UNIT 68240, secretive Russian DARPA intelligence unit linked with Navalny kill squad was doing experiments with Ebola main Russian research lab

UNIT 68240, secretive Russian DARPA intelligence unit linked with Navalny kill squad was doing experiments with Ebola main Russian research lab

OpenFacto presents its latest report on a secretive FSB technical directorate and its affiliate directly linked with Navalny kill squad. This report can be downloaded here in English. Below we present the background at the origin of this report, our main findings and the methodology used.

DISCLAIMER – OpenFacto used open sources to reveal the other activities of the FSB unit allegedly involved in Alexey Navalny’s poisoning. There is no allegation vaccines approved by health authorities are part of a biological program.

Background – It all starts with an extensive work on Russian Ebola vaccine in Guinea

Following the latest Bellingcat’s article on Alexey Navalny Novichok Poisoning , Bellingcat and its partners uncovered data pointing to the existence of a clandestine chemical weapons program operated by members of Russia’s domestic intelligence services (FSB). The investigation reveals Navalny had for years been tailed by a team of operatives from a clandestine FSB unit referred to as FSB Criminalistics Institute, NII-2 (Research Institute – 2), or as Military Unit 34435. In Bellingcat’s article we learn that Kirill Vasilyev is Unit 34435 reporting directly to major-general Vladimir Bogdanov, former chief of the Criminalistics Institute and currently head of its parent entity, the FSB’s ‘Special Technology Center’ He is also deputy director of FSB’s powerful Scientific-Technical Service.

This center has another name OpenFacto and Youri van der Weide now affiliated with Bellingcat ran into some time ago on an investigation related to Ebola vaccines in Guinea by Emmanuel Freudhental : UNIT 68240. This unit appears to be the Russian equivalent of the American DARPA.

Main findings – A secretive intelligence FSB Technical Directorate linked to Navalny kill squad is researching and acquiring sensitive surveillance and cyber technologies and involved with Russian research centers specialized on rare and lethal diseases and biochemistry.

  • During the Ebola crisis in Guinea, Russia played an important rôle creating a new vaccine through an ecosystem of State research laboraty, including the 48th central research institute of the Russian Ministry of Defense.
  • The 48th Central Research Institute is specialized on rare and lethal pathogens like Marburg virus, MERS, anthrax or Ebola. It is a direct affiliate to the 33rd Central Research Institute, which developed novichok agents. Both institutes are now under US sanctions for likely conducting dedicated research for the Russian Biological Weapons Program.
  • Using freely available information from the Russian State Procurement Database, OpenFacto is able to link at the time the 48th Institute as a supplier of UNIT 68240, a secretive FSB military unit for a project code-named Toledo. The operational management of project Toledo has been delegated by UNIT 68240 to UNIT 34435. UNIT 34435 has been recently investigated by Bellingcat for its alleged role and involvement in Alexey Navalny’s poisoning.
  • Using open sources and based on a study of its procurement requests, OpenFacto is able to establish that UNIT 68240 is a technical niche R&D directorate with a broad research spectrum ranging from computer analytics, to ballistic, to biological/ chemical or electronics. UNIT 68240 supervizes at least three other units : UNIT 34435, UNIT 35533 and UNIT 44239.
  • Based on its procurement requests UNIT 34435 appears to have laboratory activities of various sorts. On a 2005 Executive Order, a formal collaboration is organized between UNIT 34435 with the 48th, 33rd and 27th Central Research Institutes specialized on rare and lethal pathogens. In addition to collaborating with the 48th Central Research Institute, it has links with the Institute for Problems of Chemical and Energy Technologies, Siberian Branch of the Russian Academy of Sciences, focusing on defense related research (biochemistry, biology and high energy).
  • UNIT 35533 appears to be specialized on technical communications, wireless networks, signal processing technology. It is involved in a case of export control investigation led by the FBI for purchasing covertly sensitive microelectronics from the US. UNIT 35533 has also acquired, tested and implemented SORM equipment, the Russian surveillance technology. It is also in relation with a private Russian company allegedly supplying offensive cyber solutions to Russian State clients.
  • UNIT 44239 seems to be dedicated to robotics and explosion related research with the procurement of pyrotechnics and collaboration with the Siberian Scientific Institute mentioned beforehand.

Methodology – A bit of luck, a lot of open source research and a good grip of the Russian procurement system

  • Some members of OpenFacto worked extensively two years ago with journalist Emmanuel Freudhental on the Russian presence in Guinea during the ebola crisis and their effort to create a vaccine : at the publication of Bellingcat’s article a postal address we had seen before caught our eyes and reminded us of a strange project. We started from this point
  • For this investigation we rely exclusively on open-source material that anyone can find online. There is no access to external sources neither access to leaked databases. Information are linked together and verified as much as possible. The limit to this work is its lack of insider information to confirm or highlight what remains hidden. This work can only raise the interest of other professional investigators to dig further.
  • We have mainly researched corporate registry databases, procurement databases, scientific journals, patent databases, court documents and local news.
  • As its corporate registry, the Russian state procurement system is a very transparent and process oriented. All state entities procuring any type of services or goods are inputing their orders into a centralized system which is available for consultation and keep tracks of tenders. Sometimes financial contracts and communications between the buyer and suppliers are uploaded which offer additional information. Technical proposals are not available online. Out of this official website, commercial websites have emerged to offer tenders tracking and suppliers analytics based on the official state procurement website. All these databases remain cumbersome to manipulate and require some degree of Russian proficiency.
Official Russian procurement database
  • In 2017/18 the sensitive procurement linked to the Defense sector started to migrate in a centralized manner onto another platform. This platform has not been explored during the investigation as it requires special access and is assumed to be heavily monitored.
Defense related governmental procurement database
UNIT 68240, secretive Russian DARPA intelligence unit linked with Navalny kill squad was doing experiments with Ebola main Russian research lab

L’unité 68240, une direction du renseignement secrète russe à la DARPA liée à la ‘kill team’ de Navalny faisait des expériences avec le principal laboratoire de recherche russe sur Ebola

OpenFacto présente son dernier rapport sur une direction technique et opérationnelle du FSB et ses sous-directions directement liées à la ‘kill team’ de Navalny. Ce rapport peut être téléchargé ici en anglais. Ci-dessous nous présentons le contexte à l’origine de ce rapport, nos principaux résultats et la méthodologie utilisée.

AVERTISSEMENT – OpenFacto a utilisé des sources ouvertes pour révéler les autres activités de l’unité du FSB prétendument impliquée dans l’empoisonnement d’Alexey Navalny. Il n’y a aucune allégation que les vaccins approuvés par les autorités sanitaires font partie d’un programme biologique.

Contexte – Tout débute avec un travail exhaustif sur le vaccin russe contre Ebola en Guinée

À la suite du dernier article de Bellingcat sur l’empoisonnement d’Alexey Navalny Novichok, Bellingcat et ses partenaires ont découvert des données indiquant l’existence d’un programme clandestin d’armes chimiques géré par des membres des services de renseignement intérieurs (FSB) de la Russie. L’enquête révèle que Navalny avait été suivi pendant des années par une équipe d’agents d’une unité clandestine du FSB dénommée FSB Criminalistics Institute, NII-2 (Research Institute – 2), ou unité militaire 34435. Dans l’article de Bellingcat, nous apprenons que Kirill Vasilyev est le directeur de l’Unité 34435 qui relève directement du général de division Vladimir Bogdanov, ancien chef de l’Institut de criminalistique et actuellement chef de son entité mère, le «Centre technologique spécial» du FSB. Il est également directeur adjoint du puissant service scientifique et technique du FSB.

Ce centre porte un autre nom auquel OpenFacto et Youri van der Weide désormais affilié à Bellingcat se sont heurtés il y a quelque temps sur une enquête liée aux vaccins Ebola en Guinée par Emmanuel Freudhental: UNIT 68240. Cette unité semble être l’équivalent russe de la DARPA américaine.

Résultats principaux – Une direction technique secrète du FSB liée à la ‘kill team’ de Navalny fait de la recherche et acquière des technologies de surveillance et cyber sensibles et a partagé à des projets avec des laboratoires de recherche russes spécialisés sur les maladies rares et dangereuses

  • Pendant la crise d’Ebola en Guinée, la Russie a joué un rôle important dans la création d’un nouveau vaccin grâce à un écosystème de laboratoires de recherche d’État, y compris le 48e institut central de recherche du ministère russe de la Défense.
  • Le 48e Institut central de recherche est spécialisé sur les agents pathogènes rares et mortels comme le virus de Marburg, le MERS, l’anthrax ou le virus Ebola. C’est une filiale directe du 33e Institut central de recherche, qui a développé des agents novichok. Les deux instituts font l’objet de sanctions américaines pour leurs liens probables avec le programme russe d’armes biologiques.
  • En utilisant des informations librement disponibles de la base de données des marchés publics de la Russie, OpenFacto est en mesure de relier à l’époque le 48e Institut en tant que fournisseur de l’UNITE 68240, une unité militaire du FSB pour un projet portant le nom de code Toledo. La gestion opérationnelle du projet Toledo a été déléguée par l’UNITÉ 68240 à l’UNITÉ 34435, précédemment examinée par Bellingcat pour son implication dans l’empoisonnement d’Alexey Navalny.
  • En utilisant des sources ouvertes et sur la base d’une étude de ses ordres d’achat, OpenFacto est en mesure d’établir que l’UNIT 68240 est une direction de R&D de niche avec un large spectre de recherche allant de l’analyse informatique, à la balistique, à la biologie / chimie ou électronique. L’UNITÉ 68240 supervise au moins trois autres unités: l’unité 34435, l’unité 35533 et l’unité 44239.
  • Sur la base de ses commandes publiques, l’UNITÉ 34435 semble avoir des activités de laboratoire de toutes sortes. Suite à un décret de 2005, une collaboration formelle est organisée entre l’UNITÉ 34435 et les 48e, 33e et 27e instituts centraux de recherche spécialisés sur les pathogènes rares et mortels. En plus de collaborer avec le 48e Institut central de recherche, l’unité a des liens avec l’Institut des problèmes des technologies chimiques et énergétiques, branche sibérienne de l’Académie des sciences de Russie, spécialisé sur la recherche liée à la défense (biochimie, biologie et haute énergie).
  • L’UNITÉ 35533 semble être spécialisée dans les communications techniques, les réseaux sans fil et la technologie de traitement du signal. Elle est impliquée dans une affaire d’enquête sur le contrôle des exportations menée par le FBI pour l’achat camouflé de microélectronique sensible aux États-Unis. L’UNITÉ 35533 a également acquis, testé et mis en œuvre des équipements SORM, la technologie de surveillance russe. Elle est également en relation avec une société privée russe qui fournirait des cyber-solutions offensives à des clients étatiques russes.
  • L’UNITÉ 44239 semble être dédiée à la robotique et à la recherche liée aux explosions avec l’achat de matériaux pyrotechniques via la collaboration avec l’Institut scientifique sibérien mentionné auparavant.

Méthodologie – Un peu de chance; beaucoup de recherches en source ouverte et une bonne compréhension de la plateforme des achats publics russes

  • Certains membres d’OpenFacto ont beaucoup travaillé il y a deux ans avec le journaliste Emmanuel Freudhental sur la présence russe en Guinée pendant la crise d’Ebola et leurs efforts pour créer un vaccin: lors de la publication de l’article de Bellingcat, une adresse postale que nous avions vue auparavant a attiré nos regards et nous a rappelé d’un projet étrange. Nous sommes partis de ce point
  • Pour cette enquête, nous nous appuyons exclusivement sur des informations open source que tout le monde peut trouver en ligne. Il n’y a pas d’accès à des sources externes ni d’accès aux bases de données leakées. Les informations sont reliées entre elles et vérifiées autant que possible. La limite de ce travail est son manque d’informations plus privilégiées pour confirmer ou mettre en évidence ce qui reste caché. Ce travail ne peut que susciter l’intérêt d’autres enquêteurs professionnels pour creuser davantage.
  • Nous avons principalement recherché dans les bases de données des registres du commerce, des bases de données sur les marchés publics, des revues scientifiques, des bases de données de brevets, des documents judiciaires et des médias locaux.
  • Comme le registre du commerce, le système des marchés publics russe est un système très transparent et organisé. Toutes les entités étatiques qui achètent n’importe quel type de services ou de biens saisissent leurs commandes dans un système centralisé qui est disponible pour consultation et assure le suivi des appels d’offres. Parfois, des contrats financiers et des communications entre l’acheteur et les fournisseurs sont disponibles en ligne offrant des informations supplémentaires. Les propositions techniques ne sont pas disponibles en ligne. À partir de la plateforme officielle, des sites Web commerciaux ont émergé pour offrir un suivi des appels d’offres et des analyses des fournisseurs basés sur la plateforme officielle des marchés publics. Toutes ces bases de données restent compliquées à manipuler et nécessitent un certain degré de maîtrise du russe.
Base de données officielle des marchés publics russes
  • En 2017/18, les achats sensibles liés au secteur de la Défense ont commencé à migrer de manière centralisée vers une autre plateforme. Cette plateforme n’a pas été explorée au cours de l’enquête car elle nécessite un accès spécial et est supposée être étroitement surveillée.
Base de données dédiée aux commandes du secteur de la défense russe
Codes OTAN et OSINT

Codes OTAN et OSINT

Frappe d’une cathédrale historique dans le Haut Karabakh: les biens culturels en temps de guerre

Le 8 Octobre dernier une charge non identifiée tombait sur la Cathédrale Saint-Sauveur Ghazanchetsots, dans la petite ville de Chouchi dans le Haut Karabakh. Très vieille cathédrale arménienne, elle est inscrite sur une liste indicative du patrimoine mondial de l’UNESCO.

source: Twitter

La frappe d’un bien culturel n’est pas anodine puisqu’elle est codifié par le droit international dans la Convention de La Haye à laquelle l’Azerbaïdjan et l’Arménie sont parties.

«Les atteintes portées aux biens culturels, à quelque peuple qu’ils appartiennent, constituent des atteintes au patrimoine culturel de l’humanité entière, étant donné que chaque peuple apporte sa contribution à la culture mondiale»

En 2017, l’ONU va plus loin et désigne comme crime de guerre certaines destructions de biens culturels.

«La destruction délibérée du patrimoine est un crime de guerre, avait alors déclaré Irina Bokova, directrice générale de l’Unesco. Elle est devenue une tactique de guerre pour mettre à mal les sociétés sur le long terme, dans une stratégie de nettoyage culturel. C’est la raison pour laquelle la défense du patrimoine culturel est bien plus qu’un enjeu culturel, c’est un impératif de sécurité, inséparable de la défense des vies humaines».

Alors, alors qui a ciblé la Cathédrale de Chouchi?

Très rapidement, la nouvelle est reportée par un collectif de presse pro-russe ANNA News via leur chaîne Telegram affirmant qu’il s’agit d’une arme de l’OTAN à cause des références notées sur l’étiquette d’un débris retrouvé dans la cathédrale et pris en photo.

source: Telegram

Cette pièce est identifiée par la communauté journalistique comme étant française grâce à son code de description, qui serait lié à un numéro de nomenclature OTAN.

Code OTAN et équipement

Le numéro de nomenclature OTAN (NNO) fait partie du système OTAN de codification. Ce numéro désigne un article, une pièce unique dont l’identité est fixée par ce numéro. Le numéro est émis par des pays, les bureaux nationaux de codification (BNC).

Une compréhension de la composition du numéro de nomenclature OTAN permet d’en tirer plusieurs informations.

Le NNO se compose de treize chiffres. Les quatre premiers constituent le code de classification de l’équipement (de quel type d’équipement s’agit-il) et correspondent à un catalogue. Les deux chiffres suivants font référence au bureau national de codification, c’est à dire le pays. Les derniers chiffres sont attribués par un ordinateur et n’ont pas de sens propre. Il est intéressant de noter que 14 correspond à la France.

Plusieurs bases de données existent pour checker les codes en question. Nous en avons testé deux: ISO Group et NSNCenter.

Un missile français naval au milieu des terres du Haut Karabakh?

Les journalistes ont utilisé l’une de ses bases de données pour entrer le code de description de la pièce. Sur NSNCenter, le code AO2825 mène bien sur une pièce utilisée dans le cadre militaire. D’après la base de données, il s’agirait d’un équipement faisant partie de la catégorie missile guidé. Cette catégorie semble confirmer parfaitement la compréhension des événements du 8 octobre.

La base de données permet de confirmer non seulement la catégorie mais également le pays d’origine et le fabricant. Dans ce cas il s’agirait de Naval Group (ex DCN).

source: NSN Center

C’est là que les choses se corsent puisque Naval Group est une société qui est spécialisée l’industrie navale de défense et les énergies marines renouvelables.

Attribution française écartée

Non seulement il est étonnant de trouver de l’armement de Naval Group en pleine terre, mais l’hypothèse d’un tir depuis la mer semble peu probable avec une distance de 243 km à vol d’oiseau entre la ville et les côtes.

On changerait alors totalement de catégorie et pourrait poser la question d’un missile balistique de courte portée. Or le seul produit développé par le groupe industriel naval est le missile de croisière naval fait pour atteindre des cibles terrestres depuis la mer. Mais cet engin de 7 mètres pesant 2 tonnes ne fait pas qu’un simple trou dans la toiture d’une cathédrale…..Cette hypothèse ne tient donc pas la route.

En revenant sur la base de données pour le numéro de nomenclature OTAN, on remarque que le code AO2825 n’est pas référencé de façon identique dans la barre de recherche et dans les résultats.

Dans la barre de recherche, nous avons bien la lettre A – lettre O – 28-25 alors que le résultat associé est lettre A – zéro – 28-25.

La recherche de AO2825 ne donne d’ailleurs rien dans l’autre base de données mentionnée plus haut – ISO Group.

Lettre A – Lettre O – 28 – 25

Mais l’autre combinaison renvoie sur Naval Group.

Lettre A – zéro – 28 – 25

Il y aurait eu donc un « glitch » dans la base de données utilisée par le journaliste qui l’aurait induit en erreur. Une recherche avec AC2825 n’est pas non plus concluante puisqu’il s’agit d’un ressort.

La frappe a donc peu de chance d’avoir été faite avec du matériel français et les codes qui apparaissent sur l’étiquette ne sont peut-être pas des numéros de nomenclature de l’OTAN mais de simples numéros de série de l’équipement. OpenFacto continue de travailler sur la reconstitution de cet événement et la caractérisation des dommages sur la cathédrale.

Y a plein de mails intéressants sur yopmail.com

Y a plein de mails intéressants sur yopmail.com

Introduction

http://www.yopmail.com/ est un service de messagerie électronique temporaire, gratuit, et ne nécessitant strictement aucun mot de passe. N’importe qui peut y accéder avec n’importe quel identifiant, lequel peut être soit généré aléatoirement, soit choisit par l’utilisateur lui-même. Le service permet principalement la réception de messages. L’envoi de messages n’est uniquement possible que d’une adresse YOPmail vers une autre.

Lorsqu’un identifiant est utilisé pour la toute première fois, l’utilisateur a accès à une interface sans le moindre message. Par contre, lorsqu’un identifiant a déjà été utilisé, l’utilisateur a accès à l’intégralité des messages déjà reçus à l’adresse concernée, mais utilisée par un tout autre utilisateur. C’est là que ce service va nous intéresser !

Dans cet article, nous nous proposons de procéder à une analyse de l’état de l’art OSINT quant aux possibilités de YOPmail.

Scraping

L’outil suivant offre des possibilités de scraping très intéressantes :

https://github.com/antham/yogo

Pour peu qu’un expéditeur revienne fréquemment dans la liste des messages récupérés d’un compte, il y a de fortes chances pour que celui-ci soit particulièrement intéressant. L’OSINTer n’ayant pas le goût de la programmation de scripts pourra même utiliser l’outil suivant à cet effet :

https://www.browserling.com/tools/word-frequency

Une adresse mail est souvent utilisée lorsqu’il s’agit de procéder à des notifications, que ce soit sur la supervision d’un serveur de production, ou tout simplement sur un réseau social ou sur un services de petites annonces (« vous avez un nouveau message », « vous avez un nouvel appartement correspondant à votre recherche », … etc).

De telles adresses YOPmail pourront alors être facilement extraites et mises en évidence en utilisant yogo. Un point de vigilance sera cependant à considérer : à partir du moment où yogo est utilisé en masse, les équipements de sécurité derrière le site de YOPmail finissent par interdire l’accès du poste informatique d’où le scraping est lancé. Il conviendra alors d’utiliser un VPN pour procéder aux requêtes (la base …), et surtout de changer régulièrement de proxy.

Avoir le bon mindset

Sur quels types de comptes va t il être pertinent de procéder à nos recherches ?

YOPmail est un outil particulièrement facile d’utilisation et ne nécessite aucun effort de créativité ou d’imagination. Contrairement aux services de messagerie classique, tous les identifiants imaginables et possibles peuvent être utilisés ! Alors, en toute logique, autant considérer en priorité ceux les plus simples, voire même les plus idiots, non ? Ainsi, on pourra considérer :

  • les onomatopées d’informaticiens en test : toto, titi, tata, tutu, test, …
  • les jurons et les grossièretés
  • les célébrités les plus standards (inspiration : « Arrêtez, arrêtez! Vous vous êtes trompé, c’est le président de la République!« , Coluche dans l’Aile ou la Cuisse)
  • les variations Goldberg sur un clavier d’ordinateur (azertyuiop et ses cousins)

On pourra cependant noter que des résultats intéressants existent avec des variantes autour de nepasrepondre/noreply/donotreply.

Pivots et en-têtes

YOPmail n’est pas totalement standard, à l’exception de la possibilité d’affichage des Headers d’un message :

AInsi, pour peu qu’un message apparaisse comme pertinent, on pourra procéder à des recherches supplémentaires, afin de déterminer d’où il a été envoyé.

Quand un administrateur système fait un test …

Il fait un test ! Ci-après, voici des traces logicielles d’erreur alertant quant à un mot de passe invalide :

Et parfois il se sent juste en verve par rapport à l’actualité :

Par acquis de conscience, et afin de prévenir tout faux positif, l’examen des en-têtes du mail de « Didier Raoult » nous permet bien de retrouver sur Shodan la machine à l’origine du message. Elle fait effectivement partie d’une banque :

C’est toto qui fait du phishing

Au gré de quelques recherches rapides, on découvre le message suivant semblant lié à une banque :

Bien évidemment, l’URL derrière « Mon pass-sécurité » ne correspond en rien à celle d’une banque. Via quelques recherches sur le moteur urlscan.io, on découvre que le domaine derrière cette URL pourrait héberger de multiples plateformes de phishing bancaire :

Le hacking sans avoir à hacker

Sur la base des règles de recherche de compte préétablies (pas d’imagination, pas de recherche, pas de créativité), on trouve également le mail suivant :

Un examen des en-têtes du message ainsi qu’une recherche IP inversée nous permettent bien d’attester que ce message provient de Twitter :

Le compte Twitter associé apparaît comme tout à fait valide. En initiant le process de réinitialisation de compte, on retrouve même l’adresse de messagerie apparaissant dans les en-têtes du mail :

L’adresse en question est une variante/redirection de yopmail.com : courriel.fr.nf. Là où bon nombre de sites empêchent une inscription utilisant yopmail.com, il apparaît que Twitter accepte les adresses utilisant ce nom de domaine alternatif.

Conclusion

Les trouvailles de cet article sont loin d’être exhaustives. A moyen et long terme, il pourrait être pertinent de procéder à une étude plus détaillée des possibilités offertes par YOPmail. Incontestablement, par le biais de quelques recherches au final pas si compliquées, les potentialités de nuisance associées à ce service de messagerie s’avèrent particulièrement nombreuses.

En terme de recherche en sources ouvertes, on remarquera qu’une fois de plus, la puissance et la pertinence d’une source de pivots comme YOPmail ne repose pas sur une grande technicité. Comme toujours, c’est l’analyste qui fait d’abord l’OSINT, et en aucun cas ses outils de travail.

En Biélorussie, la répression aux multiples visages

En Biélorussie, la répression aux multiples visages

par Antoine Hasday et Thomas Eydoux

“La dernière dictature d’Europe”: c’est à travers ce lieu commun journalistique que l’on entend le plus souvent parler de la Biélorussie, ou Belarus. Pays martyr de la Seconde Guerre mondiale, situé entre la Russie et la Pologne, il est rattaché à l’URSS au lendemain du conflit.

Après la chute du mur de Berlin, la Biélorussie accède à l’indépendance et à la démocratie le 27 juillet 1990. Quatre ans plus tard, le 10 juillet 1994, le député Alexandre Loukachenko est élu président au suffrage universel, porté par sa campagne anti-corruption. Souhaitant préserver un système économique à la soviétique, il rencontre de nombreuses difficultés, renforce la dépendance du pays vis-à-vis de la Russie et devient de plus en plus impopulaire. Loukachenko renforce son pouvoir personnel en 1996, et la Biélorussie bascule dans la dictature. L’homme est “réélu” en 2001, 2006, 2010, 2015, lors de scrutins condamnés comme frauduleux par la communauté internationale. Réprimant violemment toute opposition, le régime biélorusse fait aussi l’objet de sanctions.

En août dernier, Loukachenko est “réélu” pour la cinquième fois. Mais quelque chose a changé : de nombreux Biélorusses prennent la rue pour réclamer son départ, après 25 ans de dictature. Le régime réplique par la violence.

Dans les rues, la répression revêt différentes formes. Certaines unités sont en uniforme, facilement reconnaissables. D’autres cherchent à se fondre dans la masse et à éviter toute identification. Qui est responsable des violences du 1à août dernier?

Panorama des forces en présence

OMON, la force brute

Ce sont les policiers les plus visibles sur les photos et vidéos des manifestations. Ce sont les plus nombreux dans les rues. Les unités OMON (Otriad Mobilny Ossobogo Naznatchénia – détachement mobile à vocation spéciale) sont les forces spéciales de la police biélorusse. Chargés du maintien de l’ordre, ils sont généralement habillés en noir, avec casque, bouclier en métal et matraque.

Ils portent le plus souvent deux patchs distinctifs. Le premier est celui du Ministère de l’Intérieur biélorusse, le second est celui de leur unité. 

Les OMON utilisent des camions-cellules de la marque MAZ (MA3, en russe) pour détenir certains manifestants arrêtés.

Mais rapidement, avec des manifestations parfois plus éparses, la stratégie de ces unités évolue. D’un maintien de l’ordre “traditionnel” (rangs serrés, charges, canon à eau et gaz lacrymogène), certains policiers commencent à aller au contact des protestataires. Dès lors, les tenues sont allégées, mais les patchs sont toujours portés. 

Sur certaines vidéos, on les voit frapper violemment les manifestants, parfois à mains nues. 

A Minsk, les postes de polices sont nombreux. Des activistes ont d’ailleurs mis en ligne une carte qui les localise presque tous.

source

De petits hommes verts

Dans les rues de Minsk, plusieurs vidéos montrent des hommes cagoulés et habillés en treillis verts. Les premières vidéos émergent sur les réseaux sociaux à partir du 5 septembre. Ils ne portent aucun patch, mais emploient les mêmes méthodes violentes que les policiers OMON.

Néanmoins, certains d’entre eux sont équipés d’une caméra piéton DOZOR, fabriquée par TS-Market, une entreprise russe. C’est ce que remarque Georges Barros, dans sa veille pour l’Institute for the study of war (ISW). 

Elles sont clairement visibles sur ces vidéos, ici et ici

Les forces spéciales de l’intérieur biélorusses 

En plus des forces spéciales de police, le gouvernement de Loukachenko fait appel à des militaires du Ministère de l’Intérieur biélorusse (MVD).

Ceux présents à Minsk proviennent sûrement en majeure partie de l’unité 3214, décrite comme une des unités de la Garde des Forces Armées. L’unité 3214, la plus importante, et dont les baraquements sont situés au nord-est de Minsk, a reçu la visite d’Alexandre Loukachenko au moins une fois ces 3 derniers mois. La première fois le 28 juillet 2020, avant les élections. Une vidéo et des photos ont été prises à cette occasion. Lors de sa venue, un exercice presque grandeur nature s’est tenu. Des militaires chargés (en partie) du maintien de l’ordre ont dispersé de faux manifestants, avec des canons à eau et du gaz lacrymogène. 

Sur les clichés disponibles, les militaires sont facilement reconnaissables avec leurs treillis type multicam, qui dénotent face aux habits sombres des policiers OMON. Vidéo d’état

Trois éléments du décor permettent de confirmer que cette photo de la visite a été prise dans les baraquements de l’unité 3102 : l’auvent bleu à l’avant-plan ; le bâtiment en L au toit rouge au second plan, et la tour blanche à l’arrière-plan.

SOBR et SPBT, deux faces d’une même pièce

Ces deux unités dépendent elles aussi du Ministère de l’Intérieur.  La première, SOBR ( СОБР – Специальный Отряд Быстрого Реагирования, unité spéciale de réaction rapide) est chargée de l’anti-terrorisme et du grand banditisme. En raison de l’héritage de l’ex-URSS, l’influence de la Russie sur l’organisation de ses forces armées est importante. Equipés comme des forces spéciales occidentales modernes, les soldats SOBR sont difficilement identifiables d’autres unités spéciales de militaires. 

Sur Twitter, Rob Lee explique avoir vu des véhicules de type Tigr, un GAZ-2330 de conception russe, qui appartiennent sans doute aux unités SOBR, selon lui. Des blindés, que l’on retrouve également sur cette vidéo, datée du 10 août, diffusée par le média Nexta.  

Néanmoins, sur cette vidéo “semi-officielle” de ces soldats, il est clairement indiqué dans leur dos leur appartenance, avec les lettres СОБР patchées dans le dos de certains hommes. On remarque là encore un Tigr, dans une livrée camouflée cette fois-ci, à la différence du noir sombre aperçu dans les rues de Minsk le 10 août dernier. 

Les SOBR ne seraient pas les seules unités à avoir été déployés par le ministère de l’intérieur pour réprimer les manifestants. D’autres soldats, qui appartiennent cette fois-ci au SPBT (СПБТ – Специальное подразделение по борьбе с терроризмом, Unité spéciale de lutte contre le terrorisme), auraient été aperçus, toujours aux alentours du 10 août.  Les soldats du SPBT appartiennent à l’unité “Diamant”, “Алмаз” en russe. Sur l’une des vidéos où on les voit s’entraîner, filmés par une chaîne nationale, ils portent un patch “МВД” (MVD, le Ministère de l’intérieur biélorusse). Un patch qui va avoir son importance plus loin dans cet article.

Le média biélorusse Tut.by a diffusé une photo qui accompagnait un article le 11 août un peu avant 15 heures. Dessus, le journaliste affirme y voir des éléments SBPT. L’article, diffusé le 11 août après-midi, est illustré par une photo prise de nuit. On peut donc supposer sans trop se tromper qu’elle a été prise la veille, le 10 août au soir donc, le premier jour où ces unités (SOBR et SBPT) ont été aperçues.

Encore une fois, nous ne pouvons pas affirmer avec certitude que des soldats de cette unité se trouvaient à Minsk le soir du 10 août. 

Le KGB, ou plutôt le groupe Alpha

Toujours tributaire de l’URSS, la Biélorussie a conservé les unités du KGB. Mieux équipés que les forces de polices traditionnelles, et a priori mieux entraînés, les hommes du KGB sont chargés des missions les plus complexes. Anti-terrorisme, lutte contre le crime-organisé et le grand banditisme, opérations spéciales, le KGB doit intervenir lorsque la tâche est trop complexe pour les hommes du Ministère de l’intérieur. 

La proximité avec leur voisin russe est encore toujours d’actualité. Sur cette vidéo, on les voit s’entraîner avec les homologues russes du FSB. En Biélorussie, les membres du KGB font partie du groupe Alpha, avec un patch particulier. Ce sont eux qui ont arrêté certains membres du groupe Wagner le 29 juillet à Minsk, suspectés de vouloir déstabiliser les élections. Sur la vidéo de l’arrestation, diffusée par l’agence de presse russe Ruptly, on distingue durant quelques secondes l’équipement de l’un des membres du KGB. La ressemblance avec ceux vus à Minsk le 10 août est frappante. Bien que, encore une fois, il nous est impossible d’affirmer que ce sont bien eux. 

En résumé, les unités sont nombreuses et leurs missions sont différentes. Mais lorsque les manifestants biélorusses descendent dans la rue pour protester, aucune distinction : la répression se fait aveuglément. C’est particulièrement vrai après le 10 août (comme mentionné plus haut), jour à partir duquel les forces spéciales biélorusses sont visibles en action dans les rues de Minsk sur les photos et vidéos. En revanche, sur l’ensemble des images disponibles, qui prouvent leur présence, aucun élément ne permet de les différencier clairement (KGB, SOBR ou SPBT). Néanmoins, une chose est sûre, c’est que la tension est montée d’un cran ce jour-là. Un manifestant y a même perdu la vie.

Le Ministère de l’intérieur derrière le meurtre d’un manifestant ?

Dans une vidéo filmée par un habitant du quartier, on distingue un manifestant vêtu de blanc, Alexander Taraikovsky (34 ans) qui s’avance, mains levées, vers un cordon de forces de sécurité. Au moins un coup de feu est tiré dans sa direction : la flamme est visible sur la vidéo. Quelques instants plus tard, le manifestant s’effondre, mort.

Si, à première vue, le lieu semble difficile à identifier, plusieurs éléments disponibles en source ouverte nous ont permis d’authentifier la vidéo. 

Tout d’abord, nous avons consultés les clichés, pris de jours cette fois-ci, lors de la cérémonie d’hommage au manifestant tué se tenant le 13 août. Cet article, disponible sur internet, explique que l’hommage a eu lieu dans les environs de la station de métro de Pushkinskaya à Minsk. Là même où se manifestant serait mort. On y trouve un post Facebook de Dirk Schuebel, diplomate à la tête de la délégation de l’Union Européenne en Biélorussie. Comme expliqué, il s’y est rendu le 13 août, 3 jours après les faits. C’est via son compte Facebook que nous avons trouvé les premières photos de l’événement. 

En comparant la vue Google Maps et les photos diffusées par le diplomate, nous pouvons déjà trouver plusieurs points de comparaison, chacun étant entouré d’une couleur différente. En plus, le média lui-même a diffusé des clichés.

La particularité du site est sa forme géométrique, où chaque coin de la place est cerné par 4 bâtiments similaires (qui seraient les entrées du métro). Celui que nous avons entouré en rouge va s’avérer particulièrement important.

Sur d’autres photos de l’hommage que nous avons trouvé sur internet, nous avons pu remarquer l’enseigne d’un cinéma, entourée en blanc. 

Nous avons donc noté les éléments importants du lieu où a eu lieu l’hommage.

Revenons maintenant à la vidéo. Sur la première disponible, nous pouvons retrouver certains éléments, dont le bâtiment, entouré en rouge, ainsi que les deux panneaux qui lui sont proches.  Il est donc clair que la vidéo a été tournée à l’endroit même où a eu lieu la cérémonie d’hommage, là où est mort le manifestant.

Beaucoup de clichés pris cette nuit montrent des hommes des forces spéciales, dont les unités ont été décrites plus haut, qui sont présents sur la place. Une simple recherche d’image inversée via Yandex nous a permis d’en retrouver plusieurs – qui nous ont par ailleurs aidées lors de l’explication des différentes unités présentes). 

Sur la vidéo diffusée sur Twitter, la flamme visible d’un tir semble venir de l’avant-dernier policier en partant de la droite (entre 0’06 et 0’08). Sur ces captures d’écran, il semble qu’il vise, tire et abaisse ensuite son arme.

Une autre vidéo, diffusée par Euronews, a été prise derrière les policiers. On ne distingue pas les tirs mais on voit le deuxième policier en partant de la droite (la perspective est inversée) abaisser son fusil, puis la caméra se déplace sur le manifestant, mortellement blessé à l’abdomen, qui s’écroule quelques secondes plus tard. On peut faire l’hypothèse que c’est ce policier qui a tiré.

Nous avons synchronisé les deux vidéos, puis effectué un arrêt sur image lors du moment où le coup de feu est visible sur la vidéo amateur.

Par ailleurs, on peut distinguer les lettres présentes dans le dos de l’un d’entre eux, celles du ministère de l’intérieur. Ce qui laisse penser que ces hommes relèvent de son autorité.

Une autre photo de Getty Images (ici) montre le fusil encore fumant de l’un des policiers (mais il est possible que plusieurs coups de feu aient été tirés). 

Après le tir, les forces de sécurité se dirigent vers le corps et l’on voit passer une voiture sombre, tous phares allumés, près d’eux. Comme sur la vidéo diffusée sur Twitter.

La conclusion de l’étude des images trouvées en sources ouvertes est sans appel. Les autorités biélorusses ont affirmé que l’homme s’était tué avec une grenade qu’il tenait à la main. Comme le démontre Euronews et l’ensemble de ces images, c’est un mensonge.

Reconnaissance faciale et OSINT – Digikam

Reconnaissance faciale et OSINT – Digikam

Inquiétante à plus d’un titre, la reconnaissance faciale peut tout de même s’avérer extrêmement pratique pour l’OSINT. La plus grosse problématique pour son utilisation reste la chaîne d’outils nécessaire : bien souvent des scripts python, des ressources systèmes importantes, une ergonomie douteuse pour le néophyte.

Nous vous proposons aujourd’hui à travers un cas simple, de mettre en œuvre un outil de reconnaissance faciale à moindre effort : Digikam.

Digikam

Digikam est un outil de gestion de bibliothèque photo qui reprend les grands principe de logiciels tels que iPhotos par exemple. Son gros avantage c’est qu’il est gratuit, open-source, et multiplateforme : originellement développé pour Linux, il est désormais disponible pour Windows et Mac. Vous le savez, à OpenFacto, nous sommes friands de logiciels libres!

Digikam est sorti ces jours-ci en version 7 – son développement est très actif! – et cette nouvelle mouture met l’accent sur son nouveau moteur de reconnaissance faciale. Un gros effort a en effet été réalisé pour améliorer les performance de Digikam sur ce point. Et le moins que l’on puisse dire, c’est que ça marche très très bien! y compris sur les animaux!

L’interface de Digikam

On ne s’attardera pas ici sur l’immensité des fonctions de Digikam pour la gestion de sa bibliothèque d’images mais plutôt sur la reconnaissance faciale proprement dite.

Création d’un corpus photo de référence

A l’aide d’Instaloader nous allons télécharger des photos d’un personnage public, pour constituer une base de connaissance de visages. Instaloader est un logiciel python qui permet de télécharger en masse des photos d’instagram. Mais vous pouvez utiliser votre propre technique pour faire de même, y compris télécharger vos photos manuellement. Dans votre répertoire d’images, créez un sous-répertoire et téléchargez-y vos images de références.

instaloader --login votre_login fhollande 

L’idéal est d’avoir plusieurs images sous différents angles de la personne, de près, de loin… Pour cet exemple, j’ai téléchargé au hasard une trentaine de photos, que j’importe ensuite dans Digikam.

L’interface de Digikam sur cet exemple.

Il faut maintenant lancer l’outil de détection de visages. Cliquez bouton droit, puis « Cherchez des visages » sur le nom de l’album.

Puis pour chaque photo de référence, placez un tag mentionnant le nom de la personne sur chaque image.

Sur chaque visage, placez le nom de la personne.

Certains visages ont pu ne pas être détectés par l’application : vous pouvez tout de même les identifier manuellement:

L’icône d’identification manuelle.

Une fois cette étape achevée, vous obtenez une base de référence :

Application sur des photos inconnues

Nous allons maintenant télécharger en masse des photos inconnues, comportant le hashtag « #francoishollande », grâce à Instaloader.

instaloader --login votre_login "#francoishollande"
(n'oubliez pas les guillemets autour du hashtag...

Nous réitérons ensuite la recherche de visages comme ci-dessus, en validant cette fois-ci « recognize faces« , puis en allant dans les « settings » pour baisser la sensibilité à 50%.

Après avoir appuyé sur « Analyser une collection…. » dans le premier onglet, et au bout de quelques secondes, Digikam indique les visages détectés.

Il suffit de les valider un par un pour confirmer la détection ET améliorer la détection future…..

Il est possible de jouer un peu à la hausse ou à la baisse avec le niveau de détection, en fonction de la base de référence (si elle contient beaucoup d’image ou pas), et de la forme des différentes photos.

ici par exemple avec un réglage à 41 au lieu de 50, de nombreux visages sont « reconnus » mais avec une marge d’erreur plus forte…

Conclusion

En détournant un outil tel que Digikam, on peut obtenir très rapidement un très chouette outil d’OSINT et vous faire gagner un temps précieux pour l’exploitation de milliers de clichés.

Attention toutefois. Digikam reste un outil… jamais parfait!
Fiez vous aussi à votre œil!