OSINT : un journaliste dévoile les trop grosses ficelles d’une campagne pro-russe
Août05

OSINT : un journaliste dévoile les trop grosses ficelles d’une campagne pro-russe

Un journaliste britannique a mis à nue l’existence d’une multitude de sites web liés à la tristement célèbre « usine à trolls » du Kremlin. Récemment, la stratégie digitale d’organisations comme l’Etat islamique a démontré que le Web est devenu un lieu où gagner les cœurs est une priorité pour tous types d’acteurs, de l’entreprise à l’Etat, de l’organisation officielle à l’organisation informelle. Pour autant, une enquête fouillée peut parfois rebattre les cartes. Les révélations de Lawrence Alexander, un journaliste britannique, ont mis à jour les liens entre les identifiants Google Analytics de sites Web et la base de données de l’équipe de trolls du Kremlin, particulièrement actifs sur la question de la crise russo-ukrainienne. Cette enquête réalisée entièrement en open source illustre comment des éléments d’ordre technique peuvent permettre d’identifier rapidement des individus, souvent peu conscients des techniques d’anonymisation que peuvent utiliser des groupes plus chevronnés. Un site de memes pro-Kremlin à l’origine de l’enquête Tout a commencé par la découverte d’un site, вштабе.рф, qui véhicule des images et des memes soutenant le régime de Vladimir Poutine. « Le design du site n’était pas crédité et il n’y avait aucune indication qui expliquait qui pourrait être derrière celui-ci » explique Alexander dans son article. Intrigué, le journaliste britannique décide d’avoir recours au logiciel open source Maltego dans le but d’obtenir plus d’informations sur вштабе.рф. Le site Web вштабе.рф       Maltego est un outil d’OSINT (Open Source Intelligence) relativement puissant : plusieurs tutoriels, disponibles en ligne, ont démontré l’utilité de l’outil pour obtenir des informations publiques disponibles sur les sites investigués, dans le code-source par exemple. Maltego permet également de récupérer tout ou partie des comptes Twitter, numéros des téléphones ou encore informations relatives au nom de domaine grâce à une recherche avancée sur le site Web. Dans ce cas précis, le journaliste a découvert un « sésame » sous la forme d’un identifiant Google Analytics. Google Analytics est un service Google fréquemment utilisé dans le référencement des sites Web car cela permet de déterminer plusieurs informations importantes dans le développement du trafic d’un site web (qui visite le site, quel est le pays d’origine, l’adresse IP, quels ont été les mots-clefs utilisés, etc.). Une fois inscrit à Google Analytics, on reçoit un numéro d’identification (le « Google Analytics ID »), ici UA-53176102 que nous appellerons UA. L’insertion de l’UA dans le code-source du site lie Google à votre site et permet de bénéficier de nombreuses fonctionnalités. De précieux recoupements C’est à ce moment où les concepteurs du site ont réalisé une première erreur. « Je voulais voir si la personne ou l’organisation derrière вштабе.рф utilisait le même compte Google Analytics pour d’autres sites » explique le journaliste. Cette...

Lire la suite
Des chercheurs créent un algorithme pour analyser les réseaux cybercriminels
Avr21

Des chercheurs créent un algorithme pour analyser les réseaux cybercriminels

La montée en puissance des réseaux cybercriminels est une réalité à géométrie variable : certains sont importants, à l’image de mafias. D’autres ont une taille plus réduite, à l’image de gangs. Des chercheurs ont ainsi mis au point un algorithme permettant de mesurer l’influence de certains acteurs au sein des réseaux cybercriminels. Après que le trafic de produits illicites a gagné le Web, l’identification et l’analyse des réseaux cybercriminels sont devenus deux composantes primordiales de la recherche d’information stratégique. Chaque jour, des transactions illégales, allant de produits volés/contrefaits à l’échange, moyennant finances de données sensibles, apparaissent sur le Web. On peut identifier plusieurs types de canaux sur lesquels se repose le crime organisé en ligne : Les plateformes de vente, qu’elles soient sur le Web, Deep Web ou Dark Web (une notion assez fluctuante), Les réseaux sociaux/forums de clients, qui servent davantage de portes d’entrées vers les plateformes de vente, Les forums de cybercriminels, qui constituent l’endroit où les cybercriminels échangent des informations, demandent de l’assistance à leurs homologues ou agissent en groupes organisés… C’est sur ce troisième type de plateforme que des chercheurs de l’université de Drexel en Pennsylvanie se sont concentrés. Les forums réservés aux cybercriminels, loin d’avoir été ringardisés par l’avènement du Web social, ont atteint à l’heure actuelle un degré inquiétant de sophistication et sont devenus les véritables marchés noirs du Web. En se focalisant notamment sur les données issues de forums de cybercriminels publiées par un hacker anonyme (parmi lesquels Carders.cc et L33T), les universitaires ont choisi de construire une typologie afin de déterminer comment fonctionnent les réseaux cybcercriminels et parallèlement de savoir s’il était possible d’identifier les « influenceurs » de ses réseaux. Mesurer le « Klout » des cybercriminels Le premier objectif que se sont fixés les chercheurs était de dissocier les décideurs des suiveurs, les donneurs d’ordre des petites mains. Pour ce faire, l’équipe de doctorants du Privacy, Security and Automation Lab (PSAL) de l’université de Drexel, en association avec une universitaire de Californie, ont cherché à mesurer « l’influence » de certains individus liés au cybercrime. L’objectif de la démarche était de tirer des conclusions sur le mode de fonctionnement des organisations cybercriminelles sur le Web. « Nous avons essayé de répondre à la question suivante : que signifie le crime organisé dans le cyberespace ?” » explique Vaibhav Gard, membre de l’équipe à l’origine de l’étude. Pour ce faire, ils ont mis au point un algorithme qui s’inspire de ceux de Google, Facebook et de Klout. Si le caractère plutôt approximatif de Klout dans la mesure de l’influence est connu, c’est l’association de tous ces algorithmes, associé à une logique de centralité, qui ont permis aux universitaires de tirer des conclusions...

Lire la suite
Ce que peut réellement Memex, le moteur de recherche du web profond américain
Mar03

Ce que peut réellement Memex, le moteur de recherche du web profond américain

Memex, le moteur de recherche du Web profond de la défense américaine, est entré en phase beta. Ses premiers succès présentent des menaces comme des opportunités.     Ce qu’est le Web profond et pourquoi les moteurs classiques n’y accèdent pas Avec les années, Google est devenu un moteur de recherche redoutable, permettant de trier ses résultats selon les dates, les langues, les pays, les sites Web, les types de fichier ou encore la géolocalisation. Mais quel que soit le volume des résultats que l’on trouve par le biais d’un moteur de recherche, pour qu’un site soit visible effectivement il n’existe qu’une alternative : soit son Webmaster n’interdit pas son indexation (c’est-à-dire qu’il autorise le robot de Google à faire des recherches sur son site), soit un site indexé intègre un lien vers le site non-indexé. Dans le cas contraire, ni Google ni aucun autre moteur de recherche ne peut théoriquement accéder au site et donc aux informations qu’il contient car pour un moteur de recherche, un site non-indexé n’existe pas. Dès lors, notre vision du Web est fondamentalement tronquée par les résultats des moteurs de recherche ce qui induit qu’un espace plus ou moins vaste reste inaccessible par les moyens les plus classiques (mais qui peut l’être par d’autres biais, qu’il s’agisse de forums, de liens sur les réseaux sociaux ou des échanges privés). Cet espace difficile d’accès représente le Web profond (Deep Web en anglais) : un ensemble de sites, de pages et autres fichiers non-indexés. Rendu célèbre par l’analogie de l’iceberg (le Web visible représente 5% du Web entier, à la façon de la partie immergée d’un iceberg), le Web profond est supposé renfermer une mine d’or d’informations : de la base de données cachée aux documents sensibles stockés de façon hasardeuse sur un site. Une théorie à laquelle adhèrent les ingénieurs de Memex, qui évoquent près de 60 millions de pages Web créées en deux ans. Le Web profond abrite évidemment son lot d’activités illicites (bien qu’il soit loin de se limiter à cela), ce qu’on appelle, par néologisme ou sensationnalisme, le Dark Web – une sous-partie du Deep Web régulièrement confondu avec les Dark Nets.   Le site de vente de produits illicites Silk Road était une figure iconique du Dark Net Pour s’attaquer aux échanges illégaux, le département de la défense américain est en train de développer Memex, une sorte de super Google qui va fouiller dans ces pans non explorés du Web. Il est encore difficile de savoir comment il procède, mais en toute vraisemblance l’outil choisit de passer outre le fichier robots.txt qui est généralement utilisé sur le Web pour bloquer l’accès à certaines parties...

Lire la suite
Cartographier les trafics à l’échelle planétaire : l’exemple de l’ivoire
Août29

Cartographier les trafics à l’échelle planétaire : l’exemple de l’ivoire

L’arrivée des réseaux sociaux n’a pas seulement changé la nature du trafic illicite : elle a aussi modifié la façon de le combattre. Alors que le crime organisé a de plus en plus recours au Web (via notamment des services comme TOR ou l’utilisation des DarkNets), Internet peut aussi se révéler une arme redoutable pour les entreprises ou les ONG cherchant à exposer ces trafics illicites et immoraux. C’est ce que nous démontre cette semaine l’organisation non gouvernementale C4ADS avec son rapport Out of Africa sur le trafic illicite de l’ivoire dans le monde. Source: USAID GIST Portal Africa roads basemap; shortest path analysis QGIS route plugin; C4ADS investigation   Out of Africa : le rapport qui cartographie le trafic d’ivoire Entre 2009 et 2014, des organisations criminelles ont écoulé près de 170 tonnes d’ivoire, ce qui correspond à près de 230 000 éléphants abattus. Le prix de revient de l’ivoire au kilo, en Chine, étant de 2.100 dollars, le trafic s’élève à 23 milliards de dollars l’année. Pour répondre au danger d’un trafic qui provoque des dégâts autant écologiques qu’économiques (notamment par la baisse du tourisme), C4ADS, une organisation non-gouvernementale, a réussi à cartographier, par le biais de sources ouvertes (presse, réseaux sociaux, base de données…) et de données d’entreprise, les réseaux des organisations criminelles. Non sans mal, ils ont ainsi été capables de géolocaliser les "points chauds" du trafic d’ivoire mais également de déterminer avec précision les routes, maritimes ou terrestres, employées par les trafiquants d’Afrique vers l’Asie. Trafic maritime international de l'ivoire Parallèlement, ils ont aussi été capables d'identifier les chaînes de distribution et de remonter les traces de certains trafiquants tout en établissant les points d’entrée ou d’échanges de l’ivoire clandestin (principalement en Chine, principal pays consommateur de la matière). Le résultat est un rapport très éclairant. Même si, de l’avis même des rédacteurs, il reste des zones d’ombre, les conclusions des chercheurs permettent de mettre en avant certains dysfonctionnements et d’orienter les recherches des autorités compétentes.   L’analyse des sources ouvertes, une chance à saisir pour les entreprises L’analyse de sources ouvertes est une pratique encore sous-estimée. A l'heure actuelle, les sources ouvertes représentent 90% de l'acquistion d'informations selon les services de renseignement, et la plupart de ces données sont disponibles en ligne. Les exemples ne manquent pas pour illustrer cet état de fait : du bloggeur capable de suivre avec précision l’état des frappes aériennes et le trafic d’armes en Syrie (en croisant les données de Youtube, Facebook, Twitter…) aux journalistes qui ont découvert une base secrète de l’EIIL et ont également été capables d’établir où le journaliste James Foley aurait été assassiné en analysant les photos du groupe armé radical (architecture des ponts,...

Lire la suite