OSINT : un journaliste dévoile les trop grosses ficelles d’une campagne pro-russe

Un journaliste britannique a mis à nue l’existence d’une multitude de sites web liés à la tristement célèbre « usine à trolls » du Kremlin.

Récemment, la stratégie digitale d’organisations comme l’Etat islamique a démontré que le Web est devenu un lieu où gagner les cœurs est une priorité pour tous types d’acteurs, de l’entreprise à l’Etat, de l’organisation officielle à l’organisation informelle. Pour autant, une enquête fouillée peut parfois rebattre les cartes.

Les révélations de Lawrence Alexander, un journaliste britannique, ont mis à jour les liens entre les identifiants Google Analytics de sites Web et la base de données de l’équipe de trolls du Kremlin, particulièrement actifs sur la question de la crise russo-ukrainienne. Cette enquête réalisée entièrement en open source illustre comment des éléments d’ordre technique peuvent permettre d’identifier rapidement des individus, souvent peu conscients des techniques d’anonymisation que peuvent utiliser des groupes plus chevronnés.

Un site de memes pro-Kremlin à l’origine de l’enquête

Tout a commencé par la découverte d’un site, вштабе.рф, qui véhicule des images et des memes soutenant le régime de Vladimir Poutine. « Le design du site n’était pas crédité et il n’y avait aucune indication qui expliquait qui pourrait être derrière celui-ci » explique Alexander dans son article. Intrigué, le journaliste britannique décide d’avoir recours au logiciel open source Maltego dans le but d’obtenir plus d’informations sur вштабе.рф.

Le site Web вштабе.рф

Capture d'écran ВШтабе.Рф

 

 

 

Maltego est un outil d’OSINT (Open Source Intelligence) relativement puissant : plusieurs tutoriels, disponibles en ligne, ont démontré l’utilité de l’outil pour obtenir des informations publiques disponibles sur les sites investigués, dans le code-source par exemple. Maltego permet également de récupérer tout ou partie des comptes Twitter, numéros des téléphones ou encore informations relatives au nom de domaine grâce à une recherche avancée sur le site Web.

Dans ce cas précis, le journaliste a découvert un « sésame » sous la forme d’un identifiant Google Analytics. Google Analytics est un service Google fréquemment utilisé dans le référencement des sites Web car cela permet de déterminer plusieurs informations importantes dans le développement du trafic d’un site web (qui visite le site, quel est le pays d’origine, l’adresse IP, quels ont été les mots-clefs utilisés, etc.).

Une fois inscrit à Google Analytics, on reçoit un numéro d’identification (le « Google Analytics ID »), ici UA-53176102 que nous appellerons UA. L’insertion de l’UA dans le code-source du site lie Google à votre site et permet de bénéficier de nombreuses fonctionnalités.

De précieux recoupements

C’est à ce moment où les concepteurs du site ont réalisé une première erreur.

« Je voulais voir si la personne ou l’organisation derrière вштабе.рф utilisait le même compte Google Analytics pour d’autres sites » explique le journaliste. Cette technique a été rendue possible grâce à l’émergence de nombreux services gratuits sur le Web tel que sameID.net qui permet de scanner le Web pour identifier les occurrences.

L’analyse de l’outil a permis de déterminer que le Google Analytics ID associé aux sites avait également été utilisé sur plusieurs autres sites. Une erreur majeure de la part des concepteurs du site qui sera pourtant loin d’être la seule.

Capture d'écran Google Analytics ID

Capture d’écran Google Analytics ID. Crédit : Lawrence Alexander

En tout, pas moins de sept sites étaient connectés entre eux par l’utilisation commune d’un Google Analytics ID :

  • whoswho.com.ua, un site de type Who’s Who dont l’objectif était de rassembler des informations compromettantes sur des dirigeants ukrainiens,
  • zanogo.com, un autre site de memes anti-occidentaux
  • yapatriot.ru, un site utilisé dans le but de discréditer les opposants russes au gouvernement.
  • syriainform.com, dont l’objectif consistait à promouvoir une vision pro-Assad et anti-américaine de la guerre civile en Syrie
  • le site web de Material Evidence, une exposition photo sur la guerre en Ukraine et en Syrie, dont les liens avec Moscou ont fréquemment été soulignés

Des faisceaux de présomption, un Webmaster imprudent

Alors que le journaliste continue son enquête OSINT, ce dernier découvre un nouveau UA, UA-53159797. Les deux UA ont en commun un site auquel ils ont été associés : news-region.ru. En explorant encore plus loin les ramifications de ce nouveau numéro Google Analytics, le journaliste a ainsi découvert un réseau de dix-neuf sites Web liés de près ou de loin au Kremlin.

Réseau des sites Web russes

Réseau des sites Web russes. Crédit : Lawrence Alexander.

Outre les liens entre les deux UA, plusieurs faisceaux de préemption convergent vers un groupe d’utilisateurs communs : l’utilisation de plusieurs outils Yandex, de serveurs qui semblent d’origine russe (sous Nginx), etc. Un des sites présents dans le nouveau réseau, emaidan.com.ua, dispose d’une renommée certaine en Ukraine mais reste relativement « teinté » politiquement.

Le journaliste a finalement réussi à démasquer le Webmaster présumé par une analyse des noms de domaine. La plupart remontait une adresse fréquemment utilisée (terder.n@gmail.com) qui était associé à plusieurs sites déjà identifiées par le journaliste ou en pleine construction : certains sites sont ouvertement favorables à la crise du Kremlin, d’autres emploient des techniques de « désinformation plus subtile, dissimulée sous l’identité de journalistes ukrainiens légitimes ».

L’adresse Gmail ainsi trouvée semble liée à un certain Nikita Podgomy sur le réseau social russe Vkontakte, faisant partie d’un groupe nommée Worldsochi (terme également associé à un des 19 sites Web du réseau). Les métadonnées présentes dans les photos de différents sites supposément tenus par M. Podgomy démontrent qu’elles ont toutes été réalisées sous la même version du logiciel d’Adobe. « Cela ne permet pas une identification en soi », admet Laurence Alexanders, mais « il s’agit d’un faisceau de présomption, faisceau d’autant plus crédible quand on prend en compte des informations supplémentaires comme la personnalité digitale de Podgomy ».

En effet, dans un document ayant fuité faisant état d’une usine à trolls créée par Moscou, le nom de Nikita Podgomy est présent et la date de naissance correspond à celle affichée par le jeune Russe sur les réseaux sociaux.

Un bel exemple d’enquête OSINT donc, mais qui n’a été rendue possible que par les nombreuses erreurs et imprudences d’un Webmaster amateuriste.

Erreurs, imprudences et amateurisme

Cette enquête OSINT démontre si besoin est à quel point la sécurité et la sûreté des informations sur le Web est tributaire de son degré de connaissance de quelques principes de base de sécurité.

Selon toute vraisemblance, Podgomy semble s’être lancé dans ce qui semble s’apparaître comme étant une campagne en ligne de promotion de la position du gouvernement russe. Mais de nombreuses règles de sécurité ne semblent pas avoir été respectées, à commencer par la compartimentation de l’information, la dissociation des identités et des adresses e-mail pour éviter les recoupements, ou encore l’utilisation de dates de naissance personnelles.

L’utilisation de Maltego par le journaliste semble avoir été finalement assez légère, réduite à l’identification d’un UA de Google Analytics. De même, le fait que le Webmaster ait relié à une unique adresse Gmail des dizaines de sites a été une faute grave : c’est comme si un trafiquant notoire conservait sur son portable personnel le nom de ses acheteurs, ses fournisseurs, etc.

Dans le cadre de la lutte contre la contrefaçon sur le Web dans laquelle nos équipes prennent part, nous avons pu mettre à jour des dissimulations beaucoup plus habiles et professionnelles. Si dans ces conclusions, le journaliste évoque (avec raison) une campagne de déstabilisation importante, le peu d’importance accordée à la sécurité fait plus penser qu’il s’agirait d’un sous-traitant évoluant dans le marketing qu’un véritable expert de l’information qui aurait agi, lui, avec plus d’attention.

Tags :

Nous suivre :
  • S’abonner à notre flux RSS
  • Partagez ce post sur

    OSINT : un journaliste dévoile les trop grosses ficelles d’une campagne pro-russe

    5