Digital Witness, prélude au protocole de Berkeley

Digital Witness, prélude au protocole de Berkeley

📚 Sur l’étagère

Publié en janvier 2020, et encore jamais traduit en France, Digital Witness1 est un ouvrage collectif rédigé sous la direction de Sam Dubberley, directeur du Laboratoire d’enquêtes numériques de Human Right Watch (Digital Investigations Lab), Daragh Murray, maître de conférences à la faculté de droit de l’université Queen Mary de Londres2 et Alexa Koenig3, à la tête du Human Rights Center (HRC) de Berkeley.

Il n’est pas ici question d’Open Source Intelligence mais bien d’« Open Source Information for human rights, investigation, documentation and accountability 1» Une nuance importante qui permet de faire la distinction avec la communauté du renseignement.

L’ouvrage est le premier du genre à poser les bases académiques de la discipline, et préfigure le protocole de Berkeley2 qui lui-même se veut « un guide pratique sur l’utilisation des sources ouvertes numériques dans les enquêtes ».

On y découvre notamment les premiers procès documentés grâce à Internet et aux réseaux sociaux avec l’exemple du cas Al-Madhi3, reconnu coupable de crime de guerre pour les destructions des bâtiments à caractère religieux et historique à Tombouctou, au Mali, en juin et juillet 2012, ouvrant ainsi la voie au développement d’une stratégie « open source » quelque mois plus tard au procès Mahmoud Mustafa Busayf Al-Werfalli4.

Le protocole de Berkeley, c’est au départ un échec. Celui du bureau du procureur de la Cour Pénale Internationale, en 2012, qui avait dû abandonner les charges dans 4 dossiers instruits. Une chercheuse du Human Rights Center fit ce constat : le bureau du procureur s’était trop appuyé sur les rapports d’enquête d’ONG et les témoignages. Outre la méfiance des juges à l’égard des sources ouvertes, les dossiers ne remplissaient pas le niveau de preuve requis pour être poursuivis selon eux.

De là, sous l’égide du HRC, des travaux réunissant l’ensemble des acteurs impliqués dans la lutte contre l’impunité de ces crimes, planchèrent sur l’usage de l’Open source information dans l’enquête pour en dessiner une véritable architecture.

Car là est bien le propos du livre, définir l’investigation numérique sur la base de critères établis : la méthodologie, la préservation des traces et indices numériques, l’archivage, la garantie de l’authenticité, l’utilisation des ressources mais également l’éthique avec l’évocation du doxxing (NDLR : la collecte et la divulgation d’informations à caractère privé), sans oublier l’humain derrière le clavier qui peut être affecté par le syndrome post-traumatique dont on oublie encore trop qu’il puisse aussi affecter le journaliste, l’enquêteur ou l’analyste.

Mais l’enjeu reste de concilier l’investigation numérique avec les exigences du droit et c’est aussi à ça qu’ambitionnent de répondre Digital Witness et le protocole de Berkeley en s’attachant justement à ce nouveau champ d’investigation là où, comme le rappelle Maxime Audinet, chercheur à l’IRSEM et spécialiste des pratiques d’influence : « les traces numériques se révèlent particulièrement pertinentes pour étudier les « terrains difficiles » ou dangereux par des méthodes alternatives au terrain physique »5.

Enfin, en attendant un Digital Witness 26 , on ne manquera pas de recommander la lecture passionnante et complémentaire de « La traque est mon métier » d’Eric Emeraux7, ancien Chef de l’Office central de lutte contre les crimes contre l’humanité, les génocides et les crimes de guerre, illustration éclairante de l’apport de l’OSINT dans les enquêtes contre les crimes perpétrés au Rwanda, en ex-Yougoslavie et en Syrie . Il nous faut mentionner également « La grâce et les ténèbres » par Ann Scott, roman inspiré par le combat de la Katiba des Navalos8 contre les activités djihadistes sur les réseaux sociaux et Internet.

Pour en savoir plus sur Alexa Koenig et son formidable parcours, on vous recommande de lire cette interview : https://www.atlaswomen.org/profiles/2020/4/4/alexa-koenig.

1 Informations de source ouverte pour les droits de l’homme, les enquêtes, la documentation et la responsabilité pénale

2 https://www.ohchr.org/FR/NewsEvents/Pages/berkeley-protocol.aspx

3 https://www.icc-cpi.int/mali/al-mahdi?ln=fr

4 https://www.icc-cpi.int/libya/al-werfalli?ln=fr

5 https://twitter.com/maximeaudinet/status/1472122839482445824?s=20, 18 décembre 2021

6 Entretien le 2 décembre 2021 autour de Digital Witness dans le cadre du colloque « Emerging tech in Peace ».

7 Éditions Plon 2020

8 https://www.liberation.fr/societe/sept-ans-quils-trollent-et-traquent-les-djihadistes-bientot-un-nobel-pour-la-katiba-des-narvalos-20220402_3LPCXAPBW5DRVN6HITBSPTWZ5Q/

Entretien avec Alexia Koenig, co-directrice du HCR, Human Rights Center de Berkeley et auteure

Grâce à votre expérience avec le Human Rights Center Investigation Lab, quelle est la meilleure façon de préserver les preuves numériques et les meilleures méthodes, solutions sur le marché ou dans les sources ouvertes ?

Pour les contenus en sources ouvertes, comme les réseaux sociaux, nous utilisons souvent Hunch.ly, qui nous permet de capturer notre parcours d’investigation et de télécharger et hacher1 le matériel que nous trouvons sur les espaces ouverts en ligne (les vidéos devront être capturées par un processus distinct). Comme le souligne le protocole de Berkeley, l’idéal est de capturer un « paquet » complet de contenus en ligne : l’élément que vous cherchez à préserver (comme une photo ou une vidéo), toutes les métadonnées (si elles sont disponibles) et toutes les informations contextuelles entourant cet élément. Idéalement, ce que vous capturez est haché et préservé si vous voulez qu’il serve potentiellement de preuve, et toute marque ou autre modification est effectuée sur une copie. Si vous avez la possibilité de capturer du contenu numérique de source fermée, vous pouvez utiliser une application spécialisée comme l’application eyeWitness to Atrocities2 (Témoins oculaires des atrocités) proposée par l’International Bar Association3. Par exemple, vous pouvez enregistrer ou photographier des informations visuelles liées à un événement ou à une atrocité à l’aide de l’application, et l’application préservera le contenu et l’enverra automatiquement à un dépôt sécurisé, de sorte que vous puissiez facilement démontrer la chaîne de possession si les informations finissent par être présentées au tribunal. Si une source ou un témoin vous envoie des informations par le biais d’une application de messagerie telle que WhatsApp, demandez-lui de suivre les étapes permettant de conserver les métadonnées attachées à tout élément envoyé (comme une vidéo ou une photographie), car ces métadonnées peuvent s’avérer très utiles pour vérifier ou authentifier ultérieurement le matériel.

Quel niveau de vérification est nécessaire pour juger les contenus « amateurs » ou en réseau comme des preuves admissibles devant les tribunaux internationaux ?

Le protocole de Berkeley recommande que toutes les preuves potentielles soient examinées dans le cadre d’un processus en trois parties : une évaluation technique (telle que l’examen de toutes les métadonnées liées à l’élément), une évaluation du contenu (ce que vous pouvez voir dans la photo ou la vidéo correspond-il à ce que l’on vous a dit qu’elle représentait ? Cette personne est-elle une source fiable pour les informations qu’elle a partagées ? Sont-ils ceux qu’ils prétendent être, etc.) La plupart des équipes d’enquêteurs utiliseront l’analyse d’amateurs comme piste ou pour corroborer leur propre enquête. En outre, la plupart des équipes juridiques essaieront d’obtenir le message « original » d’un réseau social, ainsi que les informations supplémentaires que l’entreprise peut fournir sur cet élément, si elle le peut.

Comment les juridictions nationales font-elles face à ce nouveau défi que représente l’analyse d’un tel volume de données ?

Le défi du volume peut être très important. Je pense que nous allons assister à une utilisation croissante de méthodes basées sur le machine-learning pour trouver des contenus pertinents dans un grand volume de données – par exemple, par l’analyse de ces ensembles de données à l’aide de grands modèles de langage, ou par l’analyse visuelle via la reconnaissance d’objets. Bien entendu, ces systèmes sont imparfaits. C’est pourquoi le principe de minimisation des données reste important ; dans l’idéal, les enquêteurs ne collectent pas beaucoup plus de données qu’ils n’en ont besoin. Ce principe est particulièrement important pour les équipes juridiques qui peuvent avoir des obligations de divulgation ; si elles ne savent pas ce qu’elles ont, comment peuvent-elles savoir ce qu’elles doivent divulguer ?

À cet égard, quels conseils et lignes directrices pourriez-vous leur donner ? Y a-t-il de nouvelles avancées dans la jurisprudence de la Cour pénale internationale ou des tribunaux nationaux concernant l’utilisation des sources ouvertes dans les enquêtes et les poursuites ?

Un nombre croissant d’affaires s’appuient sur des informations numériques de sources ouvertes, y compris dans des juridictions internationales et nationales. Deux ouvrages paraîtront en 2024, qui résument très bien les développements récents et la jurisprudence applicable : l’un de Jonathan Hak4, l’autre d’Yvonne McDermott Rees5.

Les initiatives menées par des ONG telles que OpenFacto avec All Eyes on Wagner ou Center for Information Resilience avec l’Ukraine peuvent-elles réellement contribuer aux enquêtes et aux poursuites ? Dans quelle mesure et sous quelles conditions l’OSINT peut-il faciliter et même accélérer les enquêtes sur les crimes internationaux ?

Les ONG ont plusieurs rôles importants à jouer. Tout d’abord, elles peuvent contribuer à stimuler la volonté politique des acteurs juridiques de prêter attention à des événements et à des atrocités particuliers. Deuxièmement, elles peuvent fournir des informations importantes aux enquêteurs juridiques, telles que des pistes sur les témoins qui ont pu être présents et qui pourraient éventuellement fournir des témoignages, ou des indications sur les informations de source ouverte qui pourraient exister et que les enquêteurs judiciaires pourraient également découvrir et vérifier. Troisièmement, ils peuvent préserver le contenu qui risque de disparaître des espaces en ligne ; ils peuvent devenir des conservateurs essentiels de données pertinentes. Quatrièmement, ils peuvent jouer le rôle d’un « examen par les pairs », avec une analyse indépendante des faits sous-jacents à un événement. Ils disposent souvent d’une expertise contextuelle, culturelle, linguistique ou thématique qui peut éclairer des questions ou des faits importants.

L’accent est-il mis sur la « formation » des témoins et des victimes afin qu’ils puissent filmer et documenter plus « clairement » les crimes de guerre ?

Oui ! Des groupes tels que Witness6 et Videre est Credere7 ont joué un rôle essentiel en aidant les témoins et les victimes à comprendre les stratégies d’enregistrement des informations de manière à accroître la valeur de ces informations à des fins judiciaires. Il s’agit notamment de tactiques pour tenir son téléphone ou son appareil photo d’une certaine manière afin de stabiliser les images ou de maximiser ce qui est capturé, de techniques pour obtenir une perspective à 360 degrés de ce que vous filmez afin de situer cet événement ou cet objet dans l’espace géographique, de suggestions sur les types d’informations qu’il est particulièrement utile de capturer, etc. Witness propose une série de guides sur la vidéo en tant que preuve, qui sont extrêmement utiles.

Lors de la présentation du livre à l’atelier Emerging Technologies in Peacebuilding and Prevention8 (2 décembre 2021), vous avez évoqué la publication de Digital witness 2. Pourriez-vous nous en dire un peu plus sur ce volume 2 ?

Oui ! Malheureusement, le livre a été retardé en raison de la pandémie et d’autres interruptions. Au lieu d’un deuxième volume, nous envisageons plutôt une deuxième édition, qui sera beaucoup plus étoffée que la première. Cette nouvelle édition guidera le lecteur dans tous les domaines, de l’établissement des bases d’une enquête à la construction d’un dossier ou d’une histoire, en passant par l’enquête elle-même, et jusqu’à l’avenir de ce domaine. Il y a beaucoup de choses à couvrir. Nous avons défini les grandes lignes de l’ouvrage et espérons lancer bientôt un appel à contributions !

Alexa Koenig vient de sortir un nouvel ouvrage avec Andrea Lampros, directrice de la communication à la Graduate School of Journalism de l’UC Berkeley, « Graphic : Trauma and Meaning in our Online Lives » (Cambrige University Press). Dans cet ouvrage, elle tirent des leçons de l’expérience d’experts qui travaillent chaque jour avec des contenus violents en ligne9.

1 Lors d’une analyse forensic, il est primordial de calculer une empreinte (hash) qui identifiera le fichier à l’aide d’une fonction de hachage. Cette empreinte doit être unique, car elle permet de valider que le fichier n’a pas été altéré durant l’investigation. Le calcul des hash permettra ainsi de garantir l’intégrité des fichiers analysés. Il existe plusieurs algorithmes de hachage, tels que MD5, SHA1, SHA2, SHA5… À noter que les algorithmes MD5 et SHA1 comportent des faiblesses de collision (c’est-à-dire le même hash pour deux fichiers différents), et sont de moins en moins utilisés. « Menez une investigation d’incident numérique forensic » par Openclassrooms

2 https://www.eyewitness.global/

3 https://www.ibanet.org/

4 Ancien avocat et procureur de la Couronne au Canada, spécialiste de la preuve par l’image dans le cadre de poursuites pénales.Son ouvrage Image-Based Evidence in International Criminal Prosecutions: Charting a Path Forword, sortira en mars 2024, chez Oxford University Press. Retrouvez son blog à : https://www.jonathanhak.com/

5 Yvonne McDermott Rees est professeure en droit à la Hillary Rodham Clinton School of Law de l’Université de Swansea (Pays-de-Galles) et spécialiste du droit pénal international, des droits de l’homme et des droits des procès équitables. En 2023, elle a coécrit avec Dearbhla Minogue, Siobhán Allen, et Charlotte Andrews-Briscoe, Putting Principles into Practice : Reflections on a Mock Admissibility Hearing on Open Source Evidencetéléchargeable à https://cronfa.swan.ac.uk/Record/cronfa63763/Download/63763__28055__34ad7a3f4a4747b69ae0bedcab99fbfe.pdf

6 https://vae.witness.org/about-video-as-evidence/

7 https://www.videreonline.org/

8 Center on International Cooperation at NYU : https://www.youtube.com/watch?v=ySZl0ojEgcQ

9 Un podcast (en anglais) à écouter à https://open.spotify.com/episode/3h0BY07OpBnaRcxxNIhV04 où les autrices évoquent en particulier la prévalence croissante de ces contenus et de ce que nous pouvons tous faire pour préserver notre santé mentale tout en étant conscient de la manière dont nous nous y connectons

La détection de la désinformation sans coder

La détection de la désinformation sans coder

Lors de la préparation d’un atelier, on s’est demandé s’il fallait absolument savoir coder ou utiliser des outils un peu compliqués à manipuler  pour détecter et visualiser une campagne de désinformation ou misinformation. Ou bien est-il possible de la détecter et cartographier rapidement avec un peu de méthode et quelques clics? Tentative d’oulipo numérique pour lequel on a banni les mots python et Gephi du billet.

Donald Trump Says "Fake News" - Compilation - YouTube
Avouez qu’on ne fait pas meilleur mannequin pour memes viraux

Cadrer l’étude de la campagne avec le AMITT Framework

On aime assez l’approche de COGSEC Collaborative – pour Cognitive Security – une ONG qui s’est donnée pour mission de mettre dans la même pièce des analystes en sécurité informatique, des scientifiques big data et des experts du domaine pour approcher les campagnes de désinformation comme des attaques informatiques et y appliquer la même analyse pour définir des contre-mesures. Ils se sont donc inspirés d’un cadre de modélisation des procédés d’intrusion dans un système informatique – le MITRE ATT&CK framework

Le AMITT Framework pour Adversarial Misinformation and Influence Tactics and Techniques est donc un cadre d’analyse pour décrire et comprendre les “incidents” de désinformation (pour reprendre la terminologie de sécurité informatique).   Il est intéressant de noter que l’analyste va détecter la campagne par les artifices mis en place dans le cadre de la désinformation: comptes Facebook, faux sites, memes pour remonter jusqu’à la détection d’une véritable campagne mise en oeuvre. 

@COGSEC Collaborative

Cette modélisation permet de décrire de manière systématique et organisée une campagne de désinformation ou de contre-mesures mais aussi de cadre sa recherche sur la base de douze catégories décrites ici.

COGSEC Collaborative propose un module interactif en ligne qui permet de rapidement ajouter la technique utilisée dans la campagne étudiée. Utiles les onze premières catégories (la dernière correspond à l’évaluation de la campagne) fonctionnent un peu comme une check-list des grands axes à investiguer. Comme l’observateur détecte la campagne de désinformation d’abord par sa rencontre avec des artéfacts visibles, on débutera par la droite de la matrice.

Go physical – la partie visible et extrême de l’iceberg

La manifestation physique d’une campagne de désinformation est pour le moment assez rare – quoi que – et consiste en un résultat dans le monde physique incité en ligne: organisation de manifestation ou regroupement, vente/achat de produits dérivés ou encore organisation de fausses missions d’observation électorale. Ici l’idée consiste à établir un lien entre l’événement physique et une origine numérique. Un monitoring live des événements sur un Tweetdeck et à une recherche des groupes appelant à aller manifester par exemple permet de spotter des indicateurs d’une campagne potentielle comme un hashtag, des comptes « porte parole« , des communautés et du contenus image et narratifs.

Exposure – le défi du plus grand nombre

Voir et revoir la même histoire sur plusieurs réseaux sociaux fait partie de la phase d’amplification de la campagne de désinformation. Plusieurs outils en ligne permettent d’appréhender le niveau d’amplification d’une campagne potentielle.

GetdayTrend permet de détecter les tendances virales mondialement ou par pays en se basant sur la popularité des hashtags. L’outil permet un coup d’oeil rapide et une recherche par période temporelle.

Hoaxy permet de visualiser les différentes communautés sur Twitter autour d’un hashtag et d’identifier des bots potentiels avec le code couleur proposé par l’outil.

Telegram Analytics offre des beaux graph sur le volume de messages comprenant la mention d’un mot clef.

Et de manière plus simple, voir le nombre de groupes ou pages créés sur Facebook, l’existence de channels Telegram dédiés ou la prévalence d’un hashtag sur instagram ou une simple recherche google avec une mention différenciant donne une bonne indication de l’amplitude de la campagne. Nous n’avons pas connaissance néanmoins d’un outil permettant d’identifier globalement la première mention d’un message servant d’inoculation à la campagne.

Channel selection – faire l’état des lieux de la propagation de la campagne

Manuellement on pourra établir la présence de la campagne sur différentes plateformes et sites internet en recherchant chacune des plateformes. Crowd Tangle propose une extension sur Chrome permettant de suivre la propagation d’une url sur les réseaux sociaux appartenant à Facebook.

Develop content – détecter les messages de la campagne et leurs formes

Rien ne vaut un bon feuillet excel pour cartographier l’ensemble des narratifs – les grands thèmes – d’une campagne de désinformation en fonction des plateformes sur lesquelles la campagne se déroule. Cela permet notamment d’identifier parfois des différences de stratégies entre les thématiques poussées sur un Télégram versus un Facebook. En plus des thématiques, il est intéressant de détecter les images, vidéo, memes utilisés et poussés notamment avec la fonction reverse image.

Develop network où comprendre comment l’information voyage

La difficulté dans l’analyse d’une campagne de désinformation est d’établir des liens entre des plateformes ou des éléments qui donnent l’impression d’être différents. Essayer de trouver des points communs entre plusieurs sites internets passe par l’étude préliminaire de tout un tas d’éléments:

  • l’étude qualitative du design d’un site internet et de son contenu permet d’établir parfois des hypothèses ou rebondir
  • L’étude du nom de domaine via un site comme ici ou
  • un outil comme spyonweb permet de lier les sites internet gérés par une même personne par leur code Google Analytics que l’on trouve dans le code source de la page en faisant un click droit et en cherchant le format « UA-xxxx » .

Develop People – est-ce que cette personne existe?

Les conversations et les messages sont poussés par des comptes qui sont les pivots de la campagne de désinformation: influenceurs conscients ou cyber robots? Ils sont au coeur des nodes de communication identifiés plus haut. Il est de plus en plus difficile de déterminer s’il s’agit de comptes réels, de comptes volés, de faux comptes animés par des humains ou de comptes automatisés.

En plus de l’observation précise de ces comptes d’intérêt quand ils sont sur des plateformes comme Facebook, Linkedin ou VK, des outils aident à la détection des comptes automatisés sur Twitter.

Botsentinel permet de donner un score à un compte pour identifier les bots: attention ce n’est pas infaillible.

Accountanalysis fait une analyse de l’activité du compte en question:

Les objectifs – le temps de l’analyse

Une fois tout ce travail effectué, le meilleur outil à disposition reste votre tête afin de mettre en musique l’ensemble des résultats trouvés lors des recherches pour essayer de comprendre le grand dessein d’une campagne de désinformation et son organisation.

Le temps et la capacité de traiter et représenter manuellement un très large volume de données pour y trouver des informations et des récurrences semblent être les limites franches de cet oulipo numérique. Néanmoins la méthode et les outils proposés permettent de déterminer s’il y a matière à creuser plus et d’informer les décideurs de l’existence d’une campagne. Utilisant les bonnes pratiques de la sécurité informatique, COGSEC propose d’ailleurs un modèle de contre-mesures pour répondre à ces événements.

OpenFacto invité du podcast Signal sur Bruit

OpenFacto invité du podcast Signal sur Bruit

Signal sur bruit est le podcast du Centre de documentation de l’École militaire. Pédagogique et de format court, il se veut support de son action culturelle. Il concourt à la valorisation de la recherche dans les thématiques du CDEM (relations internationales, stratégie, histoire militaire…).

Anaïs Meunier a invité l’association OpenFacto à son micro pour parler des différentes facettes de la recherche d’information en sources ouvertes : droit, archivage, méthodologie, etc. tout en laissant le temps à Hervé de présenter l’association, ses projets et sa philosophie.

Episode 1/2

Episode 2/2

A Mekele, le régime éthiopien frappe aveuglément

A Mekele, le régime éthiopien frappe aveuglément

Par Thomas Eydoux et Elie Guckert

Sans faire la une des journaux occidentaux, l’Éthiopie a basculé dans la guerre civile. Le régime, mené par le premier ministre Abiy Ahmed Ali, tente de mater les séparatistes de la région du Tigré, au nord du pays. Sa capitale, Mekele, a été frappée le 16 et 19 novembre 2020. 

Sans électricité depuis plusieurs jours, peu de photos et de vidéos émergent de la région séparatiste du nord du pays. Sur les affrontements entre les militaires du TPLF (Tigray People’s Liberation Front) et les soldats du régime, presque rien. Pourtant, les combats sont violents. Depuis le début du mois de novembre, le gouvernement d’Abiy Ahmed Ali a lancé une offensive contre la région du Tigré, dont les leaders sont depuis longtemps opposés à un pouvoir unifié et centralisé. Après que les dirigeants du Tigré ont organisé des élections sans l’accord du gouvernement, le premier ministre, prix nobel de la Paix en 2019 pour ses actions ayant conduit à la résolution du conflit entre l’Éthiopie et l’Érythrée, a fait le choix de la guerre. 

Malgré le black-out, des documents ont commencé à émerger sur les réseaux sociaux. Plusieurs d’entre eux font état d’au moins une frappe aérienne sur Mekele, la capitale de la région séparatiste du nord du pays. A l’aide d’outils de géolocalisation, Open Facto est en mesure d’authentifier ces frappes. 

Au moins une frappe aux alentours d’un stade

Le 16 novembre, plusieurs vidéos sont publiées par différents médias : certaines montrent un avion qui survole la ville, tandis que l’on peut voir sur d’autres un épais nuage de poussière qui s’élève du sol.

Cette vidéo est l’une des premières qui a été publiée parmi celles qui vont être étudiées dans cet article. C’est la branche en Amharique du média DW qui la dévoile sur Twitter. Si, à première vue, elle ne montre pas grand chose, on peut tout de même apercevoir un avion de combat, qui survole à basse altitude la ville de Mekele, d’après DW. Le tweet indique la date du 7 novembre 2013, mais attention : le calendrier n’est pas le même en éthiopie. Après conversion, nous retombons bien sur le 16 novembre 2020. Grâce à un arrêt sur image, nous pouvons apercevoir un appareil, sans pour autant formellement l’identifier. En faisant la comparaison avec ceux dont dispose l’armée de l’air éthiopienne, il est néanmoins probable que ce soit un MIG-23 ou un SU-25.  

Sur cette autre vidéo , publiée sur Facebook par la BBC en fin de matinée le lundi 16 novembre, on peut également voir, très furtivement, un avion de combat opérant à basse altitude. Si là encore la résolution est très faible, la forme aplatie et allongée de l’appareil laisse penser qu’il s’agit cette fois-ci d’un MIG-23. D’après la BBC, cet avion aurait frappé aux alentours de midi près d’un stade.

Toujours le 16 novembre, la version Amahrique de la BBC publie également un article qui relate une frappe aérienne sur les faubourgs de Mekele. La vidéo de survol de l’avion y est reprise. En fin d’article, une autre photo est diffusée, où l’on distingue un mélange de fumée et de poussière qui se détache nettement du sol. Le résultat d’une frappe aérienne, selon le média britannique. Quatre éléments distincts nous permettent de localiser cette photo. Chacun d’entre eux s’est vu attribuer un code couleur particulier, qui va de nouveau servir sur d’autres photos.

Après quelques recherches sur Google Earth, nous avons pu recroiser les éléments présents sur la photo avec des bâtiments visibles par satellite. 

Cette première frappe peut donc être localisée près du stade universitaire de Mekele, légèrement à l’extérieur de la ville, au sud-est. 

Christiaan Triebert, journaliste du New York Times spécialisé en OSInt  a également publié une photo de VOA. Là encore, un épais nuage de poussière s’élève au-dessus de Mekele. Impossible d’affirmer avec certitude si les deux photos ont été prises lors d’une seule et même frappe. Deux éléments attirent l’attention : l’antenne rouge et blanche (entourée en jaune) et la grande croix qui surplombe la ville, un peu plus au nord (entourée de violet).  

Toujours en arrière-plan, nous retrouvons le stade situé au sud-est de la capitale du Tigré. Deux autres grands bâtiments sont présents, et ressortent par leur grande taille. 

A Mekele, les vues Google Street sont rares, l’une d’entre elle va malgré tout être utile. Prise en panoramique et depuis la hauteur, nous retrouvons bien les deux bâtiments cerclés en blanc et noir. 

La photo a été prise en 2018, mais les points de similitudes sont là.

Sur Twitter, plusieurs photos ont été publiées : elles montrent un cratère, béant entouré par des civils éberlués.. 

L’Université prise pour cible ?

Le 19 novembre, un représentant de l’université de Mekele affirme à l’agence Associated Press que son établissement aurait été la cible d’une frappe aérienne, un humanitaire affirme la même chose à CNN, qui parle également d’une frappe aérienne ayant frappé les environs d’une église. D’après le TPLF, cité par Reuters, la frappe sur l’université de Mekele aurait blessé de nombreux étudiants, sans avancer de chiffre précis.

Des photos présentant ce qui serait les conséquences de ces frappes ont émergé sur les réseaux sociaux et montrent plusieurs blessés pris en charge par les secours. Elles sont en réalité tirées de ce reportage de la TV officielle du Tigré. De son côté, le gouvernement central dément avoir mené des frappes contre des infrastructures civiles, affirmant n’avoir pris pour cible que des positions militaires aux abords de Mekele.

D’après nos investigations, rien ne nous a permis d’identifier des positions militaires proches de là où ont été effectuées les frappes du gouvernement central. 

Ce dernier, poussé par une série de victoires face aux séparatistes du TPLF, l’a annoncé : l’attaque de Mekele est imminente. 


Thomas Eydoux est Journaliste indépendant, TV et presse écrite. Intéressé par les sujets de défense, sécurité et aéronautique. Après deux ans de contrat pro chez BFMTV, il travaille régulièrement avec eux, BFM Paris, Slate et OpenFacto. Membre de l’Association des journalistes de défense (AJD), passé par de la PQR, de la radio locale, télévision locale et boîte de production, il possède de solides compétences en OSINT (Open Source Intelligence).

Elie Guckert est un journaliste formé à l’école de la radio et du numérique et adopté par la presse écrite. Féru d’enquêtes, de reportages de terrain, et d’outils numériques, passionné par l’actualité internationale et géopolitique, avec une spécialisation sur la Syrie, le terrorisme et le monde de la Défense. Curieux des nouvelles formes de journalisme, en particulier l’open source intelligence. Il est un collaborateur régulier d’OpenFacto.

Shodan utilise un hébergeur Bulletproof (mais pas uniquement)

Shodan utilise un hébergeur Bulletproof (mais pas uniquement)

Introduction

Dans « Le virus du télétravail« , nous présentions le fonctionnement de l’outil Shodan. Pour peu que lecteur n’ait pas connaissance de cet outil, nous l’invitons à se reporter à la lecture de cet article.

Le présent article va s’attacher à quelques recherches sur les hébergeurs utilisés par Shodan. Via l’utilisation conjointe des outils AbuseIPDB, DNSdumpster, Scamanalytics et SecurityTrails, il permettra de mettre en lumière certains fonctionnements inhérents au service, et éventuellement quelques une de ses contradictions.

Recherche de sous-domaines

Il existe de multiples moteurs de recherche dédiés aux noms de domaines. Tous ne donnent pas nécessairement les mêmes résultats. Il convient alors d’en utiliser plusieurs en même temps, de sorte que les résultats obtenus soient à même de se recouper, mais aussi de se compléter. La tâche de l’analyste OSINT est grandement facilitée via des outils comme Intelx, qui permet de lancer une recherche sur 27 sites différents, avec autant d’onglets qui s’ouvrent dans le navigateur.

Dans le cas qui nous intéresse, nous avons choisi de nous limiter à l’utilisation de SecurityTrails, car ses résultats sont présentés de manière pertinente (via des colonnes « Domain » et « Hosting Provider ») et surtout, on a accès gratuitement à leur intégralité. Pour Shodan, les résultats sont ainsi disponibles via le lien https://securitytrails.com/list/apex_domain/shodan.io.

Parmi les résultats, on remarque que certains sous-domaines sont hébergés chez IP Volume Inc, présenté dans l’article OpenFacto « Enquête sur un hébergeur en dessous de tout soupçon », et connu pour être un hébergeur Bulletproof :

census.shodan.io

On remarque ci-dessus que tous les sous-domaines hébergés chez IP Volume Inc se rattachant à census.shodan.io. Par curiosité, nous souhaiterions maintenant obtenir l’intégralité des adresses IP se rattachant à ce sous-domaine : peut être ont elles la même finalité, qui sait ? Via une recherche sur SecurityTrails, on ne trouve rien de plus. Qu’à cela ne tienne ! Essayons sur DNSdumpster :

Un peu de tri

A l’exception des adresses mentionnant explicitement le domaine shodan.io en sous-titre (comme 216.117.2.180, qui ne semble être qu’une page d’affichage comme l’atteste https://urlscan.io/ip/216.117.2.180), on procède à des recherches sur AbuseIPDB :

Les recherches sur AbuseIPDB ne prétendent pas à l’exhaustivité mais il apparaît que les adresses IP trouvées sont très actives. Qu’en est il du niveau de confiance des hébergeurs ? Scamanalytics est à même de nous donner un ordre d’idées :

Éléments de conclusion

Shodan a recours aux services de IP Volume Inc mais a également recours aux services d’autres hébergeurs qui apparaissent à priori plus standards.

Si le lecteur se réfère aux logs AbuseIPDB, il verra que les services de Shodan sont par nature très intrusifs :

  • https://www.abuseipdb.com/check/185.142.236.34
  • https://www.abuseipdb.com/check/89.248.167.131
  • https://www.abuseipdb.com/check/71.6.199.23

De ce fait, tout du moins en se basant dans une optique pratico-pratique, le recours à des hébergeurs Bulletproof apparaît comme tout à fait logique. En effet, ces hébergeurs sont peu regardants sur la nature de ce qu’ils hébergent, et leurs services « abuse », pour peu qu’ils soient sollicités, ne sont pas nécessairement réactifs, à juste titre, car la capacité intrusive est un des socles de Shodan.

Quant aux questions d’éthique et de probité liées au recours à un hébergeur Bulletproof, ce n’est pas l’objectif de cet article et nous laisserons le lecteur seul juge.

Le pivot est dans la boîte

Le pivot est dans la boîte

Introduction

Par le biais de deux exemples choisis en connaissance de cause, nous nous proposons d’explorer les vertus du pivot basé sur des adresses de boîtes postales, le tout simplement renseigné dans un basique moteur de recherche. On pourra alors s’apercevoir combien la puissance de l’OSINT réside parfois dans le choix des pivots, et pas uniquement dans la combinaison de ces derniers.

Point de départ

Un repérage sur le célèbre site HelloAsso nous permet de découvrir les activités de l’association Entraide Solidarité Europe (https://www.helloasso.com/associations/entraide-solidarite-europe-ese), ainsi que son adresse de boîte postale:

Au premier regard, tout semble normal : de l’entraide, et de la solidarité …

Et des courriers jusqu’aux plus hautes instances de l’Etat !

Quand on commence à creuser …

… on retrouve la même adresse de boîte postale, mais associée à un certain « Comité d’Entraide aux Prisonniers Européens »

Après quelques recherches, on retrouve même l’adresse du site web de ce CEPE, certes fermé, mais avec quelques traces sur Wayback Machine :

https://web.archive.org/web/20060819073315/http://www.cepe-liberte.com:80/AppelLajoye.pdf

Le document en question est un appel à la libération de Michel Lajoye, un militant français d’extrême droite emprisonné pour un attentat à la bombe dans un café arabe du Petit-Quevilly commis en 1987 (https://fr.wikipedia.org/wiki/Michel_Lajoye). On retrouve dans ce document toujours la même boîte postale, cette fois ci doublement nommée ESE/CEPE, ainsi que la liste des premiers signataires de l’appel :

On notera qu’une recherche sur le nom de domaine entraide-solidarite.com nous permet de retrouver un des signataires de l’appel :

Solidarité et soirées de soutien

L’action solidaire repose aussi parfois sur l’action collective. Ainsi, dans Rivarol n°2888 (16/1/2009, https://pdfslide.net/documents/28685486-rivarol-2888.html) le CEPE s’efforce de promouvoir son action à travers des soirées de soutien :

Cependant, lors de l’annonce d’une soirée, il convient de mentionner l’adresse exacte, ce genre d’erreur pouvant être source de désagréments :

Comme une apparition …

Au gré de nos recherches sur le CEPE, une nouvelle boîte postale apparaît :

Telle le petit Poucet, cette nouvelle boîte postale nous amène de multiples petits cailloux :

Pour mémoire, l’article suivant rappellera au lecteur l’histoire associée à Unité Radicale :

https://www.liberation.fr/evenement/2003/07/14/unite-radicale-rebaptisee-mais-toujours-haineuse_439662

On retrouve également l’adresse postale sur un historique d’enregistrement(s) pour un nom de domaine :

Le site association-sdf est clôturé mais il en reste quelques traces sur archive.org :

https://web.archive.org/web/20041217083131/http://www.association-sdf.com/pourquoi.html

En guise de conclusion

Dans ses filets, le travail sur ces deux boîtes postales de Nice et Nîmes a pu drainer de multiples personnes et différents groupuscules et organisation. Arguer que l’ensemble de ces intervenants est lié entre eux n’est bien évidemment pas suffisant. Pour peu que l’on souhait pousser les investigations de cet article plus loin, il importera de se doter de multiples sources permettant de corroborer ces premières recherches.

Dans tous les cas, à travers les exemples qui ont servi de base à cet article, on pourra retenir que l’OSINT peut très bien s’incarner de manière forte à travers des objets aussi peu techniques qu’une adresse de boîte postale.