Le monde entier est un qactus

Le monde entier est un qactus

Cet article est le fruit d’une enquête au long cours menée depuis juillet 2021 sur un acteur clef de la désinformation français, par OpenFacto et SourcesOuvertes sur Twitter en collaboration avec le site ConspiracyWatch.
Il présente toutefois quelques nouveaux éléments d’identification et dresse un panorama méthodologique d’enquête sur la désinformation sur Internet. Les liens présents dans cet articles sont soit tronqués, soit présentés sous leur forme d’archive afin de ne pas générer de rétroliens de promotion du site.

1.98 millions de vues en juillet 2021…

Signalé en juillet 2021 sur Twitter par Tristan Mendès-France, le site internet de réinformation d’inspiration QAnon Qactus[.]fr présente à l’époque un nombre impressionnant de vues mensuelles selon https://www.similarweb.com/fr/ :

Si, ces trois derniers mois, son audience a quelque peu diminué, elle représente toujours plus d’un million de visiteurs mensuels. D’ailleurs le site lui-même en fait la promotion sur sa page, dans le footer (73.6+M de visites à la date de publication de cet article…).


Techniquement, Qactus est un blog hébergé par WordPress, et son nom de domaine est enregistré depuis le 6 mai 2020. Cette information est cohérente avec les premières traces de pages vues sur l’Internet Archive.

Ligne éditoriale

Si le site est très fréquenté, sa ligne éditoriale du site est prompte à mettre le lecteur dans un état profond (deep state… vous l’avez?) de perplexité :

Un GoogleDork assez basique montre par ailleurs que ce site recommandait également en 2021 des lectures très particulières…

Mais comment définir un peu plus précisément la ligne éditoriale de ce site?

En utilisant le logiciel libre Hyphe, il est possible en partant de ce site de collecter une grande partie des liens hypertextes contenus dans les 8.341 articles qu’il contient. De manière récursive, on applique la même technique sur ces liens découverts afin de vérifier si ceux-ci font également référence à des liens similaires ou à Qactus.

Jolifié à l’aide Gephi, il est dès lors possible de visualiser avec Retina les connexions entre ces liens, c’est à dire les citations communes et de repérer ainsi des sous-communautés d’intérêt.

On constate ici qu’à de très rares exceptions (quelques articles du Monde, du Mediapart ou du Guardian par exemple), l’essentiel des liens remontés sont issus de la sphère complotiste et/ou de réinformation, française ou internationale, et que ces sites, ou profils, se re-citent entre-eux, agissant comme une bulle informationnelle.

Une bulle efficace?

Avec un tel contenu mêlant notamment complot, antivax, antisémitisme, et admiration pro-russe, quel peut être l’impact de ses publications sur un réseau social?
Qactus est officiellement absent de Twitter : son compte a été suspendu. Il utilise principalement Gab, Vk, Facebook et Telegram pour diffuser ses articles. Cependant, ses publications y sont régulièrement reprises. Or ce réseau présente plusieurs intérêts : il est assez grand-public pour toucher une audience plus large que les plateformes plus confidentielles telles que Gab, et contribuer ainsi à sa viralité, et il est possible pour nous de récupérer facilement des données par scraping.

En collectant avec snscrape l’intégralité des tweets encore disponibles et contenant l’expression « qactus[.]fr », il est possible d’obtenir une liste de 119.789 tweets depuis le 26 juin 2020 (ce qui représente un peu plus de 170 tweets par jour…). Il est important de prendre en compte à ce stade qu’il ne s’agit que d’une photographie à un instant précis des tweets actuellement visibles : des comptes aujourd’hui fermés ont pu relayer encore plus ce contenu par le passé. Le corpus ainsi remonté est toutefois assez conséquent et permet de tirer quelques enseignements sur cette bulle.

9.016 utilisateurs ont ainsi repris et diffusé ces liens sur la période concernée. Certains sont particulièrement prolixes. Après nettoyage des données brutes sous OpenRefine, et à l’aide du logiciel R, et de Rstudio, il est possible d’établir le palmarès des 50 plus gros promoteurs de qactus s’établit ainsi :

Note : Les identifiants ont été anonymisés et le décompte des tweets ne tient compte que des URLS uniques. A titre d’exemple le premier des promoteurs a posté à lui-seul 3.910 liens uniques qactus sur Twitter: un vrai fan.

Certains de ces utilisateurs Twitter sont très influents, comme Christine Kelly, ou encore Yves Pozzo Di Borgo.

Ainsi trois de ces utilisateurs cumulent plus de 9.000 retweets chacun sur leurs tweets embarquant des liens vers un post sur qactus, et d’autres utilisateurs réalisent eux aussi de jolies performances.

L’analyse des likes sur ces tweets est par ailleurs également intéressante :

L’ensemble de ces données permet de cartographier une douzaine de profils particulièrement influents qui diffusent avec beaucoup de succès les posts du blog :

Il pourrait être envisagé de produire d’autres types d’analyses sur l’ensemble de ce jeu de données, mais cette première approche permet de rapidement montrer que même en dehors de sa sphère habituelle d’évolution (les réseaux alternatifs), et par le truchement de comptes influents (inauthentiques ou bien réels), la diffusion de son contenu est bien réelle, régulière, et assez massive.

Plusieurs des comptes observés ici présentent les caractéristiques habituellement observées chez les trolls et désinformateurs :

  • Plusieurs comptes utilisant des pseudonymes séquentiels;
  • Des biographies surchargées d’émoji, de descriptions enthousiastes et guerrières, pro-trump, etc;
  • Des comptes très récents, postant peu de contenus propres et pourtant très suivis;
  • Du contenu directement relayé depuis Gab et probablement automatisé
  • etc…

Une hypothèse possible, mais non vérifiée, est que sous un ou plusieurs de ces comptes, se cache en réalité le webmaster du site Qactus.

Mais pourquoi la propagation de ce contenu est-elle une notion importante?

L’argent, le fuel de la désinformation

La désinformation est un ensemble de techniques de communication qui visent à tromper des personnes ou l’opinion publique pour protéger des intérêts, influencer l’opinion publique ou semer la discorde. Dans le cas de qactus, il est d’ailleurs possible de s’interroger ici si l’on est en présence de mésinformation (l’auteur croit que son information est réelle et la diffuse) ou de désinformation (l’auteur sait que l’information est fausse et la diffuse).

Mais une autre motivation est plus probable : l’appât financier.

En effet, si le site est hébergé sur la plateforme WordPress.com (le coût de maintenance est de l’ordre d’une vingtaine d’euros par mois), il n’en oublie pas moins de déclarer un traqueur publicitaire pour générer de l’argent… Il n’y a pas de petits profits.

extrait du code source de la page Qactus

Ce type de traqueurs permet de générer des revenus en revendant les données collectées à Google. S’il est très complexe de déterminer les sommes générées par ce site, il est possible de l’estimer à gros traits de deux manières :

  • Une simulation opérée sur le site de Google lui-même, pour un site d’information basé en Europe, sur l’estimation basse de 1.3M de visites mensuelles est susceptible de rapporter environ 32.500€ par an, ce qui est déjà, avouons le, plutôt confortable.
  • Cette estimation, minimale, est à peu près conforme à celles découvertes en recherchant sur Google les articles de blogueurs spécialisés sur le sujet.


Le créateur du site génère donc sans doute et avec l’appui de Google, des revenus complémentaires pour le moins intéressants.

Mais est-il possible de l’identifier?

Qui est Vanec71?

Deux profils de rédacteurs sont référencés sur le site : Laruche71, pseudonyme plutôt récent sur le site et Vanec71, auteur et administrateur historique du site. Le moteur du site étant basé sur WordPress, il est également possible de remonter ces pseudonymes d’auteurs via le dork Google suivant, classique et toujours très puissant :

Par le biais de l’outil Epieos, qui permet de voir comment et sur quels sites est utilisée une adresse e-mail, nous procédons au test de . A la base, la logique intrinsèque de l’outil de Epieos est de procéder à des tests à partir d’une adresse dont on sait qu’elle existe.

Mais rien n’empêche de l’utiliser avec des adresses « potentielles », non?

Commençons donc par tester une adresse Gmail… et le résultat parle de lui-même…

Grâce aux liens fournis par Epieos, nous découvrons que notre exquis webmaster a fait ses courses au Gifi du Creusot :

« Vanec Blue » (le nom renvoyé par Epieos) nous menait également fin 2021 vers une chaîne Youtube, avec deux vidéos peu vues :

Ce compte a désormais changé d’identité et d’avatar mais se trouve toujours en ligne.

Deux vidéos seulement et peu de vues… Ce n’est pourtant pas faute d’en assurer la promotion sur … la chaîne officielle « Qactus – L’Informateur », où on retrouve une des deux vidéos, élément liant un peu plus les deux comptes si besoin en était.

L’étape du mezze

A ce stade, nous avons recueilli quelques éléments intéressants, mais Il convient désormais de les mélanger :

Si le résultat n’est pas fameux sur Google, la même opération menée sur d’autres moteurs de recherches s’avérait beaucoup plus fructueuse en 2021. Ainsi, le moteur Qwant était un peu plus loquace :

Nous retrouvons alors deux de nos pivots, ainsi que plein de pivots supplémentaires :

S’agit il de la personne derrière le site conspirationniste à 1.98 million de vues ?

A ce stade, rien ne permet de l’attester complètement. On peut cependant objecter qu’en terme de probabilités, le pourcentage de personnes qui ont le même pseudonyme (assez signant), habitant dans la même ville de taille très moyenne (population du Creusot : 21887 personnes – 2015) est sans doute assez faible…

Passons la seconde…

Pour résoudre le mystère, on va utiliser l’équivalent du site HaveIBeenPwned. Ce site, qui est ouvert à tous moyennant un abonnement, permet de rechercher des identifiants et mots de passe à l’intérieur d’immenses bases de données ayant préalablement fuité sur internet, suite à des compromissions.

Une recherche sur Vanec71 donne rapidement trois informations clefs : un nom, un prénom et une nouvelle adresse mail chez Microsoft.

« Pat S » aurait-il une adresse au Creusot? Les pages jaunes sont nos amies…

Sacré Patoche…

Golfeur – on peut être QAnon et aimer les sports d’élite – « Pat S » a un profil sur Copains d’Avant indiquant qu’il a certainement vécu un temps à Carcassonne avant de revenir au pays.

Et évidemment, Patoche est bien présent sur VK ou Facebook, ce qui permet de vérifier l’ensemble de ces éléments.

Contacté à de nombreuses reprises, il n’a jamais retourné nos appels.

Pour conclure

A l’aide de quelques outils facilement accessibles, et d’un peu de méthodologie, il est possible d’analyser un de sites moteurs de la désinformation francophone et de constater qu’il est au centre d’un écosystème plus global :

  • Des liens d’affiliations avec toute la sphère réinformationnelle et complotiste anglophone et francophone
  • Une propagation virale déborde largement sur les réseaux sociaux conventionnels, avec une communauté forte qui porte et amplifie le message
  • Une saturation de l’espace médiatique sur les thèmes récurrents de la réinformation et du complot
  • Un intérêt financier certain, pour un personnage très discret

La gazette syrienne

La gazette syrienne

extrait de la Gazette Syrienne

A l’occasion de ses 20 ans le site The Syria Report a lancé deux rubriques gratuitement accessibles: la Gazette Officielle du gouvernement syrien et la rubrique Terrain Logement Propriété.

Ce site web connu pour publier des informations très précises sur l’actualité des entreprises en Syrie et des lois va faire le bonheur de la recherche OSINT: le Syria Report a fait l’acquisition de copie des publications de la Gazette depuis 1920.

Le sommaire de chaque publication est traduit en anglais pour faciliter les recherches

Un très beau projet d’une grande qualité: bravo!

Reconnaissance faciale et OSINT – Digikam

Reconnaissance faciale et OSINT – Digikam

Inquiétante à plus d’un titre, la reconnaissance faciale peut tout de même s’avérer extrêmement pratique pour l’OSINT. La plus grosse problématique pour son utilisation reste la chaîne d’outils nécessaire : bien souvent des scripts python, des ressources systèmes importantes, une ergonomie douteuse pour le néophyte.

Nous vous proposons aujourd’hui à travers un cas simple, de mettre en œuvre un outil de reconnaissance faciale à moindre effort : Digikam.

Digikam

Digikam est un outil de gestion de bibliothèque photo qui reprend les grands principe de logiciels tels que iPhotos par exemple. Son gros avantage c’est qu’il est gratuit, open-source, et multiplateforme : originellement développé pour Linux, il est désormais disponible pour Windows et Mac. Vous le savez, à OpenFacto, nous sommes friands de logiciels libres!

Digikam est sorti ces jours-ci en version 7 – son développement est très actif! – et cette nouvelle mouture met l’accent sur son nouveau moteur de reconnaissance faciale. Un gros effort a en effet été réalisé pour améliorer les performance de Digikam sur ce point. Et le moins que l’on puisse dire, c’est que ça marche très très bien! y compris sur les animaux!

L’interface de Digikam

On ne s’attardera pas ici sur l’immensité des fonctions de Digikam pour la gestion de sa bibliothèque d’images mais plutôt sur la reconnaissance faciale proprement dite.

Création d’un corpus photo de référence

A l’aide d’Instaloader nous allons télécharger des photos d’un personnage public, pour constituer une base de connaissance de visages. Instaloader est un logiciel python qui permet de télécharger en masse des photos d’instagram. Mais vous pouvez utiliser votre propre technique pour faire de même, y compris télécharger vos photos manuellement. Dans votre répertoire d’images, créez un sous-répertoire et téléchargez-y vos images de références.

instaloader --login votre_login fhollande 

L’idéal est d’avoir plusieurs images sous différents angles de la personne, de près, de loin… Pour cet exemple, j’ai téléchargé au hasard une trentaine de photos, que j’importe ensuite dans Digikam.

L’interface de Digikam sur cet exemple.

Il faut maintenant lancer l’outil de détection de visages. Cliquez bouton droit, puis « Cherchez des visages » sur le nom de l’album.

Puis pour chaque photo de référence, placez un tag mentionnant le nom de la personne sur chaque image.

Sur chaque visage, placez le nom de la personne.

Certains visages ont pu ne pas être détectés par l’application : vous pouvez tout de même les identifier manuellement:

L’icône d’identification manuelle.

Une fois cette étape achevée, vous obtenez une base de référence :

Application sur des photos inconnues

Nous allons maintenant télécharger en masse des photos inconnues, comportant le hashtag « #francoishollande », grâce à Instaloader.

instaloader --login votre_login "#francoishollande"
(n'oubliez pas les guillemets autour du hashtag...

Nous réitérons ensuite la recherche de visages comme ci-dessus, en validant cette fois-ci « recognize faces« , puis en allant dans les « settings » pour baisser la sensibilité à 50%.

Après avoir appuyé sur « Analyser une collection…. » dans le premier onglet, et au bout de quelques secondes, Digikam indique les visages détectés.

Il suffit de les valider un par un pour confirmer la détection ET améliorer la détection future…..

Il est possible de jouer un peu à la hausse ou à la baisse avec le niveau de détection, en fonction de la base de référence (si elle contient beaucoup d’image ou pas), et de la forme des différentes photos.

ici par exemple avec un réglage à 41 au lieu de 50, de nombreux visages sont « reconnus » mais avec une marge d’erreur plus forte…

Conclusion

En détournant un outil tel que Digikam, on peut obtenir très rapidement un très chouette outil d’OSINT et vous faire gagner un temps précieux pour l’exploitation de milliers de clichés.

Attention toutefois. Digikam reste un outil… jamais parfait!
Fiez vous aussi à votre œil!

CTF Trace Labs #5 – Recherches de micro-informations, gestion du temps, et Mr Freeze

CTF Trace Labs #5 – Recherches de micro-informations, gestion du temps, et Mr Freeze

Quand l’un des membres d’OpenFacto a annoncé sur Slack qu’un nouveau CTF (Capture The Flag) Trace Labs allait avoir lieu le 11 juillet, quelques mains se sont levées pour participer. Quand il a annoncé que cette fois-ci il aurait lieu de 17h à 23h, donc pas de minuit à 6h comme lors de la précédente édition, c’est une avalanche de membres qui a manifesté son intérêt ! (ou en tout cas assez pour constituer deux équipes de quatre, l’auteur étant simplement friand de formules grandiloquentes).


Vous n’avez jamais entendu parler de ces évènements organisés en vue de retrouver des personnes disparues ? Envie d’avoir un peu plus de détails ? Nous vous invitons à lire notre premier retour d’expérience écrit suite à notre précédente participation.


Aujourd’hui, pas d’article visant à approfondir un point de connaissance, comme avec le premier article qui s’intéressait à la question de l’analyse des tatouages.

L’idée est plutôt de faire le point sur notre organisation, ce qui a marché, ce qui a moins marché, et des axes d’amélioration possibles pour le futur.
Si vous avez des avis à partager sur ce qui suit, n’hésitez pas à nous répondre ici en commentaire ou via Twitter. Et si nous oublions de mentionner des éléments qui vous semblent importants, faites-nous signe et nous mettrons à jour l’article avec ces derniers.

Organisation

Pour cette édition, huit membres d’OpenFacto étaient motivés pour participer, nous avons donc fait deux équipes :

  • OpenFacto (obviously), comptant à son bord Capteurso, Hervé, Sébastien et ştəf// – fini 26ème sur 190 équipes ;
  • The French Flair by OF, composée notamment de L003, 0skAr et Roman – fini 23ème.
Tableau des scores final


Ensuite, pour répartir les gens entre les deux équipes, nous avons fait passer des tests d’aptitude à l’OSINT, évalué les CVs de chacun(e), et… non pas du tout, nous avons pris le premier (littéralement) site de répartition aléatoire en équipe sur Google, et défini les équipes à partir de là. Il s’est avéré que les teams ainsi formées ont bien fonctionné ; à voir pour la prochaine édition si nous essayons de déployer une réelle stratégie quant à ce sujet – nous y reviendrons plus tard.


Pour la communication écrite, nous avons privilégié Slack, qui permet de faire un thread par profil, afin de ne pas mélanger toutes les informations. Le canal vocal était assuré par Jitsi.

Il était envisagé d’utiliser framamind afin de faciliter la visualisation des profils et informations récoltées. Finalement, le fait de ne pas forcément changer souvent de cas d’analyse a fait que les threads Slack étaient suffisants. 

A noter toutefois que TraceLabs recommande dans son guide de ne pas passer plus d’une heure sur un cas où l’on ne trouverait aucune information, et conseille également l’utilisation de cartes mentales (cf. p.15-16).

Cette édition proposait l’analyse de huit cas, chaque membre d’une équipe était donc en charge de deux profils a minima, avec possibilité de passer sur d’autres en cas d’impasse. 

Quelques points à retenir pour les prochaines éditions

Ci-dessous une liste de points en vrac, sans classement suivant l’importance du contenu, mais qu’il nous semble pertinent d’avoir en tête pour les prochaines fois :

  • Si aucun flag n’est validé ni rejeté au bout d’une heure, ne pas hésiter à pinger l’équipe TraceLabs sur Slack, par exemple AK47Intel. Et même, mieux : vérifier à l’avance que l’équipe s’est bien vue assigner un juge (un fichier csv est fourni dans le channel du CTF afin de connaître le nom du juge qui s’occupe de l’équipe).
  • La recherche de profils snapchat via snapdex.com ne renvoie pas forcément de résultats pertinents.
  • Les copies d’écrans Android ne servent à rien si la preuve ne peut être rattachée à une URL (l’URL snapcode ne suffit pas).
  • Prendre le temps de faire une première passe, pour les profils US, sur des sites de recherches US (ex : spytox.com, thatsthem.com, etc.). MAIS bien prendre avec des pincettes ce que renvoient ces sites. Idéalement effectuer quelques vérifications derrière, avant de soumettre le flag.
  • Prendre le temps aussi de faire une première passe sur les informations basiques (ex : dates de naissance) qui, si elles ne rapportent que peu de points, une fois accumulés en fournissent finalement un nombre conséquent.
  • Prendre le temps – si réalisable – de lire les posts sur les réseaux sociaux de la personne disparue (notamment pour connaître ses hobbies). A minima aux alentours de la date de sa disparition. Se pencher aussi sur les commentaires et tags de personnes proches permettant (potentiellement) de récupérer d’autres profils de la cible, ainsi que leur nouveau compagnon/nouvelle histoire, qui les renvoient à leur profil actuel.
  • A ce sujet, Twint se révèle bien pratique pour ne récupérer que les tweets postés au moment de la disparition de la personne (notamment profils Twitter de ses amis).
  • La question de savoir comment déterminer si un numéro de téléphone US est assigné à un fixe ou un mobile s’est posée pendant l’évènement. A tête reposée, nous pouvons maintenant dire qu’il aurait pu être intéressant de passer par des services tels que TrueCaller ou OpenCnam, FreeCarrierLookup ou encore HLR Lookup déjà mentionné il y a quelques temps sur le discord d’OSINT-FR – mais aucune garantie quant à l’identification mobile/fixe.
  • Faire la liste d’un ensemble de sélecteurs (adresses mails, numéros de téléphones, création d’adresses mails et pseudos à partir du nom+prénom, etc.). Puis les vérifier sur autant de plateformes que possible (via whatsmyname ou instantusername), et lister le tout dans un document collaboratif. Envisager ensuite de désigner une à deux personnes afin d’approfondir ces données et réaliser une investigation latérale (recherche massive de sélecteurs et de sources potentielles) de l’investigation transversale (approfondissement d’un profil, ses commentaires, etc.).
  • Préparer des outils et moteurs pour le darkweb en amont et y passer au crible tous les sélecteurs (identité, email, username, etc.). Envisager de préparer une base de leaks avant l’évènement.
  • Préparer également un ensemble de services de « reconnaissance faciale » : Yandex, Bing, Tineye, etc..
  • Dans l’ensemble, nous avons réalisé beaucoup de recherches manuelles. A voir donc si et comment il serait possible d’en automatiser une partie.
  • Voir pour passer moins de temps sur certains profils. 6h, c’est à la fois très peu et très long, mais il s’agirait de réfléchir si passer 4 à 5h sur le même profil – ce qui a été le cas pour un ou deux membres – est vraiment un choix efficace.
  • Autre point à voir plus tard : envisager peut-être un rôle/spécialité par personne/compétence.
    • un/e « forgeron » qui récupère, par OSINT ou recréation, tous les sélecteurs, qu’il met à disposition ;
    • un/e ou deux enquêteurs qui approfondissent les profils et les subtilités historiques et comportementales ;
    • un/e spécial deepweb/darkweb.
      L’autre possibilité consistant à d’abord se concentrer sur un ou deux profils, puis passer à une revue de tous les profils en ne s’intéressant qu’à un des aspects mentionnés ci-dessus.

Conclusion

Ce qui est pas mal ressorti de nos discussions post-CTF, c’est la frustration de ne pas trouver des informations particulièrement remarquables sur chaque profil. Est-ce que cela vaut vraiment le coup de passer 6h sur le cas de deux à trois personnes disparues, pour ne ressortir finalement que des éléments facilement retrouvables : numéro de téléphone posté sur instagram, liens vers les différents profils sur les réseaux sociaux, etc. ?


A cette question que bon nombre se posent, Trace Labs réponds oui, cela vaut la peine : « We may not always find relevant or useful information to pass along to Law Enforcement (LE). But what we did accomplish was showing Law Enforcement that they truly have exhausted every lead and that they did their jobs well and to the best of their abilities. To them, that’s extremely valuable and it puts their minds at ease. » 


Chaque information, aussi minime qu’elle soit à vos yeux, doit être remontée : marque du téléphone de la personne (information intéressante pour les forces de l’ordre), goût prononcé pour le dessin, l’alcool, les Mr Freeze, etc.. Tout peut avoir son importance, pour peu que les personnes en charge de l’enquête n’y ait pas prêté attention. Et si c’est déjà le cas, cela les rassurera néanmoins quant au fait qu’elles ont cherché autant que possible.


En outre Trace Labs insiste sur le fait qu’il ne faut pas oublier les deux buts principaux de ces évènements :

  • trouver des informations sur des personnes disparues ;
  • améliorer nos compétences en OSINT – car oui, cela compte aussi.

Vous avez, vous aussi, été frustré par les données obtenues après de longues heures de recherches ? Hauts les cœurs, cela fait partie de l’apprentissage ! Et si vous n’avez pas l’impression d’être devenu une rock star de l’OSINT en 6h, vous avez néanmoins mis en pratique des connaissances déjà acquises – vous n’en deviendrez que plus efficace – voire appris de nouvelles techniques – on ne peut espérer mieux – et participé à un effort positif international. Donc rien de tout cela n’est perdu.


Un autre point qui nous a été remonté, c’est qu’il était encore plus sympa de réaliser ce genre d’évènements dans un même lieu avec le reste de l’équipe. Ainsi, à titre informatif, OpenFacto commence à réfléchir à comment réunir, une fois par an, l’ensemble de ses membres participant au CTF dans un espace commun, afin que les coéquipiers puissent interagir ensemble de vive voix, et que les différentes teams puissent ensuite échanger sur les cas abordés une fois le CTF fini.

Intéressé ? Faites-le-nous savoir sur Twitter ou notre Slack !


Un grand bravo à toutes les équipes !

Nouveau rapport par OpenFacto – Turkey’s shadow arms deliveries

Nouveau rapport par OpenFacto – Turkey’s shadow arms deliveries

Téléchargez le rapport – Download the report

OpenFacto est fier de présenter son premier long rapport d’enquête sur la détection des violations de l’embargo sur les armes à l’aide de techniques de recherche en sources ouvertes. Turkey’s Shadow Arms Deliveries se concentre sur six cas de livraisons suspectes d’armes turques à la Libye utilisant des moyens de transport commerciaux: MV AMAZON, vol ER-BAJ, MV SINGLE EAGLE, MV BANA, MV ANA et MV PRAY. Utilisant les réseaux sociaux, google map, les bases de données accessibles au public et d’autres techniques de recherche, le rapport présente de nombreuses preuves indiquant des violations potentielles de l’embargo sur les armes imposé par les Nations Unies par la Turquie.

OpenFacto is proud to present its first long form investigative report on detecting arms embargo violations using open sources techniques. Turkey’s Shadow Arms Deliveries focuses on six cases of suspected Turkish arms deliveries to Libya using commercial transportation: MV AMAZON, flight ER-BAJ, MV SINGLE EAGLE, MV BANA, MV ANA and MV PRAY. Using social media, google map, publicly available databases and other research techniques, the report presents extensive evidence pointing to potential violations of the UN arms embargo by the Turkey.

Export de Telegram au format csv – introduction à BeautifulSoup

Export de Telegram au format csv – introduction à BeautifulSoup


Quand les petites mains ne suffisent plus pour parcourir des quantités monstrueuses de données.
Quand les expressions régulières sont hors-jeu face au html.
Quand l’agrégation de données dans un beau fichier csv ne semble qu’un rêve lointain.

BeautifulSoup (et Python dans sa globalité) est là !

Il y a quelques temps, la question de comment récupérer l’historique des messages Telegram pour les transférer dans un fichier au format csv a été posée par un des membres d’OpenFacto. Si la réponse vous intéresse, et que vous souhaitez apprendre quelques bases de programmation Python en chemin, vous êtes sur le bon article.

*****
TL;DR : voir le premier paragraphe pour l’export Telegram, le code python html → csv se trouve à la fin.
*****

Export de l’historique Telegram

La version bureautique de Telegram propose une fonctionnalité d’export des messages :

Export de l’historique Telegram

Il est possible de sélectionner les éléments à exporter parmi les messages texte seuls, photos, vidéos, messages vocaux, etc.

Options pour l’export du salon de discussion


A l’issue du téléchargement, on obtient un ensemble de fichiers au format html contenant l’historique récupéré. 
Vous vous apprêtez à sortir vos meilleures expressions régulières pour parser ces fichiers ? Retirez immédiatement vos doigts de ce clavier, malheureux ! Les expressions régulières, aussi élégantes soient-elles, ne sont pas adaptées pour parser du html (voir notamment cette fameuse réponse sur StackOverflow). Oui, c’est réalisable, mais le format d’une page html fait qu’en général vous passerez plus de temps à trouver la bonne regex qui matche la bonne balise à chaque fois, que si vous utilisiez un outil créé expressément pour cette tâche.
Ici nous allons faire usage de la librairie Python BeautifulSoup.

Quelques bases pour Python et BeautifulSoup

En programmation, il est recommandé d’utiliser un environnement de développement intégré (IDE en anglais), par exemple VSCodium, logiciel libre, ou Pycharm, spécifique à python. Un IDE est un éditeur de texte exclusivement utilisé pour coder, qui permet par exemple la coloration syntaxique du code, et facilite son écriture en soulignant notamment les librairies non installées, les variables non déclarées/mal orthographiées, etc. Oui, au vu de la taille du code, cela peut s’écrire bêtement sous Vim (ce qui a d’ailleurs été le cas). Cependant, à la longue, un IDE est objectivement appréciable. 

Pour pouvoir utiliser une librairie comme csv, permettant de créer/manipuler un fichier csv, on utilise le mot clé import suivi du nom de la librairie. Nous avons également besoin de os, pour la manipulation de noms de fichiers et dossiers. Et pour BeautifulSoup il suffit d’importer une partie seulement de la librairie, à savoir bs4. Si la librairie n’est pas déjà installée sur l’ordinateur, on l’installe via la commande pip install beautifulsoup4, à taper soit dans un terminal classique, soit dans le terminal intégré à l’IDE.

Note : il s’agit d’une simple copie d’écran. Le code complet se trouve à la fin de l’article.


Nous partons ici du postulat que nous plaçons le code dans un fichier (par exemple telegram.py) se trouvant dans le même dossier que l’ensemble des fichiers html récoltés. Nous définissons donc la variable directory, à laquelle on assigne le chemin vers le dossier contenant le fichier python (et donc les fichiers html voisins).

Ensuite, pour créer un tableau csv, avec des lignes, des colonnes, nous allons d’abord créer une liste python (cf. [ ], qui est une liste vide), elle-même constituée de listes : par exemple le n-ième élément de cette liste correspond à la n-ième ligne du tableau, et est implémenté sous la forme d’une liste  où le premier élément correspond à la première colonne, le deuxième élément à la deuxième colonne, etc.. En résumé, un tableau = une liste de listes.

Pour une question d’esthétisme et de clarté, nous allons nommer nos colonnes. A cette fin, nous ajoutons (.append()) à la liste (vide) le nom de chaque colonne, la première ligne des fichiers csv étant généralement utilisée pour déterminer les noms des colonnes.


A titre de rappel, Python est un langage faisant usage de l’indentation (tabulation ou quatre espaces) afin de délimiter ses blocs de code (boucle, condition, fonction, classe, etc.). Ici nous allons parcourir (boucle for – ne pas oublier le caractère ‘:’ en fin de ligne, et l’incrémentation de l’indentation) l’ensemble des fichiers contenus dans le dossier directory. Puis si le fichier se termine par l’extension « .html » (condition « if », à nouveau ne pas oublier le caractère ‘:’ et l’incrémentation de l’indentation),  alors on l’ouvre en lecture simple.


Avant de nous plonger dans les fonctions offertes par BeautifulSoup, il faut jeter un œil aux fichiers html pour déterminer les informations que nous souhaitons extraire ainsi que leur emplacement.A titre d’exemple, voilà ce qu’un message Telegram peut donner :

     <div class="message default clearfix" id="message197514">
      <div class="pull_left userpic_wrap">
       <div class="userpic userpic2" style="width: 42px; height: 42px">
        <div class="initials" style="line-height: 42px">
        </div>
       </div>
      </div>
      <div class="body">
       <div class="pull_right date details" title="11.02.2020 09:03:59">
09:03
       </div>
       <div class="from_name">
Toto
       </div>
       <div class="text">
10:03: Hello world !
       </div>
      </div>
     </div>

On voit qu’un message est délimité par des balises <div> qui ont pour classe message default clearfix.
A l’intérieur de chaque message, l’heure et la date de réception par le serveur se trouvent dans une autre balise <div> dont la classe est pull_right date details, plus exactement en tant que valeur de l’attribut title. De manière similaire, l’expéditeur se trouve dans une balise <div> de classe from_name, à la différence que cette fois il s’agit du texte contenu dans la balise et non de la valeur d’un attribut de cette balise. 


Voyons maintenant comment récupérer tout cela avec BeautifulSoup : 

  • Pour récupérer toutes les balises html correspondant à un critère, on utilise la méthode findAll(). Il est possible de spécifier notamment le nom de la balise recherchée et la classe.
  • Si une seule balise doit être récupérée, on utilise la méthode find().
  • Le contenu d’un attribut de balise s’obtient, comme pour un dictionnaire, en spécifiant son nom dans .attrs .
  • Enfn le contenu d’une balise est lisible via .text .

Il s’agit ici d’une partie infinitésimale de toutes les fonctions offertes par BeautifulSoup. Sentez-vous libres de lire la documentation pour en découvrir plus !


On notera dans le code ci-dessous que l’heure et la date ont été séparés dans deux variables distinctes afin de créer deux colonnes toutes aussi distinctes. En outre, une condition a été rajoutée dans la récupération du contenu du message pour gérer un cas spécifique à l’historique étudié lors de l’écriture du code.


La méthode .append() permet d’ajouter une nouvelle colonne à la ligne courante row. Une fois la ligne complète, on l’ajoute à la liste de lignes output_rows.


A noter toutefois que ce code est simplifié au maximum et ne gère pas les erreurs (exceptions) pouvant être levées. Un bon programmeur prendra le temps de vérifier par exemple que la méthode find() ne retourne pas un None – lorsque l’élément cherché n’est pas trouvé – avant d’appliquer une autre méthode sur l’élément retourné, ce qui évitera au programme de planter.


Il ne reste alors plus qu’à écrire le contenu de output_rows dans notre fichier csv. Le fichier peut être ouvert avec le paramètre ‘a’ – et non ‘w’ – si l’on souhaite ajouter (append) de nouvelles données à celles déjà présentes dans le fichier plutôt que d’écraser celles déjà existantes.


Pour faire tourner ce bout de code, il suffit lancer la commande python suivie du nom du fichier (ici telegram.py) dans un terminal, et un fichier output.csv apparaîtra quelques secondes plus tard dans le même répertoire.

Code complet

Ici le code étudié ci-dessus :

from bs4 import BeautifulSoup
import csv
import os

# Placer le script dans le meme repertoire que les fichiers d'historique
directory = os.path.dirname(os.path.realpath(__file__))

# Creation du tableau et des noms de colonnes
output_rows = []
output_rows.append(("Date", "Time", "Sender", "Message"))

for html_file in os.listdir(directory):
    filename = os.fsdecode(html_file)

    if filename.endswith(".html"):
        html = open(filename).read()
        soup = BeautifulSoup(html, features="html.parser")

        msgs = soup.findAll("div", {"class": "message default clearfix"})
        for msg in msgs:
            row = []

            # Date et heure
            time = msg.find("div", {"class": "pull_right date details"}).attrs["title"]
            date, time = time.split()
            row.extend((date, time))

            # Expediteur
            row.append(msg.find("div", {"class": "from_name"}).text.strip())

            # Message
            date_msg = msg.find("div", {"class": "text"}).text
            if ": " in date_msg:
                msg_alone = date_msg.split(": ")[1].strip()
            else:
                msg_alone = date_msg.strip()
            row.append(msg_alone)

            output_rows.append(row)

with open("output.csv", "w") as csv_file:
    writer = csv.writer(csv_file)
    writer.writerows(output_rows)

Le code mis à jour est disponible sur le dépôt GitHub OpenFacto.

Pour aller plus loin

Scraper les internets

Si Telegram a pris le parti de faire usage du format html pour stocker ses historiques, il n’est pas le seul à l’utiliser :  Internet regorge de pages html ! (ce qui est sans doute le principal cas d’application visé au départ par BeautifulSoup, plus que les historiques Telegram…)

Alors pourquoi ne pas employer ces nouvelles connaissances en vue de parcourir (on dira « scraper ») la toile mondiale ?
La seule différence notable est qu’il faudra dans un premier temps récupérer la page html qui nous intéresse. Python met à disposition la librairie request, qu’il suffit d’importer comme précédemment avec le mot clé import. Nous obtenons le contenu de la page via la méthode request() à laquelle nous passons la variable contenant l’url ainsi que, astuce de sioux, un objet headers. Celui-ci permettra de contourner certaines vérifications qui s’assurent que les requêtes sont bien réalisées par un navigateur et non un robot.
Pensez également à mettre un temps de pause (via la méthode sleep()) entre deux requêtes pour éviter de surcharger le serveur requêté – et provoquer un DoS si ce dernier est un peu fragile.

import requests
from random import randint
from time import sleep

useragent = 'Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:75.0) Gecko/20100101 Firefox/75.0'
headers = {
    'User-Agent': useragent
}
url = "" # url du site à requêter

sleep(randint(3,10))
response = requests.get(url, headers = headers)

Crontab

Quid si vous souhaitez aller toujours plus loin dans l’automatisation ? C’est le moment de passer à… cron ! Il s’agit du programme, sous Linux et Mac, permettant de programmer une tâche afin qu’elle soit exécutée de manière répétitive à un moment précis. L’équivalent Windows-ien est le Task Scheduler. Nous allons nous concentrer ici sur cron.

Pour lister les tables cron déjà disponibles, on lance la commande suivante :
crontab -l

Pour éditer les tables, on utilise l’option -e :
crontab -e

Un doute sur une commande ? On utilise man crontab afin d’afficher le manuel (appuyer sur la touche ‘q’ pour le quitter).
Une fois la commande d’édition lancée, vous vous trouvez dans un éditeur de texte (généralement Vi(m) ou Nano). Pour éditer (entrer dans le mode édition) de Vi(m), appuyez sur la touche ‘i’. Pour sortir de ce mode, appuyez sur la touche echap. Pour quitter le document sans sauvegarder (si, si, c’est possible de quitter Vi(m)), appuyez sur echap puis « :q! ». Pour sauvegarder, echap puis « :w ». Pour plus de commandes : .


Chaque ligne correspond à une tâche à exécuter et a le format suivant :

mm hh jj MM JJ tâche avec :

  • mm : les minutes (0-59) ;
  • hh : les heures (0-23) ;
  • jj : le jour du mois (0-31) ;
  • MM : le mois (1-12, ou les noms) ;
  • JJ : le jour de la semaine (0-7, 7 correspondant à dimanche, ou les noms) ;
  • tâche : la tâche à exécuter.

Les ranges sont acceptés, tel que 0-15 dans les minutes pour une exécution à chaque minute durant le premier quart d’heure. Le charactère spécial ‘*’ signifie « du premier au dernier », et peut être « divisé », comme avec « */2 » dans les heures pour signifier « toutes les deux heures ».

Par exemple, pour faire tourner un script tous les jours à 23h59 :
59 23 * * * /chemin/vers/mon_script.py

Ou toutes les 10 minutes :
*/10 * * * *  /chemin/vers/mon_script.py

IMPORTANT : ce code est donc exécuté automatiquement suivant la configuration dans la crontab. Il est essentiel que le fichier exécuté soit détenu et éditable par votre utilisateur et seulement votre utilisateur. Si le script est lancé en tant que root (ou autre équivalent à l’administrateur de la machine), il ne doit appartenir qu’à root (ou équivalent) et seulement éditable par lui. Autrement, si votre machine se fait compromettre, un attaquant pourra éditer le script et attendre tranquillement l’exécution automatique de son code malveillant avec les droits de votre utilisateur, ou, pire, ceux de root.

Prenez donc le temps de vérifier les droits sur votre script :

ls -la /chemin/vers/mon_script.py

Les droits inscrits doivent ressembler à quelque chose comme :
-rwxrw-r--.  1 nom_utilisteur nom_groupe taille date  mon_script.py

Ce qui signifie :

  • lecture (r), écriture (w), exécution (x) pour l’utilisateur nom_utilisateur ;
  • lecture, écriture pour l’ensemble des utilisateurs appartenant au groupe nom_groupe ;
  • lecture seule pour tous les autres utilisateurs.

Utilisez la commande chown nom_utilisateur: mon_script.py pour modifier l’utilisateur et le groupe propriétaires du script.

Utilisez la commande chmod 764 mon_script.py pour positionner les droits ci-dessus.

Au besoin, vérifiez que tous les dossiers parents appartiennent à l’utilisateur en question – ou un utilisateur plus privilégié comme root.