La détection de la désinformation sans coder

La détection de la désinformation sans coder

Lors de la préparation d’un atelier, on s’est demandé s’il fallait absolument savoir coder ou utiliser des outils un peu compliqués à manipuler  pour détecter et visualiser une campagne de désinformation ou misinformation. Ou bien est-il possible de la détecter et cartographier rapidement avec un peu de méthode et quelques clics? Tentative d’oulipo numérique pour lequel on a banni les mots python et Gephi du billet.

Donald Trump Says "Fake News" - Compilation - YouTube
Avouez qu’on ne fait pas meilleur mannequin pour memes viraux

Cadrer l’étude de la campagne avec le AMITT Framework

On aime assez l’approche de COGSEC Collaborative – pour Cognitive Security – une ONG qui s’est donnée pour mission de mettre dans la même pièce des analystes en sécurité informatique, des scientifiques big data et des experts du domaine pour approcher les campagnes de désinformation comme des attaques informatiques et y appliquer la même analyse pour définir des contre-mesures. Ils se sont donc inspirés d’un cadre de modélisation des procédés d’intrusion dans un système informatique – le MITRE ATT&CK framework

Le AMITT Framework pour Adversarial Misinformation and Influence Tactics and Techniques est donc un cadre d’analyse pour décrire et comprendre les “incidents” de désinformation (pour reprendre la terminologie de sécurité informatique).   Il est intéressant de noter que l’analyste va détecter la campagne par les artifices mis en place dans le cadre de la désinformation: comptes Facebook, faux sites, memes pour remonter jusqu’à la détection d’une véritable campagne mise en oeuvre. 

@COGSEC Collaborative

Cette modélisation permet de décrire de manière systématique et organisée une campagne de désinformation ou de contre-mesures mais aussi de cadre sa recherche sur la base de douze catégories décrites ici.

COGSEC Collaborative propose un module interactif en ligne qui permet de rapidement ajouter la technique utilisée dans la campagne étudiée. Utiles les onze premières catégories (la dernière correspond à l’évaluation de la campagne) fonctionnent un peu comme une check-list des grands axes à investiguer. Comme l’observateur détecte la campagne de désinformation d’abord par sa rencontre avec des artéfacts visibles, on débutera par la droite de la matrice.

Go physical – la partie visible et extrême de l’iceberg

La manifestation physique d’une campagne de désinformation est pour le moment assez rare – quoi que – et consiste en un résultat dans le monde physique incité en ligne: organisation de manifestation ou regroupement, vente/achat de produits dérivés ou encore organisation de fausses missions d’observation électorale. Ici l’idée consiste à établir un lien entre l’événement physique et une origine numérique. Un monitoring live des événements sur un Tweetdeck et à une recherche des groupes appelant à aller manifester par exemple permet de spotter des indicateurs d’une campagne potentielle comme un hashtag, des comptes « porte parole« , des communautés et du contenus image et narratifs.

Exposure – le défi du plus grand nombre

Voir et revoir la même histoire sur plusieurs réseaux sociaux fait partie de la phase d’amplification de la campagne de désinformation. Plusieurs outils en ligne permettent d’appréhender le niveau d’amplification d’une campagne potentielle.

GetdayTrend permet de détecter les tendances virales mondialement ou par pays en se basant sur la popularité des hashtags. L’outil permet un coup d’oeil rapide et une recherche par période temporelle.

Hoaxy permet de visualiser les différentes communautés sur Twitter autour d’un hashtag et d’identifier des bots potentiels avec le code couleur proposé par l’outil.

Telegram Analytics offre des beaux graph sur le volume de messages comprenant la mention d’un mot clef.

Et de manière plus simple, voir le nombre de groupes ou pages créés sur Facebook, l’existence de channels Telegram dédiés ou la prévalence d’un hashtag sur instagram ou une simple recherche google avec une mention différenciant donne une bonne indication de l’amplitude de la campagne. Nous n’avons pas connaissance néanmoins d’un outil permettant d’identifier globalement la première mention d’un message servant d’inoculation à la campagne.

Channel selection – faire l’état des lieux de la propagation de la campagne

Manuellement on pourra établir la présence de la campagne sur différentes plateformes et sites internet en recherchant chacune des plateformes. Crowd Tangle propose une extension sur Chrome permettant de suivre la propagation d’une url sur les réseaux sociaux appartenant à Facebook.

Develop content – détecter les messages de la campagne et leurs formes

Rien ne vaut un bon feuillet excel pour cartographier l’ensemble des narratifs – les grands thèmes – d’une campagne de désinformation en fonction des plateformes sur lesquelles la campagne se déroule. Cela permet notamment d’identifier parfois des différences de stratégies entre les thématiques poussées sur un Télégram versus un Facebook. En plus des thématiques, il est intéressant de détecter les images, vidéo, memes utilisés et poussés notamment avec la fonction reverse image.

Develop network où comprendre comment l’information voyage

La difficulté dans l’analyse d’une campagne de désinformation est d’établir des liens entre des plateformes ou des éléments qui donnent l’impression d’être différents. Essayer de trouver des points communs entre plusieurs sites internets passe par l’étude préliminaire de tout un tas d’éléments:

  • l’étude qualitative du design d’un site internet et de son contenu permet d’établir parfois des hypothèses ou rebondir
  • L’étude du nom de domaine via un site comme ici ou
  • un outil comme spyonweb permet de lier les sites internet gérés par une même personne par leur code Google Analytics que l’on trouve dans le code source de la page en faisant un click droit et en cherchant le format « UA-xxxx » .

Develop People – est-ce que cette personne existe?

Les conversations et les messages sont poussés par des comptes qui sont les pivots de la campagne de désinformation: influenceurs conscients ou cyber robots? Ils sont au coeur des nodes de communication identifiés plus haut. Il est de plus en plus difficile de déterminer s’il s’agit de comptes réels, de comptes volés, de faux comptes animés par des humains ou de comptes automatisés.

En plus de l’observation précise de ces comptes d’intérêt quand ils sont sur des plateformes comme Facebook, Linkedin ou VK, des outils aident à la détection des comptes automatisés sur Twitter.

Botsentinel permet de donner un score à un compte pour identifier les bots: attention ce n’est pas infaillible.

Accountanalysis fait une analyse de l’activité du compte en question:

Les objectifs – le temps de l’analyse

Une fois tout ce travail effectué, le meilleur outil à disposition reste votre tête afin de mettre en musique l’ensemble des résultats trouvés lors des recherches pour essayer de comprendre le grand dessein d’une campagne de désinformation et son organisation.

Le temps et la capacité de traiter et représenter manuellement un très large volume de données pour y trouver des informations et des récurrences semblent être les limites franches de cet oulipo numérique. Néanmoins la méthode et les outils proposés permettent de déterminer s’il y a matière à creuser plus et d’informer les décideurs de l’existence d’une campagne. Utilisant les bonnes pratiques de la sécurité informatique, COGSEC propose d’ailleurs un modèle de contre-mesures pour répondre à ces événements.

OpenFacto invité du podcast Signal sur Bruit

OpenFacto invité du podcast Signal sur Bruit

Signal sur bruit est le podcast du Centre de documentation de l’École militaire. Pédagogique et de format court, il se veut support de son action culturelle. Il concourt à la valorisation de la recherche dans les thématiques du CDEM (relations internationales, stratégie, histoire militaire…).

Anaïs Meunier a invité l’association OpenFacto à son micro pour parler des différentes facettes de la recherche d’information en sources ouvertes : droit, archivage, méthodologie, etc. tout en laissant le temps à Hervé de présenter l’association, ses projets et sa philosophie.

Episode 1/2

Episode 2/2

A Mekele, le régime éthiopien frappe aveuglément

A Mekele, le régime éthiopien frappe aveuglément

Par Thomas Eydoux et Elie Guckert

Sans faire la une des journaux occidentaux, l’Éthiopie a basculé dans la guerre civile. Le régime, mené par le premier ministre Abiy Ahmed Ali, tente de mater les séparatistes de la région du Tigré, au nord du pays. Sa capitale, Mekele, a été frappée le 16 et 19 novembre 2020. 

Sans électricité depuis plusieurs jours, peu de photos et de vidéos émergent de la région séparatiste du nord du pays. Sur les affrontements entre les militaires du TPLF (Tigray People’s Liberation Front) et les soldats du régime, presque rien. Pourtant, les combats sont violents. Depuis le début du mois de novembre, le gouvernement d’Abiy Ahmed Ali a lancé une offensive contre la région du Tigré, dont les leaders sont depuis longtemps opposés à un pouvoir unifié et centralisé. Après que les dirigeants du Tigré ont organisé des élections sans l’accord du gouvernement, le premier ministre, prix nobel de la Paix en 2019 pour ses actions ayant conduit à la résolution du conflit entre l’Éthiopie et l’Érythrée, a fait le choix de la guerre. 

Malgré le black-out, des documents ont commencé à émerger sur les réseaux sociaux. Plusieurs d’entre eux font état d’au moins une frappe aérienne sur Mekele, la capitale de la région séparatiste du nord du pays. A l’aide d’outils de géolocalisation, Open Facto est en mesure d’authentifier ces frappes. 

Au moins une frappe aux alentours d’un stade

Le 16 novembre, plusieurs vidéos sont publiées par différents médias : certaines montrent un avion qui survole la ville, tandis que l’on peut voir sur d’autres un épais nuage de poussière qui s’élève du sol.

Cette vidéo est l’une des premières qui a été publiée parmi celles qui vont être étudiées dans cet article. C’est la branche en Amharique du média DW qui la dévoile sur Twitter. Si, à première vue, elle ne montre pas grand chose, on peut tout de même apercevoir un avion de combat, qui survole à basse altitude la ville de Mekele, d’après DW. Le tweet indique la date du 7 novembre 2013, mais attention : le calendrier n’est pas le même en éthiopie. Après conversion, nous retombons bien sur le 16 novembre 2020. Grâce à un arrêt sur image, nous pouvons apercevoir un appareil, sans pour autant formellement l’identifier. En faisant la comparaison avec ceux dont dispose l’armée de l’air éthiopienne, il est néanmoins probable que ce soit un MIG-23 ou un SU-25.  

Sur cette autre vidéo , publiée sur Facebook par la BBC en fin de matinée le lundi 16 novembre, on peut également voir, très furtivement, un avion de combat opérant à basse altitude. Si là encore la résolution est très faible, la forme aplatie et allongée de l’appareil laisse penser qu’il s’agit cette fois-ci d’un MIG-23. D’après la BBC, cet avion aurait frappé aux alentours de midi près d’un stade.

Toujours le 16 novembre, la version Amahrique de la BBC publie également un article qui relate une frappe aérienne sur les faubourgs de Mekele. La vidéo de survol de l’avion y est reprise. En fin d’article, une autre photo est diffusée, où l’on distingue un mélange de fumée et de poussière qui se détache nettement du sol. Le résultat d’une frappe aérienne, selon le média britannique. Quatre éléments distincts nous permettent de localiser cette photo. Chacun d’entre eux s’est vu attribuer un code couleur particulier, qui va de nouveau servir sur d’autres photos.

Après quelques recherches sur Google Earth, nous avons pu recroiser les éléments présents sur la photo avec des bâtiments visibles par satellite. 

Cette première frappe peut donc être localisée près du stade universitaire de Mekele, légèrement à l’extérieur de la ville, au sud-est. 

Christiaan Triebert, journaliste du New York Times spécialisé en OSInt  a également publié une photo de VOA. Là encore, un épais nuage de poussière s’élève au-dessus de Mekele. Impossible d’affirmer avec certitude si les deux photos ont été prises lors d’une seule et même frappe. Deux éléments attirent l’attention : l’antenne rouge et blanche (entourée en jaune) et la grande croix qui surplombe la ville, un peu plus au nord (entourée de violet).  

Toujours en arrière-plan, nous retrouvons le stade situé au sud-est de la capitale du Tigré. Deux autres grands bâtiments sont présents, et ressortent par leur grande taille. 

A Mekele, les vues Google Street sont rares, l’une d’entre elle va malgré tout être utile. Prise en panoramique et depuis la hauteur, nous retrouvons bien les deux bâtiments cerclés en blanc et noir. 

La photo a été prise en 2018, mais les points de similitudes sont là.

Sur Twitter, plusieurs photos ont été publiées : elles montrent un cratère, béant entouré par des civils éberlués.. 

L’Université prise pour cible ?

Le 19 novembre, un représentant de l’université de Mekele affirme à l’agence Associated Press que son établissement aurait été la cible d’une frappe aérienne, un humanitaire affirme la même chose à CNN, qui parle également d’une frappe aérienne ayant frappé les environs d’une église. D’après le TPLF, cité par Reuters, la frappe sur l’université de Mekele aurait blessé de nombreux étudiants, sans avancer de chiffre précis.

Des photos présentant ce qui serait les conséquences de ces frappes ont émergé sur les réseaux sociaux et montrent plusieurs blessés pris en charge par les secours. Elles sont en réalité tirées de ce reportage de la TV officielle du Tigré. De son côté, le gouvernement central dément avoir mené des frappes contre des infrastructures civiles, affirmant n’avoir pris pour cible que des positions militaires aux abords de Mekele.

D’après nos investigations, rien ne nous a permis d’identifier des positions militaires proches de là où ont été effectuées les frappes du gouvernement central. 

Ce dernier, poussé par une série de victoires face aux séparatistes du TPLF, l’a annoncé : l’attaque de Mekele est imminente. 


Thomas Eydoux est Journaliste indépendant, TV et presse écrite. Intéressé par les sujets de défense, sécurité et aéronautique. Après deux ans de contrat pro chez BFMTV, il travaille régulièrement avec eux, BFM Paris, Slate et OpenFacto. Membre de l’Association des journalistes de défense (AJD), passé par de la PQR, de la radio locale, télévision locale et boîte de production, il possède de solides compétences en OSINT (Open Source Intelligence).

Elie Guckert est un journaliste formé à l’école de la radio et du numérique et adopté par la presse écrite. Féru d’enquêtes, de reportages de terrain, et d’outils numériques, passionné par l’actualité internationale et géopolitique, avec une spécialisation sur la Syrie, le terrorisme et le monde de la Défense. Curieux des nouvelles formes de journalisme, en particulier l’open source intelligence. Il est un collaborateur régulier d’OpenFacto.

Shodan utilise un hébergeur Bulletproof (mais pas uniquement)

Shodan utilise un hébergeur Bulletproof (mais pas uniquement)

Introduction

Dans « Le virus du télétravail« , nous présentions le fonctionnement de l’outil Shodan. Pour peu que lecteur n’ait pas connaissance de cet outil, nous l’invitons à se reporter à la lecture de cet article.

Le présent article va s’attacher à quelques recherches sur les hébergeurs utilisés par Shodan. Via l’utilisation conjointe des outils AbuseIPDB, DNSdumpster, Scamanalytics et SecurityTrails, il permettra de mettre en lumière certains fonctionnements inhérents au service, et éventuellement quelques une de ses contradictions.

Recherche de sous-domaines

Il existe de multiples moteurs de recherche dédiés aux noms de domaines. Tous ne donnent pas nécessairement les mêmes résultats. Il convient alors d’en utiliser plusieurs en même temps, de sorte que les résultats obtenus soient à même de se recouper, mais aussi de se compléter. La tâche de l’analyste OSINT est grandement facilitée via des outils comme Intelx, qui permet de lancer une recherche sur 27 sites différents, avec autant d’onglets qui s’ouvrent dans le navigateur.

Dans le cas qui nous intéresse, nous avons choisi de nous limiter à l’utilisation de SecurityTrails, car ses résultats sont présentés de manière pertinente (via des colonnes « Domain » et « Hosting Provider ») et surtout, on a accès gratuitement à leur intégralité. Pour Shodan, les résultats sont ainsi disponibles via le lien https://securitytrails.com/list/apex_domain/shodan.io.

Parmi les résultats, on remarque que certains sous-domaines sont hébergés chez IP Volume Inc, présenté dans l’article OpenFacto « Enquête sur un hébergeur en dessous de tout soupçon », et connu pour être un hébergeur Bulletproof :

census.shodan.io

On remarque ci-dessus que tous les sous-domaines hébergés chez IP Volume Inc se rattachant à census.shodan.io. Par curiosité, nous souhaiterions maintenant obtenir l’intégralité des adresses IP se rattachant à ce sous-domaine : peut être ont elles la même finalité, qui sait ? Via une recherche sur SecurityTrails, on ne trouve rien de plus. Qu’à cela ne tienne ! Essayons sur DNSdumpster :

Un peu de tri

A l’exception des adresses mentionnant explicitement le domaine shodan.io en sous-titre (comme 216.117.2.180, qui ne semble être qu’une page d’affichage comme l’atteste https://urlscan.io/ip/216.117.2.180), on procède à des recherches sur AbuseIPDB :

Les recherches sur AbuseIPDB ne prétendent pas à l’exhaustivité mais il apparaît que les adresses IP trouvées sont très actives. Qu’en est il du niveau de confiance des hébergeurs ? Scamanalytics est à même de nous donner un ordre d’idées :

Éléments de conclusion

Shodan a recours aux services de IP Volume Inc mais a également recours aux services d’autres hébergeurs qui apparaissent à priori plus standards.

Si le lecteur se réfère aux logs AbuseIPDB, il verra que les services de Shodan sont par nature très intrusifs :

  • https://www.abuseipdb.com/check/185.142.236.34
  • https://www.abuseipdb.com/check/89.248.167.131
  • https://www.abuseipdb.com/check/71.6.199.23

De ce fait, tout du moins en se basant dans une optique pratico-pratique, le recours à des hébergeurs Bulletproof apparaît comme tout à fait logique. En effet, ces hébergeurs sont peu regardants sur la nature de ce qu’ils hébergent, et leurs services « abuse », pour peu qu’ils soient sollicités, ne sont pas nécessairement réactifs, à juste titre, car la capacité intrusive est un des socles de Shodan.

Quant aux questions d’éthique et de probité liées au recours à un hébergeur Bulletproof, ce n’est pas l’objectif de cet article et nous laisserons le lecteur seul juge.

Le pivot est dans la boîte

Le pivot est dans la boîte

Introduction

Par le biais de deux exemples choisis en connaissance de cause, nous nous proposons d’explorer les vertus du pivot basé sur des adresses de boîtes postales, le tout simplement renseigné dans un basique moteur de recherche. On pourra alors s’apercevoir combien la puissance de l’OSINT réside parfois dans le choix des pivots, et pas uniquement dans la combinaison de ces derniers.

Point de départ

Un repérage sur le célèbre site HelloAsso nous permet de découvrir les activités de l’association Entraide Solidarité Europe (https://www.helloasso.com/associations/entraide-solidarite-europe-ese), ainsi que son adresse de boîte postale:

Au premier regard, tout semble normal : de l’entraide, et de la solidarité …

Et des courriers jusqu’aux plus hautes instances de l’Etat !

Quand on commence à creuser …

… on retrouve la même adresse de boîte postale, mais associée à un certain « Comité d’Entraide aux Prisonniers Européens »

Après quelques recherches, on retrouve même l’adresse du site web de ce CEPE, certes fermé, mais avec quelques traces sur Wayback Machine :

https://web.archive.org/web/20060819073315/http://www.cepe-liberte.com:80/AppelLajoye.pdf

Le document en question est un appel à la libération de Michel Lajoye, un militant français d’extrême droite emprisonné pour un attentat à la bombe dans un café arabe du Petit-Quevilly commis en 1987 (https://fr.wikipedia.org/wiki/Michel_Lajoye). On retrouve dans ce document toujours la même boîte postale, cette fois ci doublement nommée ESE/CEPE, ainsi que la liste des premiers signataires de l’appel :

On notera qu’une recherche sur le nom de domaine entraide-solidarite.com nous permet de retrouver un des signataires de l’appel :

Solidarité et soirées de soutien

L’action solidaire repose aussi parfois sur l’action collective. Ainsi, dans Rivarol n°2888 (16/1/2009, https://pdfslide.net/documents/28685486-rivarol-2888.html) le CEPE s’efforce de promouvoir son action à travers des soirées de soutien :

Cependant, lors de l’annonce d’une soirée, il convient de mentionner l’adresse exacte, ce genre d’erreur pouvant être source de désagréments :

Comme une apparition …

Au gré de nos recherches sur le CEPE, une nouvelle boîte postale apparaît :

Telle le petit Poucet, cette nouvelle boîte postale nous amène de multiples petits cailloux :

Pour mémoire, l’article suivant rappellera au lecteur l’histoire associée à Unité Radicale :

https://www.liberation.fr/evenement/2003/07/14/unite-radicale-rebaptisee-mais-toujours-haineuse_439662

On retrouve également l’adresse postale sur un historique d’enregistrement(s) pour un nom de domaine :

Le site association-sdf est clôturé mais il en reste quelques traces sur archive.org :

https://web.archive.org/web/20041217083131/http://www.association-sdf.com/pourquoi.html

En guise de conclusion

Dans ses filets, le travail sur ces deux boîtes postales de Nice et Nîmes a pu drainer de multiples personnes et différents groupuscules et organisation. Arguer que l’ensemble de ces intervenants est lié entre eux n’est bien évidemment pas suffisant. Pour peu que l’on souhait pousser les investigations de cet article plus loin, il importera de se doter de multiples sources permettant de corroborer ces premières recherches.

Dans tous les cas, à travers les exemples qui ont servi de base à cet article, on pourra retenir que l’OSINT peut très bien s’incarner de manière forte à travers des objets aussi peu techniques qu’une adresse de boîte postale.

Atelier – Exposing the Invisible / Exposer l’Invisible  – Rennes – 10/12 février 2020

Atelier – Exposing the Invisible / Exposer l’Invisible – Rennes – 10/12 février 2020

Exposing The Invisible

Les 10, 11 et 12 février 2020 s’est déroulé à Rennes (35), l’atelier « Exposer l’invisible » , organisé par Tactical Tech, et animé par Xavier Coadic. Cet atelier posait les bonnes questions : si l’investigation fait de plus en plus partie de notre quotidien, comment collecter et utiliser nos recherches afin de les diffuser et/ou stocker en laissant la moindre trace possible ? Qu’est ce qui constitue une bonne preuve ? Quels sont les éléments les plus importants pour mettre en place une bonne enquête ?
Cet atelier destiné à tous publics, se proposait donc de faire découvrir une collection de ressources collaboratives accessibles à toutes personnes intéressées par la collecte de preuves ou l’utilisation d’investigations comme forme d’engagement civique.

Sandy, adhérente à Open Facto, a pu participer à cet évènement et approfondir beaucoup de choses : les outils, la sécurité, la notion d’investigation…
Parmi ces outils, et outre les classiques GoogleDorks et HIBP, on signalera tout particulièrement :

  • ad.watch, qui propose de suivre l’activité de publicité des partis politiques sur les réseaux sociaux, y compris pour la France,
  • Nitter, une interface d’un nouveau genre pour Twitter, dont le code source est disponible sur Github, permettant de manipuler ce réseau social sans traqueurs publicitaire ni limitation d’API.
    Il est par exemple possible avec Nitter de consulter les médias d’un compte sans se connecter…

Au delà de ces outils de recherches, et pour élargir le panel bien au-delà des simples outils de recherche et de consultation en ligne, les participants ont pu découvrir Tails, la distribution linux bootable, qui est devenue sa meilleure amie durant cet atelier : découverte du concept de sécurité, et de la possibilité de se créer sa propre clé USB, permettant une mobilité et une flexibilité importante.

Pas forcément facile à apprivoiser tout de suite pour quelqu’un habitué à l’environnement Windows, l’accompagnement pédagogique de Xavier a permis une belle progression tout en douceur pour Sandy!

Les fondamentaux de l’utilisation des coffres fort à mots de passe, du chiffrements de disques  et de la bio-investigation ont bien évidemment été abordés!

On dit souvent qu’en matière d’OSINT, la collaboration est la clef, et pour le coup, la grande participation collective, tenant également au choix judicieux des lieux utilisés (cafés et différents lieux à l’extérieur, afin de sortir d’un cadre de type « réunion/formation »…)  a permis le bon déroulement de l’atelier.
Tous les participants ont pu échanger librement leurs idées, leurs compétences, leurs polyvalences et prendre le temps de s’aider. Un kit a été transmis à tous les acteurs de ce workshop.
Trois jours de bonnes surprises, avec une grande investigation sur le terrain afin de se rendre au plus près de l’invisible et d’en ressortir un nombre important d’éléments que l’on ne soupçonne pas à portée de notre main.

Débutants ou confirmés, n’hésitez jamais à participer à ce genre d’évènements et de formations très pratiques!!

Un grand merci à Xavier, un maître enquêteur! 😉