OpenFacto participe au CTF OSINT UYBHYS – Retex

OpenFacto participe au CTF OSINT UYBHYS – Retex

Vendredi 12 novembre se tenait la 6ème édition d’UYBHYS. durant laquelle un CTF d’OSINT était organisé de 16h00 à 22h00 en distanciel.

UYBHYS, pour “Unlock your Brain, Harden your System”, est l’événement de sécurité numérique le plus à l’Ouest, en Bretagne, evel-just !

Petit CTF sympa en perspective, organisé par : @erys70695660, @madame_https et @D4ftR0ck, ainsi que  @0xraven_

Une fine équipe encadrée par @realDumbleDork, fondateur de la communauté Osint-fr.

Ni une ni deux, nous nous y greffons, en nous répartissant sur deux équipes.

Au menu, une enquête fictive qui démarre sur la société Berzelius Corp, victime du vol de l’un de ses camions contenant des produits hautement chimiques. 
Trois parcours étaient disponibles : 

  • Une investigation principale avec une douzaine de challenges s’articulant autour du vol du camion par un groupuscule éco-terroriste.
  • Des investigations parallèles avec quatre défis autour des petits secrets des employés de la société fictive et de leurs interactions en terre bretonne.

Ces deux premiers parcours mixeront socmint, geoint, bases de données en ligne…

  • Les crypto-Investigations : 5 challenges. Ce dernier parcours se concentre sur le secteur de la crypto.

Côté Orga : 

Présents sur ce CTF : 135 joueurs répartis en 44 équipes.

Le CTF accuse un retard d’1 minute, car l’ensemble des challenges furent laissés en “Admin Only”. 

L’histoire est bien rodée, les personnages et l’intrigue nous amènent de recherches en découvertes, avec quelques petits sujets un peu tordus.

C’est dans la bonne humeur que se terminera ce CTF avec en scoreboard :

Quelques focus et anecdotes sur les challenges

Zoom sur Challenge “On the Road Again”

On notera parmi les différentes énigmes, un challenge qui a fait couler beaucoup d’encre : “On the Road Again”, concocté par @Erys.

10 équipes sur 44 sont parvenues à trouver la solution au défi… une énigme assez simple à résoudre et pourtant, les biais de confirmation, d’attribution et l’effet d’ancrage auront eu raison d’une bonne partie des participants.

Erys résumera le mieux la performance moyenne des participants à cette énigme :

Et oui :

Zoom sur le parcours Crypto :

Le parcours crypto se compose de cinq questions amenait les équipes à enquêter sur le financement de l’Ordre des Avocettes. Fort heureusement, les questions ne portaient pas sur l’analyse de la blockchain et aux nombreuses transactions qu’elle comporte, exercice délicat et chronophage 

Les challenges du parcours mettaient en lumière la relative notion de pseudonymat entourant les crypto-monnaies. Car si la blockchain est pseudonymisée, la surface numérique d’un wallet ne l’est pas pour autant. Il était possible de trouver toutes les réponses en effectuant une recherche simple sur un moteur de recherche à partir du numéro du wallet et en ajoutant éventuellement à la requête des détails sur ce qu’on voulait trouver.
    Un des challenges amène les équipes à trouver le nom d’un marché noir du dark web sur lequel le wallet s’était approvisionné en drogue, information que l’on trouvait pourtant sur le web de surface via un simple moteur de recherche sans nécessité de parcourir le dark web.

La question nous rappelait qu’il n’existe pas qu’une seule crypto-monnaie comme il n’existe pas qu’une seule blockchain. Et oui, un des wallets ciblés n’effectue pas que des transactions en Bitcoin [BTC] mais aussi en Bitcoin Cash [BCH]. Cette autre monnaie virtuelle étant régi par sa propre blockchain !

Et une dernière  anecdote pour la route :


    “Les Narcos chinois” ou “de la nécessité de bien vérifier si ce que l’on trouve est bien ce que l’on cherche”.

Vous est-il déjà arrivé de vous perdre sur internet ? N’ayez pas honte c’est tout à fait naturel, même au cours d’un CTF …

L’une des questions du challenge nécessitait de trouver des informations sur une adresse MAC :

adresse MAC : A8:BA:8B:CB:5F:82. Il semblerait qu’il s’agisse de l’adresse MAC de l’IPhone auquel est relié l’AirTag. Il est possible que cette adresse nous mène vers l’endroit où les voleurs cachent le camion et les produits chimiques.

A partir de ces informations, trouvez cette adresse postale.”

La résolution de cet énigme était simple si l’on avait connaissance du site wigle.net mentionné plus haut. Or, ce n’était absolument pas notre cas.

Passé la détresse des premiers instants suivi de requêtes paniques sur Google, l’un des membres de l’équipe a eu la bonne idée de passer l’adresse MAC sur shodan.io , ce qui n’est pas une mauvaise idée en soit et là … bingo !

Une adresse IP en Chine semble liée à une liste d’adresse MAC dont celle que nous cherchons, ce qui est très rare. Le challenge demandant de trouver une adresse, nous devons nous résoudre à tenter les coordonnées GPS liées à cette IP :

La Chine en Bretagne ? Tant pis qui ose gagne !

Pas très parlant, les routes n’ont même pas de noms sur Google Maps. Tiens ! Un coup de bol, un utilisateur a pris en photo et publié sur google l’endroit d’où proviennent les coordonnées GPS, nous touchons au but. Dans un endroit aussi bizarre ce ne peut être un hasard !

???!!!

Voilà donc le lieu où les Cartels de La Couyère et de Corps-Nuds (CF – le Challenge) se retrouvent pour négocier et se partager la Bretagne tout en concoctant des CTF GEOINT impossible. Une découverte capitale dans la lutte contre le crime organisé.

Plus sérieusement et malgré l’aspect trivial de la chose, il est important de vérifier si ce que l’on a trouvé correspond bien à ce que l’on cherchait. En effet Shodan a affiché l’adresse IP mais ne montrait pas explicitement ce qui avait été trouvé. En effectuant de nouveau la requête on se rend compte avec effroi en filtrant la page des résultats que :
Shodan n’a fait une correspondance que sur les 3 premiers digits de l’adresse MAC parmi la liste des autres adresses. Cela aurait donc pu être évité.

Qui plus est, les coordonnées GPS du site ipleak.net indiquait que la portée était de 5 km de rayon (pas très chirurgical).     Heureusement que cette folie a cessé, parce qu’il était possible, avec le nom d’utilisateur de la personne ayant posté cette photographie mythique, d’en déduire le mail et de pivoter sur son compte Instagram et TikTok qui comportait des publications de lieux, boutiques et … d’avions ! De quoi se perdre encore un tout petit peu.

Le + apprécié par les participants : 

  • Le format du CTF dans son déroulé et dans son timing et l’heure : meilleur compromis pour engager du monde sur un évènement sans trop impacter sur le temps perso, 
  • Le discord pour le chat temps réel, permettant aux équipes de ne pas perdre de temps sur des problèmes techniques, et de permettre aux organisateurs d’adapter ou de corriger en temps réel, tout dysfonctionnement, consignes pas très claires ou errances des participants (exemple, avec “On the road again” : les organisateur ont délivré un indice supplémentaire et corrigé la consigne de saisie de la réponse)

Les axes d’amélioration : 

  • On the road again : La consigne de la saisie de la réponse n’était pas claire et l’énigme tirée par les cheveux. Le style “enquête de détective” ne colle pas avec l’énigme posée qui est un jeu de mots et dont le flag est caché sur un site qui n’a aucun lien avec l’activité. 
  • Certaines tournures des énigmes ne sont pas très claires. 

Les conseils OF pour un CTF démarrer en CTF :

  1. Être une team pleine est préférable si on souhaite truster le top 10 
  2. S’organiser ! s’organiser et… s’organiser :
  • Parfois quand on bute, il faut savoir prendre le temps de revoir l’énigme depuis le début ou, à défaut de mieux, savoir abandonner. Exemple : challenge “On the Road again” qui n’apporte rien si ce n’est 30 points et ne débloque pas d’autres énigmes. 
  • Ne pas hésiter à solliciter l’équipe organisatrice si on sent que l’on a la réponse mais qu’on bute sur une question technique ou fonctionnelle. Exemple : nomenclature de la réponse (case sensitive, pris en en compte des accents…). 
  1. A moins qu’un CTF ne précise le sujet des recherches, se concerter à l’avance sur les outils à regrouper pour le CTF (via un https://start.me par exemple) et se partager les recherches par spécialité (exemple avec les challenge Crypto, domaine très spécifiques et totalement inconnus de certains osinteurs) 
  2. Ne pas oublier le document de travail partagé pour y déposer tous les indices et liens trouvés durant le CTF

Quelques liens utiles découverts durant le CTF :

  • https://www.immo-data.fr qui permet d’explorer une carte avec tous les biens à vendre à proximité et d’obtenir des informations détaillées sur les dits bien (et ainsi avoir des données de pivot pour compléter / affiner les recherches sur https://www.cadastre.gouv.fr par exemple) .
  • https://www.vivino.com et https://untappd.com/ : applications mobiles pour amateurs de vins et de bières qui y laissent des avis et parfois quelques petites informations personnelles (pour trouver un user, saisir le jeu de pseudos probables pour accéder à leurs pages dans l’url).
  • https://wigle.net/ : base de données permettant de trouver des réseaux sans fil (WIFI, objets connectés…) via leur adresse mac, entre autres.

Concernant la crypto et les blockchains :

Intro à la blockchain :
    La blockchain compile l’intégralité des transactions effectuées entre des portefeuilles de crypto-monnaies (appelés wallet), la transaction une fois vérifiée et compilée dans les règles de la blockchain est en théorie impossible à falsifier. Chaque crypto-monnaie possède son propre système de compilation de transactions, l’écrasante majorité utilisant le système de la blockchain.

Ces fameux registres en source ouvertes indiquent le numéro des wallets, les soldes et les montants impliqués dans chaque transaction.
Les transactions visibles en OSINT sont “anonymisées” car l’identité des propriétaires de wallet n’apparaît pas. On parle alors de “pseudonymat”, les plateformes en ligne étant légalement dans l’obligation de demander et de conserver l’identité réelle des détenteurs de wallet.
Les crypto-monnaies quant à elles, s’achètent, sauf exception, sur des plateformes en ligne contre de la monnaie fiduciaire ou en échanges d’autres crypto-monnaies.

Pour aller plus loin :

  • https://www.youtube.com/watch?v=6uYRN6b5EMU : “Comprendre la blockchain en 7 minutes »
    Cette chaîne : “Cryptoast” propose également les vidéos : “Qu’est ce que le Bitcoin” et “Comprendre les crypto-monnaies en 8 minutes”

Autres liens :

Lien pour accéder à l’ensemble du CTF (Q/R) : 

https://github.com/pcotret/ctf-writeups/tree/master/uybhys-2021

Lien vers le salon unlock

https://www.unlockyourbrain.bzh/

Lien vers OsintFr :

La gazette syrienne

La gazette syrienne

extrait de la Gazette Syrienne

A l’occasion de ses 20 ans le site The Syria Report a lancé deux rubriques gratuitement accessibles: la Gazette Officielle du gouvernement syrien et la rubrique Terrain Logement Propriété.

Ce site web connu pour publier des informations très précises sur l’actualité des entreprises en Syrie et des lois va faire le bonheur de la recherche OSINT: le Syria Report a fait l’acquisition de copie des publications de la Gazette depuis 1920.

Le sommaire de chaque publication est traduit en anglais pour faciliter les recherches

Un très beau projet d’une grande qualité: bravo!

Y a plein de mails intéressants sur yopmail.com

Y a plein de mails intéressants sur yopmail.com

Introduction

http://www.yopmail.com/ est un service de messagerie électronique temporaire, gratuit, et ne nécessitant strictement aucun mot de passe. N’importe qui peut y accéder avec n’importe quel identifiant, lequel peut être soit généré aléatoirement, soit choisit par l’utilisateur lui-même. Le service permet principalement la réception de messages. L’envoi de messages n’est uniquement possible que d’une adresse YOPmail vers une autre.

Lorsqu’un identifiant est utilisé pour la toute première fois, l’utilisateur a accès à une interface sans le moindre message. Par contre, lorsqu’un identifiant a déjà été utilisé, l’utilisateur a accès à l’intégralité des messages déjà reçus à l’adresse concernée, mais utilisée par un tout autre utilisateur. C’est là que ce service va nous intéresser !

Dans cet article, nous nous proposons de procéder à une analyse de l’état de l’art OSINT quant aux possibilités de YOPmail.

Scraping

L’outil suivant offre des possibilités de scraping très intéressantes :

https://github.com/antham/yogo

Pour peu qu’un expéditeur revienne fréquemment dans la liste des messages récupérés d’un compte, il y a de fortes chances pour que celui-ci soit particulièrement intéressant. L’OSINTer n’ayant pas le goût de la programmation de scripts pourra même utiliser l’outil suivant à cet effet :

https://www.browserling.com/tools/word-frequency

Une adresse mail est souvent utilisée lorsqu’il s’agit de procéder à des notifications, que ce soit sur la supervision d’un serveur de production, ou tout simplement sur un réseau social ou sur un services de petites annonces (« vous avez un nouveau message », « vous avez un nouvel appartement correspondant à votre recherche », … etc).

De telles adresses YOPmail pourront alors être facilement extraites et mises en évidence en utilisant yogo. Un point de vigilance sera cependant à considérer : à partir du moment où yogo est utilisé en masse, les équipements de sécurité derrière le site de YOPmail finissent par interdire l’accès du poste informatique d’où le scraping est lancé. Il conviendra alors d’utiliser un VPN pour procéder aux requêtes (la base …), et surtout de changer régulièrement de proxy.

Avoir le bon mindset

Sur quels types de comptes va t il être pertinent de procéder à nos recherches ?

YOPmail est un outil particulièrement facile d’utilisation et ne nécessite aucun effort de créativité ou d’imagination. Contrairement aux services de messagerie classique, tous les identifiants imaginables et possibles peuvent être utilisés ! Alors, en toute logique, autant considérer en priorité ceux les plus simples, voire même les plus idiots, non ? Ainsi, on pourra considérer :

  • les onomatopées d’informaticiens en test : toto, titi, tata, tutu, test, …
  • les jurons et les grossièretés
  • les célébrités les plus standards (inspiration : « Arrêtez, arrêtez! Vous vous êtes trompé, c’est le président de la République!« , Coluche dans l’Aile ou la Cuisse)
  • les variations Goldberg sur un clavier d’ordinateur (azertyuiop et ses cousins)

On pourra cependant noter que des résultats intéressants existent avec des variantes autour de nepasrepondre/noreply/donotreply.

Pivots et en-têtes

YOPmail n’est pas totalement standard, à l’exception de la possibilité d’affichage des Headers d’un message :

AInsi, pour peu qu’un message apparaisse comme pertinent, on pourra procéder à des recherches supplémentaires, afin de déterminer d’où il a été envoyé.

Quand un administrateur système fait un test …

Il fait un test ! Ci-après, voici des traces logicielles d’erreur alertant quant à un mot de passe invalide :

Et parfois il se sent juste en verve par rapport à l’actualité :

Par acquis de conscience, et afin de prévenir tout faux positif, l’examen des en-têtes du mail de « Didier Raoult » nous permet bien de retrouver sur Shodan la machine à l’origine du message. Elle fait effectivement partie d’une banque :

C’est toto qui fait du phishing

Au gré de quelques recherches rapides, on découvre le message suivant semblant lié à une banque :

Bien évidemment, l’URL derrière « Mon pass-sécurité » ne correspond en rien à celle d’une banque. Via quelques recherches sur le moteur urlscan.io, on découvre que le domaine derrière cette URL pourrait héberger de multiples plateformes de phishing bancaire :

Le hacking sans avoir à hacker

Sur la base des règles de recherche de compte préétablies (pas d’imagination, pas de recherche, pas de créativité), on trouve également le mail suivant :

Un examen des en-têtes du message ainsi qu’une recherche IP inversée nous permettent bien d’attester que ce message provient de Twitter :

Le compte Twitter associé apparaît comme tout à fait valide. En initiant le process de réinitialisation de compte, on retrouve même l’adresse de messagerie apparaissant dans les en-têtes du mail :

L’adresse en question est une variante/redirection de yopmail.com : courriel.fr.nf. Là où bon nombre de sites empêchent une inscription utilisant yopmail.com, il apparaît que Twitter accepte les adresses utilisant ce nom de domaine alternatif.

Conclusion

Les trouvailles de cet article sont loin d’être exhaustives. A moyen et long terme, il pourrait être pertinent de procéder à une étude plus détaillée des possibilités offertes par YOPmail. Incontestablement, par le biais de quelques recherches au final pas si compliquées, les potentialités de nuisance associées à ce service de messagerie s’avèrent particulièrement nombreuses.

En terme de recherche en sources ouvertes, on remarquera qu’une fois de plus, la puissance et la pertinence d’une source de pivots comme YOPmail ne repose pas sur une grande technicité. Comme toujours, c’est l’analyste qui fait d’abord l’OSINT, et en aucun cas ses outils de travail.

#JeSuisProf – OpenFacto met à disposition un petit guide de la vie privée

#JeSuisProf – OpenFacto met à disposition un petit guide de la vie privée

En réaction aux événements de Conflans Sainte Honorine, OpenFacto met à disposition un petit guide basique sur la vie privée en ligne pour qu’un compte Facebook mal paramétré ou une adresse de domicile publique ne soit pas un frein au travail fantastique et à la sécurité des professeurs dans les écoles, collèges, lycées et fac.

N’hésitez pas à diffuser ce guide et à nous contacter si vous voulez le mettre à jour, apporter des précisions ou des corrections.

Guide à télécharger ici

Reconnaissance faciale et OSINT – Digikam

Reconnaissance faciale et OSINT – Digikam

Inquiétante à plus d’un titre, la reconnaissance faciale peut tout de même s’avérer extrêmement pratique pour l’OSINT. La plus grosse problématique pour son utilisation reste la chaîne d’outils nécessaire : bien souvent des scripts python, des ressources systèmes importantes, une ergonomie douteuse pour le néophyte.

Nous vous proposons aujourd’hui à travers un cas simple, de mettre en œuvre un outil de reconnaissance faciale à moindre effort : Digikam.

Digikam

Digikam est un outil de gestion de bibliothèque photo qui reprend les grands principe de logiciels tels que iPhotos par exemple. Son gros avantage c’est qu’il est gratuit, open-source, et multiplateforme : originellement développé pour Linux, il est désormais disponible pour Windows et Mac. Vous le savez, à OpenFacto, nous sommes friands de logiciels libres!

Digikam est sorti ces jours-ci en version 7 – son développement est très actif! – et cette nouvelle mouture met l’accent sur son nouveau moteur de reconnaissance faciale. Un gros effort a en effet été réalisé pour améliorer les performance de Digikam sur ce point. Et le moins que l’on puisse dire, c’est que ça marche très très bien! y compris sur les animaux!

L’interface de Digikam

On ne s’attardera pas ici sur l’immensité des fonctions de Digikam pour la gestion de sa bibliothèque d’images mais plutôt sur la reconnaissance faciale proprement dite.

Création d’un corpus photo de référence

A l’aide d’Instaloader nous allons télécharger des photos d’un personnage public, pour constituer une base de connaissance de visages. Instaloader est un logiciel python qui permet de télécharger en masse des photos d’instagram. Mais vous pouvez utiliser votre propre technique pour faire de même, y compris télécharger vos photos manuellement. Dans votre répertoire d’images, créez un sous-répertoire et téléchargez-y vos images de références.

instaloader --login votre_login fhollande 

L’idéal est d’avoir plusieurs images sous différents angles de la personne, de près, de loin… Pour cet exemple, j’ai téléchargé au hasard une trentaine de photos, que j’importe ensuite dans Digikam.

L’interface de Digikam sur cet exemple.

Il faut maintenant lancer l’outil de détection de visages. Cliquez bouton droit, puis « Cherchez des visages » sur le nom de l’album.

Puis pour chaque photo de référence, placez un tag mentionnant le nom de la personne sur chaque image.

Sur chaque visage, placez le nom de la personne.

Certains visages ont pu ne pas être détectés par l’application : vous pouvez tout de même les identifier manuellement:

L’icône d’identification manuelle.

Une fois cette étape achevée, vous obtenez une base de référence :

Application sur des photos inconnues

Nous allons maintenant télécharger en masse des photos inconnues, comportant le hashtag « #francoishollande », grâce à Instaloader.

instaloader --login votre_login "#francoishollande"
(n'oubliez pas les guillemets autour du hashtag...

Nous réitérons ensuite la recherche de visages comme ci-dessus, en validant cette fois-ci « recognize faces« , puis en allant dans les « settings » pour baisser la sensibilité à 50%.

Après avoir appuyé sur « Analyser une collection…. » dans le premier onglet, et au bout de quelques secondes, Digikam indique les visages détectés.

Il suffit de les valider un par un pour confirmer la détection ET améliorer la détection future…..

Il est possible de jouer un peu à la hausse ou à la baisse avec le niveau de détection, en fonction de la base de référence (si elle contient beaucoup d’image ou pas), et de la forme des différentes photos.

ici par exemple avec un réglage à 41 au lieu de 50, de nombreux visages sont « reconnus » mais avec une marge d’erreur plus forte…

Conclusion

En détournant un outil tel que Digikam, on peut obtenir très rapidement un très chouette outil d’OSINT et vous faire gagner un temps précieux pour l’exploitation de milliers de clichés.

Attention toutefois. Digikam reste un outil… jamais parfait!
Fiez vous aussi à votre œil!

CTF Trace Labs #5 – Recherches de micro-informations, gestion du temps, et Mr Freeze

CTF Trace Labs #5 – Recherches de micro-informations, gestion du temps, et Mr Freeze

Quand l’un des membres d’OpenFacto a annoncé sur Slack qu’un nouveau CTF (Capture The Flag) Trace Labs allait avoir lieu le 11 juillet, quelques mains se sont levées pour participer. Quand il a annoncé que cette fois-ci il aurait lieu de 17h à 23h, donc pas de minuit à 6h comme lors de la précédente édition, c’est une avalanche de membres qui a manifesté son intérêt ! (ou en tout cas assez pour constituer deux équipes de quatre, l’auteur étant simplement friand de formules grandiloquentes).


Vous n’avez jamais entendu parler de ces évènements organisés en vue de retrouver des personnes disparues ? Envie d’avoir un peu plus de détails ? Nous vous invitons à lire notre premier retour d’expérience écrit suite à notre précédente participation.


Aujourd’hui, pas d’article visant à approfondir un point de connaissance, comme avec le premier article qui s’intéressait à la question de l’analyse des tatouages.

L’idée est plutôt de faire le point sur notre organisation, ce qui a marché, ce qui a moins marché, et des axes d’amélioration possibles pour le futur.
Si vous avez des avis à partager sur ce qui suit, n’hésitez pas à nous répondre ici en commentaire ou via Twitter. Et si nous oublions de mentionner des éléments qui vous semblent importants, faites-nous signe et nous mettrons à jour l’article avec ces derniers.

Organisation

Pour cette édition, huit membres d’OpenFacto étaient motivés pour participer, nous avons donc fait deux équipes :

  • OpenFacto (obviously), comptant à son bord Capteurso, Hervé, Sébastien et ştəf// – fini 26ème sur 190 équipes ;
  • The French Flair by OF, composée notamment de L003, 0skAr et Roman – fini 23ème.
Tableau des scores final


Ensuite, pour répartir les gens entre les deux équipes, nous avons fait passer des tests d’aptitude à l’OSINT, évalué les CVs de chacun(e), et… non pas du tout, nous avons pris le premier (littéralement) site de répartition aléatoire en équipe sur Google, et défini les équipes à partir de là. Il s’est avéré que les teams ainsi formées ont bien fonctionné ; à voir pour la prochaine édition si nous essayons de déployer une réelle stratégie quant à ce sujet – nous y reviendrons plus tard.


Pour la communication écrite, nous avons privilégié Slack, qui permet de faire un thread par profil, afin de ne pas mélanger toutes les informations. Le canal vocal était assuré par Jitsi.

Il était envisagé d’utiliser framamind afin de faciliter la visualisation des profils et informations récoltées. Finalement, le fait de ne pas forcément changer souvent de cas d’analyse a fait que les threads Slack étaient suffisants. 

A noter toutefois que TraceLabs recommande dans son guide de ne pas passer plus d’une heure sur un cas où l’on ne trouverait aucune information, et conseille également l’utilisation de cartes mentales (cf. p.15-16).

Cette édition proposait l’analyse de huit cas, chaque membre d’une équipe était donc en charge de deux profils a minima, avec possibilité de passer sur d’autres en cas d’impasse. 

Quelques points à retenir pour les prochaines éditions

Ci-dessous une liste de points en vrac, sans classement suivant l’importance du contenu, mais qu’il nous semble pertinent d’avoir en tête pour les prochaines fois :

  • Si aucun flag n’est validé ni rejeté au bout d’une heure, ne pas hésiter à pinger l’équipe TraceLabs sur Slack, par exemple AK47Intel. Et même, mieux : vérifier à l’avance que l’équipe s’est bien vue assigner un juge (un fichier csv est fourni dans le channel du CTF afin de connaître le nom du juge qui s’occupe de l’équipe).
  • La recherche de profils snapchat via snapdex.com ne renvoie pas forcément de résultats pertinents.
  • Les copies d’écrans Android ne servent à rien si la preuve ne peut être rattachée à une URL (l’URL snapcode ne suffit pas).
  • Prendre le temps de faire une première passe, pour les profils US, sur des sites de recherches US (ex : spytox.com, thatsthem.com, etc.). MAIS bien prendre avec des pincettes ce que renvoient ces sites. Idéalement effectuer quelques vérifications derrière, avant de soumettre le flag.
  • Prendre le temps aussi de faire une première passe sur les informations basiques (ex : dates de naissance) qui, si elles ne rapportent que peu de points, une fois accumulés en fournissent finalement un nombre conséquent.
  • Prendre le temps – si réalisable – de lire les posts sur les réseaux sociaux de la personne disparue (notamment pour connaître ses hobbies). A minima aux alentours de la date de sa disparition. Se pencher aussi sur les commentaires et tags de personnes proches permettant (potentiellement) de récupérer d’autres profils de la cible, ainsi que leur nouveau compagnon/nouvelle histoire, qui les renvoient à leur profil actuel.
  • A ce sujet, Twint se révèle bien pratique pour ne récupérer que les tweets postés au moment de la disparition de la personne (notamment profils Twitter de ses amis).
  • La question de savoir comment déterminer si un numéro de téléphone US est assigné à un fixe ou un mobile s’est posée pendant l’évènement. A tête reposée, nous pouvons maintenant dire qu’il aurait pu être intéressant de passer par des services tels que TrueCaller ou OpenCnam, FreeCarrierLookup ou encore HLR Lookup déjà mentionné il y a quelques temps sur le discord d’OSINT-FR – mais aucune garantie quant à l’identification mobile/fixe.
  • Faire la liste d’un ensemble de sélecteurs (adresses mails, numéros de téléphones, création d’adresses mails et pseudos à partir du nom+prénom, etc.). Puis les vérifier sur autant de plateformes que possible (via whatsmyname ou instantusername), et lister le tout dans un document collaboratif. Envisager ensuite de désigner une à deux personnes afin d’approfondir ces données et réaliser une investigation latérale (recherche massive de sélecteurs et de sources potentielles) de l’investigation transversale (approfondissement d’un profil, ses commentaires, etc.).
  • Préparer des outils et moteurs pour le darkweb en amont et y passer au crible tous les sélecteurs (identité, email, username, etc.). Envisager de préparer une base de leaks avant l’évènement.
  • Préparer également un ensemble de services de « reconnaissance faciale » : Yandex, Bing, Tineye, etc..
  • Dans l’ensemble, nous avons réalisé beaucoup de recherches manuelles. A voir donc si et comment il serait possible d’en automatiser une partie.
  • Voir pour passer moins de temps sur certains profils. 6h, c’est à la fois très peu et très long, mais il s’agirait de réfléchir si passer 4 à 5h sur le même profil – ce qui a été le cas pour un ou deux membres – est vraiment un choix efficace.
  • Autre point à voir plus tard : envisager peut-être un rôle/spécialité par personne/compétence.
    • un/e « forgeron » qui récupère, par OSINT ou recréation, tous les sélecteurs, qu’il met à disposition ;
    • un/e ou deux enquêteurs qui approfondissent les profils et les subtilités historiques et comportementales ;
    • un/e spécial deepweb/darkweb.
      L’autre possibilité consistant à d’abord se concentrer sur un ou deux profils, puis passer à une revue de tous les profils en ne s’intéressant qu’à un des aspects mentionnés ci-dessus.

Conclusion

Ce qui est pas mal ressorti de nos discussions post-CTF, c’est la frustration de ne pas trouver des informations particulièrement remarquables sur chaque profil. Est-ce que cela vaut vraiment le coup de passer 6h sur le cas de deux à trois personnes disparues, pour ne ressortir finalement que des éléments facilement retrouvables : numéro de téléphone posté sur instagram, liens vers les différents profils sur les réseaux sociaux, etc. ?


A cette question que bon nombre se posent, Trace Labs réponds oui, cela vaut la peine : « We may not always find relevant or useful information to pass along to Law Enforcement (LE). But what we did accomplish was showing Law Enforcement that they truly have exhausted every lead and that they did their jobs well and to the best of their abilities. To them, that’s extremely valuable and it puts their minds at ease. » 


Chaque information, aussi minime qu’elle soit à vos yeux, doit être remontée : marque du téléphone de la personne (information intéressante pour les forces de l’ordre), goût prononcé pour le dessin, l’alcool, les Mr Freeze, etc.. Tout peut avoir son importance, pour peu que les personnes en charge de l’enquête n’y ait pas prêté attention. Et si c’est déjà le cas, cela les rassurera néanmoins quant au fait qu’elles ont cherché autant que possible.


En outre Trace Labs insiste sur le fait qu’il ne faut pas oublier les deux buts principaux de ces évènements :

  • trouver des informations sur des personnes disparues ;
  • améliorer nos compétences en OSINT – car oui, cela compte aussi.

Vous avez, vous aussi, été frustré par les données obtenues après de longues heures de recherches ? Hauts les cœurs, cela fait partie de l’apprentissage ! Et si vous n’avez pas l’impression d’être devenu une rock star de l’OSINT en 6h, vous avez néanmoins mis en pratique des connaissances déjà acquises – vous n’en deviendrez que plus efficace – voire appris de nouvelles techniques – on ne peut espérer mieux – et participé à un effort positif international. Donc rien de tout cela n’est perdu.


Un autre point qui nous a été remonté, c’est qu’il était encore plus sympa de réaliser ce genre d’évènements dans un même lieu avec le reste de l’équipe. Ainsi, à titre informatif, OpenFacto commence à réfléchir à comment réunir, une fois par an, l’ensemble de ses membres participant au CTF dans un espace commun, afin que les coéquipiers puissent interagir ensemble de vive voix, et que les différentes teams puissent ensuite échanger sur les cas abordés une fois le CTF fini.

Intéressé ? Faites-le-nous savoir sur Twitter ou notre Slack !


Un grand bravo à toutes les équipes !