A Mekele, le régime éthiopien frappe aveuglément

A Mekele, le régime éthiopien frappe aveuglément

Par Thomas Eydoux et Elie Guckert

Sans faire la une des journaux occidentaux, l’Éthiopie a basculé dans la guerre civile. Le régime, mené par le premier ministre Abiy Ahmed Ali, tente de mater les séparatistes de la région du Tigré, au nord du pays. Sa capitale, Mekele, a été frappée le 16 et 19 novembre 2020. 

Sans électricité depuis plusieurs jours, peu de photos et de vidéos émergent de la région séparatiste du nord du pays. Sur les affrontements entre les militaires du TPLF (Tigray People’s Liberation Front) et les soldats du régime, presque rien. Pourtant, les combats sont violents. Depuis le début du mois de novembre, le gouvernement d’Abiy Ahmed Ali a lancé une offensive contre la région du Tigré, dont les leaders sont depuis longtemps opposés à un pouvoir unifié et centralisé. Après que les dirigeants du Tigré ont organisé des élections sans l’accord du gouvernement, le premier ministre, prix nobel de la Paix en 2019 pour ses actions ayant conduit à la résolution du conflit entre l’Éthiopie et l’Érythrée, a fait le choix de la guerre. 

Malgré le black-out, des documents ont commencé à émerger sur les réseaux sociaux. Plusieurs d’entre eux font état d’au moins une frappe aérienne sur Mekele, la capitale de la région séparatiste du nord du pays. A l’aide d’outils de géolocalisation, Open Facto est en mesure d’authentifier ces frappes. 

Au moins une frappe aux alentours d’un stade

Le 16 novembre, plusieurs vidéos sont publiées par différents médias : certaines montrent un avion qui survole la ville, tandis que l’on peut voir sur d’autres un épais nuage de poussière qui s’élève du sol.

Cette vidéo est l’une des premières qui a été publiée parmi celles qui vont être étudiées dans cet article. C’est la branche en Amharique du média DW qui la dévoile sur Twitter. Si, à première vue, elle ne montre pas grand chose, on peut tout de même apercevoir un avion de combat, qui survole à basse altitude la ville de Mekele, d’après DW. Le tweet indique la date du 7 novembre 2013, mais attention : le calendrier n’est pas le même en éthiopie. Après conversion, nous retombons bien sur le 16 novembre 2020. Grâce à un arrêt sur image, nous pouvons apercevoir un appareil, sans pour autant formellement l’identifier. En faisant la comparaison avec ceux dont dispose l’armée de l’air éthiopienne, il est néanmoins probable que ce soit un MIG-23 ou un SU-25.  

Sur cette autre vidéo , publiée sur Facebook par la BBC en fin de matinée le lundi 16 novembre, on peut également voir, très furtivement, un avion de combat opérant à basse altitude. Si là encore la résolution est très faible, la forme aplatie et allongée de l’appareil laisse penser qu’il s’agit cette fois-ci d’un MIG-23. D’après la BBC, cet avion aurait frappé aux alentours de midi près d’un stade.

Toujours le 16 novembre, la version Amahrique de la BBC publie également un article qui relate une frappe aérienne sur les faubourgs de Mekele. La vidéo de survol de l’avion y est reprise. En fin d’article, une autre photo est diffusée, où l’on distingue un mélange de fumée et de poussière qui se détache nettement du sol. Le résultat d’une frappe aérienne, selon le média britannique. Quatre éléments distincts nous permettent de localiser cette photo. Chacun d’entre eux s’est vu attribuer un code couleur particulier, qui va de nouveau servir sur d’autres photos.

Après quelques recherches sur Google Earth, nous avons pu recroiser les éléments présents sur la photo avec des bâtiments visibles par satellite. 

Cette première frappe peut donc être localisée près du stade universitaire de Mekele, légèrement à l’extérieur de la ville, au sud-est. 

Christiaan Triebert, journaliste du New York Times spécialisé en OSInt  a également publié une photo de VOA. Là encore, un épais nuage de poussière s’élève au-dessus de Mekele. Impossible d’affirmer avec certitude si les deux photos ont été prises lors d’une seule et même frappe. Deux éléments attirent l’attention : l’antenne rouge et blanche (entourée en jaune) et la grande croix qui surplombe la ville, un peu plus au nord (entourée de violet).  

Toujours en arrière-plan, nous retrouvons le stade situé au sud-est de la capitale du Tigré. Deux autres grands bâtiments sont présents, et ressortent par leur grande taille. 

A Mekele, les vues Google Street sont rares, l’une d’entre elle va malgré tout être utile. Prise en panoramique et depuis la hauteur, nous retrouvons bien les deux bâtiments cerclés en blanc et noir. 

La photo a été prise en 2018, mais les points de similitudes sont là.

Sur Twitter, plusieurs photos ont été publiées : elles montrent un cratère, béant entouré par des civils éberlués.. 

L’Université prise pour cible ?

Le 19 novembre, un représentant de l’université de Mekele affirme à l’agence Associated Press que son établissement aurait été la cible d’une frappe aérienne, un humanitaire affirme la même chose à CNN, qui parle également d’une frappe aérienne ayant frappé les environs d’une église. D’après le TPLF, cité par Reuters, la frappe sur l’université de Mekele aurait blessé de nombreux étudiants, sans avancer de chiffre précis.

Des photos présentant ce qui serait les conséquences de ces frappes ont émergé sur les réseaux sociaux et montrent plusieurs blessés pris en charge par les secours. Elles sont en réalité tirées de ce reportage de la TV officielle du Tigré. De son côté, le gouvernement central dément avoir mené des frappes contre des infrastructures civiles, affirmant n’avoir pris pour cible que des positions militaires aux abords de Mekele.

D’après nos investigations, rien ne nous a permis d’identifier des positions militaires proches de là où ont été effectuées les frappes du gouvernement central. 

Ce dernier, poussé par une série de victoires face aux séparatistes du TPLF, l’a annoncé : l’attaque de Mekele est imminente. 


Thomas Eydoux est Journaliste indépendant, TV et presse écrite. Intéressé par les sujets de défense, sécurité et aéronautique. Après deux ans de contrat pro chez BFMTV, il travaille régulièrement avec eux, BFM Paris, Slate et OpenFacto. Membre de l’Association des journalistes de défense (AJD), passé par de la PQR, de la radio locale, télévision locale et boîte de production, il possède de solides compétences en OSINT (Open Source Intelligence).

Elie Guckert est un journaliste formé à l’école de la radio et du numérique et adopté par la presse écrite. Féru d’enquêtes, de reportages de terrain, et d’outils numériques, passionné par l’actualité internationale et géopolitique, avec une spécialisation sur la Syrie, le terrorisme et le monde de la Défense. Curieux des nouvelles formes de journalisme, en particulier l’open source intelligence. Il est un collaborateur régulier d’OpenFacto.

Shodan utilise un hébergeur Bulletproof (mais pas uniquement)

Shodan utilise un hébergeur Bulletproof (mais pas uniquement)

Introduction

Dans « Le virus du télétravail« , nous présentions le fonctionnement de l’outil Shodan. Pour peu que lecteur n’ait pas connaissance de cet outil, nous l’invitons à se reporter à la lecture de cet article.

Le présent article va s’attacher à quelques recherches sur les hébergeurs utilisés par Shodan. Via l’utilisation conjointe des outils AbuseIPDB, DNSdumpster, Scamanalytics et SecurityTrails, il permettra de mettre en lumière certains fonctionnements inhérents au service, et éventuellement quelques une de ses contradictions.

Recherche de sous-domaines

Il existe de multiples moteurs de recherche dédiés aux noms de domaines. Tous ne donnent pas nécessairement les mêmes résultats. Il convient alors d’en utiliser plusieurs en même temps, de sorte que les résultats obtenus soient à même de se recouper, mais aussi de se compléter. La tâche de l’analyste OSINT est grandement facilitée via des outils comme Intelx, qui permet de lancer une recherche sur 27 sites différents, avec autant d’onglets qui s’ouvrent dans le navigateur.

Dans le cas qui nous intéresse, nous avons choisi de nous limiter à l’utilisation de SecurityTrails, car ses résultats sont présentés de manière pertinente (via des colonnes « Domain » et « Hosting Provider ») et surtout, on a accès gratuitement à leur intégralité. Pour Shodan, les résultats sont ainsi disponibles via le lien https://securitytrails.com/list/apex_domain/shodan.io.

Parmi les résultats, on remarque que certains sous-domaines sont hébergés chez IP Volume Inc, présenté dans l’article OpenFacto « Enquête sur un hébergeur en dessous de tout soupçon », et connu pour être un hébergeur Bulletproof :

census.shodan.io

On remarque ci-dessus que tous les sous-domaines hébergés chez IP Volume Inc se rattachant à census.shodan.io. Par curiosité, nous souhaiterions maintenant obtenir l’intégralité des adresses IP se rattachant à ce sous-domaine : peut être ont elles la même finalité, qui sait ? Via une recherche sur SecurityTrails, on ne trouve rien de plus. Qu’à cela ne tienne ! Essayons sur DNSdumpster :

Un peu de tri

A l’exception des adresses mentionnant explicitement le domaine shodan.io en sous-titre (comme 216.117.2.180, qui ne semble être qu’une page d’affichage comme l’atteste https://urlscan.io/ip/216.117.2.180), on procède à des recherches sur AbuseIPDB :

Les recherches sur AbuseIPDB ne prétendent pas à l’exhaustivité mais il apparaît que les adresses IP trouvées sont très actives. Qu’en est il du niveau de confiance des hébergeurs ? Scamanalytics est à même de nous donner un ordre d’idées :

Éléments de conclusion

Shodan a recours aux services de IP Volume Inc mais a également recours aux services d’autres hébergeurs qui apparaissent à priori plus standards.

Si le lecteur se réfère aux logs AbuseIPDB, il verra que les services de Shodan sont par nature très intrusifs :

  • https://www.abuseipdb.com/check/185.142.236.34
  • https://www.abuseipdb.com/check/89.248.167.131
  • https://www.abuseipdb.com/check/71.6.199.23

De ce fait, tout du moins en se basant dans une optique pratico-pratique, le recours à des hébergeurs Bulletproof apparaît comme tout à fait logique. En effet, ces hébergeurs sont peu regardants sur la nature de ce qu’ils hébergent, et leurs services « abuse », pour peu qu’ils soient sollicités, ne sont pas nécessairement réactifs, à juste titre, car la capacité intrusive est un des socles de Shodan.

Quant aux questions d’éthique et de probité liées au recours à un hébergeur Bulletproof, ce n’est pas l’objectif de cet article et nous laisserons le lecteur seul juge.

Le pivot est dans la boîte

Le pivot est dans la boîte

Introduction

Par le biais de deux exemples choisis en connaissance de cause, nous nous proposons d’explorer les vertus du pivot basé sur des adresses de boîtes postales, le tout simplement renseigné dans un basique moteur de recherche. On pourra alors s’apercevoir combien la puissance de l’OSINT réside parfois dans le choix des pivots, et pas uniquement dans la combinaison de ces derniers.

Point de départ

Un repérage sur le célèbre site HelloAsso nous permet de découvrir les activités de l’association Entraide Solidarité Europe (https://www.helloasso.com/associations/entraide-solidarite-europe-ese), ainsi que son adresse de boîte postale:

Au premier regard, tout semble normal : de l’entraide, et de la solidarité …

Et des courriers jusqu’aux plus hautes instances de l’Etat !

Quand on commence à creuser …

… on retrouve la même adresse de boîte postale, mais associée à un certain « Comité d’Entraide aux Prisonniers Européens »

Après quelques recherches, on retrouve même l’adresse du site web de ce CEPE, certes fermé, mais avec quelques traces sur Wayback Machine :

https://web.archive.org/web/20060819073315/http://www.cepe-liberte.com:80/AppelLajoye.pdf

Le document en question est un appel à la libération de Michel Lajoye, un militant français d’extrême droite emprisonné pour un attentat à la bombe dans un café arabe du Petit-Quevilly commis en 1987 (https://fr.wikipedia.org/wiki/Michel_Lajoye). On retrouve dans ce document toujours la même boîte postale, cette fois ci doublement nommée ESE/CEPE, ainsi que la liste des premiers signataires de l’appel :

On notera qu’une recherche sur le nom de domaine entraide-solidarite.com nous permet de retrouver un des signataires de l’appel :

Solidarité et soirées de soutien

L’action solidaire repose aussi parfois sur l’action collective. Ainsi, dans Rivarol n°2888 (16/1/2009, https://pdfslide.net/documents/28685486-rivarol-2888.html) le CEPE s’efforce de promouvoir son action à travers des soirées de soutien :

Cependant, lors de l’annonce d’une soirée, il convient de mentionner l’adresse exacte, ce genre d’erreur pouvant être source de désagréments :

Comme une apparition …

Au gré de nos recherches sur le CEPE, une nouvelle boîte postale apparaît :

Telle le petit Poucet, cette nouvelle boîte postale nous amène de multiples petits cailloux :

Pour mémoire, l’article suivant rappellera au lecteur l’histoire associée à Unité Radicale :

https://www.liberation.fr/evenement/2003/07/14/unite-radicale-rebaptisee-mais-toujours-haineuse_439662

On retrouve également l’adresse postale sur un historique d’enregistrement(s) pour un nom de domaine :

Le site association-sdf est clôturé mais il en reste quelques traces sur archive.org :

https://web.archive.org/web/20041217083131/http://www.association-sdf.com/pourquoi.html

En guise de conclusion

Dans ses filets, le travail sur ces deux boîtes postales de Nice et Nîmes a pu drainer de multiples personnes et différents groupuscules et organisation. Arguer que l’ensemble de ces intervenants est lié entre eux n’est bien évidemment pas suffisant. Pour peu que l’on souhait pousser les investigations de cet article plus loin, il importera de se doter de multiples sources permettant de corroborer ces premières recherches.

Dans tous les cas, à travers les exemples qui ont servi de base à cet article, on pourra retenir que l’OSINT peut très bien s’incarner de manière forte à travers des objets aussi peu techniques qu’une adresse de boîte postale.

Atelier – Exposing the Invisible / Exposer l’Invisible  – Rennes – 10/12 février 2020

Atelier – Exposing the Invisible / Exposer l’Invisible – Rennes – 10/12 février 2020

Exposing The Invisible

Les 10, 11 et 12 février 2020 s’est déroulé à Rennes (35), l’atelier « Exposer l’invisible » , organisé par Tactical Tech, et animé par Xavier Coadic. Cet atelier posait les bonnes questions : si l’investigation fait de plus en plus partie de notre quotidien, comment collecter et utiliser nos recherches afin de les diffuser et/ou stocker en laissant la moindre trace possible ? Qu’est ce qui constitue une bonne preuve ? Quels sont les éléments les plus importants pour mettre en place une bonne enquête ?
Cet atelier destiné à tous publics, se proposait donc de faire découvrir une collection de ressources collaboratives accessibles à toutes personnes intéressées par la collecte de preuves ou l’utilisation d’investigations comme forme d’engagement civique.

Sandy, adhérente à Open Facto, a pu participer à cet évènement et approfondir beaucoup de choses : les outils, la sécurité, la notion d’investigation…
Parmi ces outils, et outre les classiques GoogleDorks et HIBP, on signalera tout particulièrement :

  • ad.watch, qui propose de suivre l’activité de publicité des partis politiques sur les réseaux sociaux, y compris pour la France,
  • Nitter, une interface d’un nouveau genre pour Twitter, dont le code source est disponible sur Github, permettant de manipuler ce réseau social sans traqueurs publicitaire ni limitation d’API.
    Il est par exemple possible avec Nitter de consulter les médias d’un compte sans se connecter…

Au delà de ces outils de recherches, et pour élargir le panel bien au-delà des simples outils de recherche et de consultation en ligne, les participants ont pu découvrir Tails, la distribution linux bootable, qui est devenue sa meilleure amie durant cet atelier : découverte du concept de sécurité, et de la possibilité de se créer sa propre clé USB, permettant une mobilité et une flexibilité importante.

Pas forcément facile à apprivoiser tout de suite pour quelqu’un habitué à l’environnement Windows, l’accompagnement pédagogique de Xavier a permis une belle progression tout en douceur pour Sandy!

Les fondamentaux de l’utilisation des coffres fort à mots de passe, du chiffrements de disques  et de la bio-investigation ont bien évidemment été abordés!

On dit souvent qu’en matière d’OSINT, la collaboration est la clef, et pour le coup, la grande participation collective, tenant également au choix judicieux des lieux utilisés (cafés et différents lieux à l’extérieur, afin de sortir d’un cadre de type « réunion/formation »…)  a permis le bon déroulement de l’atelier.
Tous les participants ont pu échanger librement leurs idées, leurs compétences, leurs polyvalences et prendre le temps de s’aider. Un kit a été transmis à tous les acteurs de ce workshop.
Trois jours de bonnes surprises, avec une grande investigation sur le terrain afin de se rendre au plus près de l’invisible et d’en ressortir un nombre important d’éléments que l’on ne soupçonne pas à portée de notre main.

Débutants ou confirmés, n’hésitez jamais à participer à ce genre d’évènements et de formations très pratiques!!

Un grand merci à Xavier, un maître enquêteur! 😉