Flight tracking : comment installer son antenne ADSB pour suivre des avions

Flight tracking : comment installer son antenne ADSB pour suivre des avions

Les plateformes telles que Flightradar24 et ADSB Exchange sont une référence pour suivre les trajets des avions commerciaux et des jets privés. En revanche, peu sont ceux qui savent qu’il est aussi possible de traquer soi-même les avions qui passent à proximité en installant sa propre antenne ADSB.

En octobre 2021, OpenFacto a organisé une masterclass sur le suivi des avions, animée par Emmanuel Freudenthal. À l’issue de la formation, Mudsor Masood (@mudpak) a rédigé un guide détaillé pour collecter des données de localisation des avions depuis chez soi.

Les plateformes de suivi d’avions comme Flightradar24, ADSB exchange ou Flightaware obtiennent leurs données via des milliers d’antennes installées partout dans le monde, souvent par des particuliers. Grâce à des antennes pas plus grandes qu’un stylo, ces passionnés d’aviation captent les données AIS des avions qui passent près de chez eux, et les envoient automatiquement aux plateformes de suivi d’avions. En échange, les plateformes proposent souvent un accès privilégié à leurs données (davantage d’informations historiques, etc). Installer sa propre antenne ADSB permet d’améliorer la couverture mondiale du ciel, et contribue à rendre les avions plus faciles à suivre.

Ce tutoriel vous guidera pas à pas dans l’installation de votre antenne ADSB, depuis la configuration du Raspberry Pi jusqu’à la validation du compte sur les plateformes de flight tracking.

Télécharger le guide d’installation d’une antenne ADSB

Le monde entier est un qactus

Le monde entier est un qactus

Cet article est le fruit d’une enquête au long cours menée depuis juillet 2021 sur un acteur clef de la désinformation français, par OpenFacto et SourcesOuvertes sur Twitter en collaboration avec le site ConspiracyWatch.
Il présente toutefois quelques nouveaux éléments d’identification et dresse un panorama méthodologique d’enquête sur la désinformation sur Internet. Les liens présents dans cet articles sont soit tronqués, soit présentés sous leur forme d’archive afin de ne pas générer de rétroliens de promotion du site.

1.98 millions de vues en juillet 2021…

Signalé en juillet 2021 sur Twitter par Tristan Mendès-France, le site internet de réinformation d’inspiration QAnon Qactus[.]fr présente à l’époque un nombre impressionnant de vues mensuelles selon https://www.similarweb.com/fr/ :

Si, ces trois derniers mois, son audience a quelque peu diminué, elle représente toujours plus d’un million de visiteurs mensuels. D’ailleurs le site lui-même en fait la promotion sur sa page, dans le footer (73.6+M de visites à la date de publication de cet article…).


Techniquement, Qactus est un blog hébergé par WordPress, et son nom de domaine est enregistré depuis le 6 mai 2020. Cette information est cohérente avec les premières traces de pages vues sur l’Internet Archive.

Ligne éditoriale

Si le site est très fréquenté, sa ligne éditoriale du site est prompte à mettre le lecteur dans un état profond (deep state… vous l’avez?) de perplexité :

Un GoogleDork assez basique montre par ailleurs que ce site recommandait également en 2021 des lectures très particulières…

Mais comment définir un peu plus précisément la ligne éditoriale de ce site?

En utilisant le logiciel libre Hyphe, il est possible en partant de ce site de collecter une grande partie des liens hypertextes contenus dans les 8.341 articles qu’il contient. De manière récursive, on applique la même technique sur ces liens découverts afin de vérifier si ceux-ci font également référence à des liens similaires ou à Qactus.

Jolifié à l’aide Gephi, il est dès lors possible de visualiser avec Retina les connexions entre ces liens, c’est à dire les citations communes et de repérer ainsi des sous-communautés d’intérêt.

On constate ici qu’à de très rares exceptions (quelques articles du Monde, du Mediapart ou du Guardian par exemple), l’essentiel des liens remontés sont issus de la sphère complotiste et/ou de réinformation, française ou internationale, et que ces sites, ou profils, se re-citent entre-eux, agissant comme une bulle informationnelle.

Une bulle efficace?

Avec un tel contenu mêlant notamment complot, antivax, antisémitisme, et admiration pro-russe, quel peut être l’impact de ses publications sur un réseau social?
Qactus est officiellement absent de Twitter : son compte a été suspendu. Il utilise principalement Gab, Vk, Facebook et Telegram pour diffuser ses articles. Cependant, ses publications y sont régulièrement reprises. Or ce réseau présente plusieurs intérêts : il est assez grand-public pour toucher une audience plus large que les plateformes plus confidentielles telles que Gab, et contribuer ainsi à sa viralité, et il est possible pour nous de récupérer facilement des données par scraping.

En collectant avec snscrape l’intégralité des tweets encore disponibles et contenant l’expression « qactus[.]fr », il est possible d’obtenir une liste de 119.789 tweets depuis le 26 juin 2020 (ce qui représente un peu plus de 170 tweets par jour…). Il est important de prendre en compte à ce stade qu’il ne s’agit que d’une photographie à un instant précis des tweets actuellement visibles : des comptes aujourd’hui fermés ont pu relayer encore plus ce contenu par le passé. Le corpus ainsi remonté est toutefois assez conséquent et permet de tirer quelques enseignements sur cette bulle.

9.016 utilisateurs ont ainsi repris et diffusé ces liens sur la période concernée. Certains sont particulièrement prolixes. Après nettoyage des données brutes sous OpenRefine, et à l’aide du logiciel R, et de Rstudio, il est possible d’établir le palmarès des 50 plus gros promoteurs de qactus s’établit ainsi :

Note : Les identifiants ont été anonymisés et le décompte des tweets ne tient compte que des URLS uniques. A titre d’exemple le premier des promoteurs a posté à lui-seul 3.910 liens uniques qactus sur Twitter: un vrai fan.

Certains de ces utilisateurs Twitter sont très influents, comme Christine Kelly, ou encore Yves Pozzo Di Borgo.

Ainsi trois de ces utilisateurs cumulent plus de 9.000 retweets chacun sur leurs tweets embarquant des liens vers un post sur qactus, et d’autres utilisateurs réalisent eux aussi de jolies performances.

L’analyse des likes sur ces tweets est par ailleurs également intéressante :

L’ensemble de ces données permet de cartographier une douzaine de profils particulièrement influents qui diffusent avec beaucoup de succès les posts du blog :

Il pourrait être envisagé de produire d’autres types d’analyses sur l’ensemble de ce jeu de données, mais cette première approche permet de rapidement montrer que même en dehors de sa sphère habituelle d’évolution (les réseaux alternatifs), et par le truchement de comptes influents (inauthentiques ou bien réels), la diffusion de son contenu est bien réelle, régulière, et assez massive.

Plusieurs des comptes observés ici présentent les caractéristiques habituellement observées chez les trolls et désinformateurs :

  • Plusieurs comptes utilisant des pseudonymes séquentiels;
  • Des biographies surchargées d’émoji, de descriptions enthousiastes et guerrières, pro-trump, etc;
  • Des comptes très récents, postant peu de contenus propres et pourtant très suivis;
  • Du contenu directement relayé depuis Gab et probablement automatisé
  • etc…

Une hypothèse possible, mais non vérifiée, est que sous un ou plusieurs de ces comptes, se cache en réalité le webmaster du site Qactus.

Mais pourquoi la propagation de ce contenu est-elle une notion importante?

L’argent, le fuel de la désinformation

La désinformation est un ensemble de techniques de communication qui visent à tromper des personnes ou l’opinion publique pour protéger des intérêts, influencer l’opinion publique ou semer la discorde. Dans le cas de qactus, il est d’ailleurs possible de s’interroger ici si l’on est en présence de mésinformation (l’auteur croit que son information est réelle et la diffuse) ou de désinformation (l’auteur sait que l’information est fausse et la diffuse).

Mais une autre motivation est plus probable : l’appât financier.

En effet, si le site est hébergé sur la plateforme WordPress.com (le coût de maintenance est de l’ordre d’une vingtaine d’euros par mois), il n’en oublie pas moins de déclarer un traqueur publicitaire pour générer de l’argent… Il n’y a pas de petits profits.

extrait du code source de la page Qactus

Ce type de traqueurs permet de générer des revenus en revendant les données collectées à Google. S’il est très complexe de déterminer les sommes générées par ce site, il est possible de l’estimer à gros traits de deux manières :

  • Une simulation opérée sur le site de Google lui-même, pour un site d’information basé en Europe, sur l’estimation basse de 1.3M de visites mensuelles est susceptible de rapporter environ 32.500€ par an, ce qui est déjà, avouons le, plutôt confortable.
  • Cette estimation, minimale, est à peu près conforme à celles découvertes en recherchant sur Google les articles de blogueurs spécialisés sur le sujet.


Le créateur du site génère donc sans doute et avec l’appui de Google, des revenus complémentaires pour le moins intéressants.

Mais est-il possible de l’identifier?

Qui est Vanec71?

Deux profils de rédacteurs sont référencés sur le site : Laruche71, pseudonyme plutôt récent sur le site et Vanec71, auteur et administrateur historique du site. Le moteur du site étant basé sur WordPress, il est également possible de remonter ces pseudonymes d’auteurs via le dork Google suivant, classique et toujours très puissant :

Par le biais de l’outil Epieos, qui permet de voir comment et sur quels sites est utilisée une adresse e-mail, nous procédons au test de . A la base, la logique intrinsèque de l’outil de Epieos est de procéder à des tests à partir d’une adresse dont on sait qu’elle existe.

Mais rien n’empêche de l’utiliser avec des adresses « potentielles », non?

Commençons donc par tester une adresse Gmail… et le résultat parle de lui-même…

Grâce aux liens fournis par Epieos, nous découvrons que notre exquis webmaster a fait ses courses au Gifi du Creusot :

« Vanec Blue » (le nom renvoyé par Epieos) nous menait également fin 2021 vers une chaîne Youtube, avec deux vidéos peu vues :

Ce compte a désormais changé d’identité et d’avatar mais se trouve toujours en ligne.

Deux vidéos seulement et peu de vues… Ce n’est pourtant pas faute d’en assurer la promotion sur … la chaîne officielle « Qactus – L’Informateur », où on retrouve une des deux vidéos, élément liant un peu plus les deux comptes si besoin en était.

L’étape du mezze

A ce stade, nous avons recueilli quelques éléments intéressants, mais Il convient désormais de les mélanger :

Si le résultat n’est pas fameux sur Google, la même opération menée sur d’autres moteurs de recherches s’avérait beaucoup plus fructueuse en 2021. Ainsi, le moteur Qwant était un peu plus loquace :

Nous retrouvons alors deux de nos pivots, ainsi que plein de pivots supplémentaires :

S’agit il de la personne derrière le site conspirationniste à 1.98 million de vues ?

A ce stade, rien ne permet de l’attester complètement. On peut cependant objecter qu’en terme de probabilités, le pourcentage de personnes qui ont le même pseudonyme (assez signant), habitant dans la même ville de taille très moyenne (population du Creusot : 21887 personnes – 2015) est sans doute assez faible…

Passons la seconde…

Pour résoudre le mystère, on va utiliser l’équivalent du site HaveIBeenPwned. Ce site, qui est ouvert à tous moyennant un abonnement, permet de rechercher des identifiants et mots de passe à l’intérieur d’immenses bases de données ayant préalablement fuité sur internet, suite à des compromissions.

Une recherche sur Vanec71 donne rapidement trois informations clefs : un nom, un prénom et une nouvelle adresse mail chez Microsoft.

« Pat S » aurait-il une adresse au Creusot? Les pages jaunes sont nos amies…

Sacré Patoche…

Golfeur – on peut être QAnon et aimer les sports d’élite – « Pat S » a un profil sur Copains d’Avant indiquant qu’il a certainement vécu un temps à Carcassonne avant de revenir au pays.

Et évidemment, Patoche est bien présent sur VK ou Facebook, ce qui permet de vérifier l’ensemble de ces éléments.

Contacté à de nombreuses reprises, il n’a jamais retourné nos appels.

Pour conclure

A l’aide de quelques outils facilement accessibles, et d’un peu de méthodologie, il est possible d’analyser un de sites moteurs de la désinformation francophone et de constater qu’il est au centre d’un écosystème plus global :

  • Des liens d’affiliations avec toute la sphère réinformationnelle et complotiste anglophone et francophone
  • Une propagation virale déborde largement sur les réseaux sociaux conventionnels, avec une communauté forte qui porte et amplifie le message
  • Une saturation de l’espace médiatique sur les thèmes récurrents de la réinformation et du complot
  • Un intérêt financier certain, pour un personnage très discret

La gazette syrienne

La gazette syrienne

extrait de la Gazette Syrienne

A l’occasion de ses 20 ans le site The Syria Report a lancé deux rubriques gratuitement accessibles: la Gazette Officielle du gouvernement syrien et la rubrique Terrain Logement Propriété.

Ce site web connu pour publier des informations très précises sur l’actualité des entreprises en Syrie et des lois va faire le bonheur de la recherche OSINT: le Syria Report a fait l’acquisition de copie des publications de la Gazette depuis 1920.

Le sommaire de chaque publication est traduit en anglais pour faciliter les recherches

Un très beau projet d’une grande qualité: bravo!

Y a plein de mails intéressants sur yopmail.com

Y a plein de mails intéressants sur yopmail.com

Introduction

http://www.yopmail.com/ est un service de messagerie électronique temporaire, gratuit, et ne nécessitant strictement aucun mot de passe. N’importe qui peut y accéder avec n’importe quel identifiant, lequel peut être soit généré aléatoirement, soit choisit par l’utilisateur lui-même. Le service permet principalement la réception de messages. L’envoi de messages n’est uniquement possible que d’une adresse YOPmail vers une autre.

Lorsqu’un identifiant est utilisé pour la toute première fois, l’utilisateur a accès à une interface sans le moindre message. Par contre, lorsqu’un identifiant a déjà été utilisé, l’utilisateur a accès à l’intégralité des messages déjà reçus à l’adresse concernée, mais utilisée par un tout autre utilisateur. C’est là que ce service va nous intéresser !

Dans cet article, nous nous proposons de procéder à une analyse de l’état de l’art OSINT quant aux possibilités de YOPmail.

Scraping

L’outil suivant offre des possibilités de scraping très intéressantes :

https://github.com/antham/yogo

Pour peu qu’un expéditeur revienne fréquemment dans la liste des messages récupérés d’un compte, il y a de fortes chances pour que celui-ci soit particulièrement intéressant. L’OSINTer n’ayant pas le goût de la programmation de scripts pourra même utiliser l’outil suivant à cet effet :

https://www.browserling.com/tools/word-frequency

Une adresse mail est souvent utilisée lorsqu’il s’agit de procéder à des notifications, que ce soit sur la supervision d’un serveur de production, ou tout simplement sur un réseau social ou sur un services de petites annonces (« vous avez un nouveau message », « vous avez un nouvel appartement correspondant à votre recherche », … etc).

De telles adresses YOPmail pourront alors être facilement extraites et mises en évidence en utilisant yogo. Un point de vigilance sera cependant à considérer : à partir du moment où yogo est utilisé en masse, les équipements de sécurité derrière le site de YOPmail finissent par interdire l’accès du poste informatique d’où le scraping est lancé. Il conviendra alors d’utiliser un VPN pour procéder aux requêtes (la base …), et surtout de changer régulièrement de proxy.

Avoir le bon mindset

Sur quels types de comptes va t il être pertinent de procéder à nos recherches ?

YOPmail est un outil particulièrement facile d’utilisation et ne nécessite aucun effort de créativité ou d’imagination. Contrairement aux services de messagerie classique, tous les identifiants imaginables et possibles peuvent être utilisés ! Alors, en toute logique, autant considérer en priorité ceux les plus simples, voire même les plus idiots, non ? Ainsi, on pourra considérer :

  • les onomatopées d’informaticiens en test : toto, titi, tata, tutu, test, …
  • les jurons et les grossièretés
  • les célébrités les plus standards (inspiration : « Arrêtez, arrêtez! Vous vous êtes trompé, c’est le président de la République!« , Coluche dans l’Aile ou la Cuisse)
  • les variations Goldberg sur un clavier d’ordinateur (azertyuiop et ses cousins)

On pourra cependant noter que des résultats intéressants existent avec des variantes autour de nepasrepondre/noreply/donotreply.

Pivots et en-têtes

YOPmail n’est pas totalement standard, à l’exception de la possibilité d’affichage des Headers d’un message :

AInsi, pour peu qu’un message apparaisse comme pertinent, on pourra procéder à des recherches supplémentaires, afin de déterminer d’où il a été envoyé.

Quand un administrateur système fait un test …

Il fait un test ! Ci-après, voici des traces logicielles d’erreur alertant quant à un mot de passe invalide :

Et parfois il se sent juste en verve par rapport à l’actualité :

Par acquis de conscience, et afin de prévenir tout faux positif, l’examen des en-têtes du mail de « Didier Raoult » nous permet bien de retrouver sur Shodan la machine à l’origine du message. Elle fait effectivement partie d’une banque :

C’est toto qui fait du phishing

Au gré de quelques recherches rapides, on découvre le message suivant semblant lié à une banque :

Bien évidemment, l’URL derrière « Mon pass-sécurité » ne correspond en rien à celle d’une banque. Via quelques recherches sur le moteur urlscan.io, on découvre que le domaine derrière cette URL pourrait héberger de multiples plateformes de phishing bancaire :

Le hacking sans avoir à hacker

Sur la base des règles de recherche de compte préétablies (pas d’imagination, pas de recherche, pas de créativité), on trouve également le mail suivant :

Un examen des en-têtes du message ainsi qu’une recherche IP inversée nous permettent bien d’attester que ce message provient de Twitter :

Le compte Twitter associé apparaît comme tout à fait valide. En initiant le process de réinitialisation de compte, on retrouve même l’adresse de messagerie apparaissant dans les en-têtes du mail :

L’adresse en question est une variante/redirection de yopmail.com : courriel.fr.nf. Là où bon nombre de sites empêchent une inscription utilisant yopmail.com, il apparaît que Twitter accepte les adresses utilisant ce nom de domaine alternatif.

Conclusion

Les trouvailles de cet article sont loin d’être exhaustives. A moyen et long terme, il pourrait être pertinent de procéder à une étude plus détaillée des possibilités offertes par YOPmail. Incontestablement, par le biais de quelques recherches au final pas si compliquées, les potentialités de nuisance associées à ce service de messagerie s’avèrent particulièrement nombreuses.

En terme de recherche en sources ouvertes, on remarquera qu’une fois de plus, la puissance et la pertinence d’une source de pivots comme YOPmail ne repose pas sur une grande technicité. Comme toujours, c’est l’analyste qui fait d’abord l’OSINT, et en aucun cas ses outils de travail.

#JeSuisProf – OpenFacto met à disposition un petit guide de la vie privée

#JeSuisProf – OpenFacto met à disposition un petit guide de la vie privée

En réaction aux événements de Conflans Sainte Honorine, OpenFacto met à disposition un petit guide basique sur la vie privée en ligne pour qu’un compte Facebook mal paramétré ou une adresse de domicile publique ne soit pas un frein au travail fantastique et à la sécurité des professeurs dans les écoles, collèges, lycées et fac.

N’hésitez pas à diffuser ce guide et à nous contacter si vous voulez le mettre à jour, apporter des précisions ou des corrections.

Guide à télécharger ici

Reconnaissance faciale et OSINT – Digikam

Reconnaissance faciale et OSINT – Digikam

Inquiétante à plus d’un titre, la reconnaissance faciale peut tout de même s’avérer extrêmement pratique pour l’OSINT. La plus grosse problématique pour son utilisation reste la chaîne d’outils nécessaire : bien souvent des scripts python, des ressources systèmes importantes, une ergonomie douteuse pour le néophyte.

Nous vous proposons aujourd’hui à travers un cas simple, de mettre en œuvre un outil de reconnaissance faciale à moindre effort : Digikam.

Digikam

Digikam est un outil de gestion de bibliothèque photo qui reprend les grands principe de logiciels tels que iPhotos par exemple. Son gros avantage c’est qu’il est gratuit, open-source, et multiplateforme : originellement développé pour Linux, il est désormais disponible pour Windows et Mac. Vous le savez, à OpenFacto, nous sommes friands de logiciels libres!

Digikam est sorti ces jours-ci en version 7 – son développement est très actif! – et cette nouvelle mouture met l’accent sur son nouveau moteur de reconnaissance faciale. Un gros effort a en effet été réalisé pour améliorer les performance de Digikam sur ce point. Et le moins que l’on puisse dire, c’est que ça marche très très bien! y compris sur les animaux!

L’interface de Digikam

On ne s’attardera pas ici sur l’immensité des fonctions de Digikam pour la gestion de sa bibliothèque d’images mais plutôt sur la reconnaissance faciale proprement dite.

Création d’un corpus photo de référence

A l’aide d’Instaloader nous allons télécharger des photos d’un personnage public, pour constituer une base de connaissance de visages. Instaloader est un logiciel python qui permet de télécharger en masse des photos d’instagram. Mais vous pouvez utiliser votre propre technique pour faire de même, y compris télécharger vos photos manuellement. Dans votre répertoire d’images, créez un sous-répertoire et téléchargez-y vos images de références.

instaloader --login votre_login fhollande 

L’idéal est d’avoir plusieurs images sous différents angles de la personne, de près, de loin… Pour cet exemple, j’ai téléchargé au hasard une trentaine de photos, que j’importe ensuite dans Digikam.

L’interface de Digikam sur cet exemple.

Il faut maintenant lancer l’outil de détection de visages. Cliquez bouton droit, puis « Cherchez des visages » sur le nom de l’album.

Puis pour chaque photo de référence, placez un tag mentionnant le nom de la personne sur chaque image.

Sur chaque visage, placez le nom de la personne.

Certains visages ont pu ne pas être détectés par l’application : vous pouvez tout de même les identifier manuellement:

L’icône d’identification manuelle.

Une fois cette étape achevée, vous obtenez une base de référence :

Application sur des photos inconnues

Nous allons maintenant télécharger en masse des photos inconnues, comportant le hashtag « #francoishollande », grâce à Instaloader.

instaloader --login votre_login "#francoishollande"
(n'oubliez pas les guillemets autour du hashtag...

Nous réitérons ensuite la recherche de visages comme ci-dessus, en validant cette fois-ci « recognize faces« , puis en allant dans les « settings » pour baisser la sensibilité à 50%.

Après avoir appuyé sur « Analyser une collection…. » dans le premier onglet, et au bout de quelques secondes, Digikam indique les visages détectés.

Il suffit de les valider un par un pour confirmer la détection ET améliorer la détection future…..

Il est possible de jouer un peu à la hausse ou à la baisse avec le niveau de détection, en fonction de la base de référence (si elle contient beaucoup d’image ou pas), et de la forme des différentes photos.

ici par exemple avec un réglage à 41 au lieu de 50, de nombreux visages sont « reconnus » mais avec une marge d’erreur plus forte…

Conclusion

En détournant un outil tel que Digikam, on peut obtenir très rapidement un très chouette outil d’OSINT et vous faire gagner un temps précieux pour l’exploitation de milliers de clichés.

Attention toutefois. Digikam reste un outil… jamais parfait!
Fiez vous aussi à votre œil!