab. Source : Millî Savunma Bakanlığı
L’autoroute M4 est devenue au cours des dernières années du conflit syrien un axe de plus en plus crucial. Longeant la frontière turque pour relier les villes de Lattaquié et Saraqeb dans le gouvernorat d’Idlib, elle est également connectée à la M5 et rejoint Alep avant d’atteindre la frontière Irakienne. Longue de près de 120 km au total, cette route a été le théâtre de nombreux incidents impliquant tous les belligérants. L’apparition de barrages à la mi-mars dans la région d’Idlib est venue une fois de plus mettre en lumière l’importance stratégique de cette route.
Après plusieurs jours de violents combats début mars entre l’armée turque et le régime dans la région d’Idlib – où Ankara a perdu des dizaines d’hommes tout en infligeant de très lourdes pertes à l’armée syrienne – la Russie a finalement conclu un accord de cessez-le-feu avec la Turquie, le 5 mars, avec la mise en place de patrouilles conjointes sur la M4. De telles patrouilles avaient déjà été organisées à l’est sur ce même axe entre les États-Unis et la Turquie dès 2017 quand cette dernière a attaqué les forces kurdes du YPG, à la tête des Forces démocratiques syriennes qui ont mis fin au califat de l’État Islamique avec le soutien de la coalition occidentale. Au cours de l’offensive « Source de paix » fin 2019, cette route avait aussi été le théâtre d’exécutions sommaires imputées à des groupes rebelles soutenus par la Turquie.Le régime et la Russie patrouillant également sur cette route, elle est rapidement devenue encombrée par diverses factions aux intérêts opposés, et dont l’inévitable chevauchement a conduit à plusieurs accrochages. À la mi-février, les forces américaines se sont par exemple retrouvées prises pour cibles par des combattants syriens sous l’œil bienveillant d’une patrouille russe, près de Qamichli, à l’Est.
Vidéo Newsy + Bellingcat, sous-titrage français par Syrie Factuel
Pour le régime syrien, l’autoroute M4 constitue l’un des derniers grands axes de transport qui reste en dehors de son contrôle total. Elle traverse la province d’Idlib, dernière région aux mains des rebelles que le régime tente de reprendre depuis des mois au prix d’immenses pertes civiles.
Des barrages sur la M4
Signe de l’importance stratégique de la M4, l’accord russo-turc entré en vigueur le 5 mars prévoit, en plus des patrouilles conjointes, la mise en place d’un «couloir de sécurité» de six kilomètres de profondeur de chaque côté de l’autoroute, soit une zone tampon large de 12 kilomètres au total. Mais ce plan a été enrayé dès le début de sa mise en application. Selon l’AFP, un barrage a été réalisé en pleine nuit au milieu de la M4, «un jour à peine après que la Turquie et la Russie ont lancé une patrouille conjointe le long de l’autoroute».
Toujours selon l’AFP, ce barrage aurait été construit juste à côté d’al-Nerab, une localité qui se trouve à quelques kilomètres seulement de la ville de Saraqeb, carrefour stratégique entre Alep, Damas et Lattaquié. Saraqeb a fait l’objet de violents combats entre l’armée syrienne et les rebelles soutenus par la Turquie en février, avant que le régime ne s’en empare définitivement début mars.
Sur la vidéo de l’AFP, on peut repérer des éléments particuliers qui permettent de localiser précisément le lieu où se trouvait le barrage : on aperçoit ainsi un muret, à gauche de la route, et un ensemble de bâtiments, à droite. On remarque aussi un petit chemin de terre qui rejoint le barrage, à droite. On peut donc géolocaliser ce barrage sur la M4, à cet endroit, non loin d’al-Nerab.
Le muret, en rouge ; l’ensemble de bâtiments, en jaune ; et le chemin de terre, en vert. Source : GoogleMaps
Position du barrage par rapport à al-Nerab. Source : GoogleMaps
Or, selon le média pro-Kremlin Sputnik, la première patrouille russo-turque « est partie de la localité de Trumba à deux kilomètres à l’ouest de Saraqeb le long de la route M4 qui relie les villes d’Alep et de Lattaquié. » Trumba se trouve ici, à un peu plus de 7 km au sud-est d’al-Nerab.
Des photos diffusées par le ministère de la Défense turc ainsi qu’une vidéo partagée par le média pro-russe Sputnik permettent de localiser la première patrouille russo-turque en train de se déplacer non-loin de ce barrage, le 15 mars. On distingue ainsi deux grandes roues au bord de la route, ainsi qu’une rangée de pylônes électriques de l’autre côté de la route. Ces éléments nous permettent de géolocaliser l’endroit précis où est passé la patrouille russo-turque du 15 mars, ici, où le convoi semble faire demi-tour.
En rouge, les deux grandes roues ; En jaune, les pylônes électriques. Source : Millî Savunma Bakanlığı
En rouge, les deux grandes roues ; En jaune, les pylônes électriques. Source : Sputnik En rouge, les deux grandes roues, en jaune, les pylônes électriques – Source : GoogleMaps
Ce mini-parc d’attractions se trouve à moins d’une dizaine de kilomètres du barrage que nous avons localisé ci-dessus. En partant du principe que la patrouille est bien partie depuis Trumba, on peut donc retracer grossièrement l’itinéraire présumé de la patrouille par rapport au barrage : jonction avec la M4 au nord de Trumba, puis départ vers al-Nerab à l’ouest avant de finalement faire demi-tour à hauteur du parc, pour repartir en direction de l’est.
En rouge, la position des deux grandes roues où la patrouille fait demi-tour pour repartir en direction de l’est ; à gauche, au bout de la ligne bleue,, la position du barrage. Source : GoogleMaps
Impossible d’établir sur la seule base des vidéos et des photos si cette patrouille a effectivement renoncé à continuer son chemin vers al-Nerab en raison d’éventuels barrages. On sait en revanche que le ministère russe de la Défense a annoncé le même jour que «Le trajet de la patrouille conjointe a été réduit à cause des provocations prévues par des groupes radicaux échappant au contrôle de la Turquie.»
Un accord contesté par les rebelles
Le 16 mars, la chaîne d’information al-Jazeera a publié un reportage au sujet d’une manifestation d’opposants au régime syrien, avec la fabrication d’un barrage bloquant l’accès aux patrouilles sur la M4. Grâce à des éléments particuliers observables dans le reportage, dans la vidéo de l’AFP (qui mentionne aussi ce deuxième barrage) et des images postées sur les réseaux sociaux, nous sommes en mesure de géolocaliser l’endroit exact où a eu lieu cette manifestation. On aperçoit un panneau publicitaire à l’entrée du village, à côté d’un muret longeant la route et derrière lequel se trouvent des bâtiments caractéristiques, ainsi que deux châteaux-d’eau en arrière plan. Ce qui permet d’affirmer que la manifestation s’est également déroulée à al-Nerab, à cet endroit, à un peu plus de 3 kilomètres du premier barrage identifié plus haut.
En rouge, le panneau publicitaire, en bleu, les châteaux-d’eau. Source : al-Jazeera
En vert, un bout du village ; en rouge, le panneau, en jaune, le muret, en bleu, les châteaux-d’eau et enfin en noir, le chemin de terre. Source : GoogleMaps
Deux manifestants interviewés dans le reportage d’al-Jazeera expliquent pourquoi ces barrages ont été construits : « Nous n’ouvriront pas la route à moins que les forces d’Assad et les milices russes ne se retirent », affirme le premier. « Nous n’avons rien à faire de cet accord. Nous ne permettrons pas aux Russes de venir ici, ils doivent partir de notre pays ! », proteste le deuxième. Pour les opposants au régime de Damas, l’arrivée des Russes, même dans des patrouilles conjointes avec les Turcs qui soutiennent la rébellion, n’est évidemment pas une bonne nouvelle. D’autant que la mise en place d’une zone tampon s’étendant à 6 km au nord et au sud de la M4 donnera de fait au principal allié de Bachar al-Assad une forme de contrôle sur une large partie du territoire qui échappe encore aux forces du régime, et qui se retrouvera en quelque sorte coupé en deux. En outre, le village d’al-Nerab, actuellement en territoire rebelle, se retrouverait justement à l’intérieur de cette zone tampon.
En vert, le territoire sous contrôle rebelle avec al-Nerab (Nayrab), en rouge, le territoire sous contrôle du régime et de son allié russe, avec Saraqeb (Saraqib). Source Liveuamap
En conséquence, la Russie avait annoncé le 15 mars avoir accordé du temps à la Turquie «pour prendre des mesures appropriées en vue de neutraliser les terroristes et garantir la sécurité des patrouilles conjointes sur la route M4». La Turquie aurait depuis détruit au moins l’un des barrages, sans que nous soyons en mesure d’identifier lequel. Mais il semble que les protestations et la construction de barrages à al-Nerab continuent malgré tout, retardant toujours la possibilité pour les Russes de mener des patrouilles avec les Turcs.
Ces contre-temps démontrent la fragilité de l’accord russo-turc, car il appartient à la Turquie de garder le contrôle sur les différentes factions rebelles, ce qu’elle a continuellement échoué à faire depuis des mois. En outre, le cessez-le feu conclu le 5 mars a déjà été violé à de nombreuses reprises par les deux camps, et la Turquie a même annoncé le 19 mars que deux de ces soldats avaient été tués sur la M4 par des «groupes radicaux», sans donner plus de précisions.
Depuis le début de l’offensive du régime et de son allié russe sur la région d’Idlib en avril 2019 qui avait déjà fait exploser les accords de Sotchi, deux autres tentatives de cessez-le-feu ont déjà échoué. La question est donc désormais de savoir combien de temps tiendra réellement le troisième.
