leHACK 2023 - Village OSINT

Le vendredi 30 juin et le samedi 1er juillet s’est tenu le Village OSINT au Hack. L’événement était présenté par Sylvain Hajri (@navlys_) et a accueilli 400 personnes, toutes passionnées et curieuses d’en apprendre davantage sur cette discipline en plein essor qu’est l’OSINT. 

Commençons par définir ce que l’on entend par « OSINT » : cet acronyme signifie Open Source Intelligence en anglais (ou ROSO pour Renseignement d’Origine Source Ouverte en français). Ce terme, compliqué en apparence, désigne l’ensemble des activités visant à rechercher, traiter, et exploiter des données publiquement accessibles. Ces données peuvent être des articles de presse, des bases de données publiques, des comptes sur les réseaux sociaux, des images satellites ou encore des transactions en cryptomonnaies. 

Bien que le terme « OSINT » soit relativement récent en France, ses usages de base sont connus et répandus depuis de nombreuses années. Nous faisons tous de l’OSINT que nous soyons chercheurs, analyste en cybercriminalité, journaliste, cybercriminel ou tout simplement passionné du sujet.

Si la France a longtemps accusé un certain retard par rapport aux pays anglo-saxons, l’hexagone rattrape de plus en plus ses voisins avec une démocratisation d’un OSINT théorisé et pratiqué. Cela passe par le développement de communautés dédiées comme OSINT-FR ou encore la réalisation d’enquêtes journalistiques dédiées comme le font des médias comme Le Monde ou Mediapart. L’organisation d’événements comme Le Hack est l’occasion de rencontrer de nouvelles personnes, de découvrir de nouveaux outils (tels que le projet AIL du Circl), de nouveaux domaines comme l’investigation sur les cryptomonnaies et les NFT et de réaliser la puissance de l’OSINT dans nos sociétés où la frontière entre information et désinformations bien souvent floue. 

Liselotte Mas – Le Monde – OpenFacto : Using OSINT to track illegal supply chains: a use-case on cocaine smuggling

La conférence de la journaliste Liselotte Mas a porté sur l’utilisation de l’OSINT dans le cadre d’une enquête sur le trafic de cocaïne entre la Guyane et la France. Durant sa présentation, elle a notamment évoqué les éléments à prendre en compte dans le choix d’un tel sujet, les étapes de sa recherche, ainsi que les limites et impasses auxquelles elle a fait face durant son enquête. Outre l’intérêt pour le sujet en lui-même, cette présentation a permis de rappeler que l’OSINT n’est pas une fin en soi, mais bien une méthodologie utilisée dans un cadre plus large de réflexion et d’analyse.

Dans tout travail journalistique, le choix du sujet est un des éléments qui conditionne le reste de l’enquête. En effet, il doit être suffisamment cadré pour que cette dernière soit réalisable avec les moyens à disposition dans le temps imparti. D’après Liselotte, le fait que la Guyane soit un territoire francophone l’a orienté dans son choix. En réalité, ceci a complexifié son enquête, car le trafic de cocaïne impliquant d’autres pays sud-américains, elle a en grande partie impliqué des sources hispanophones. Malgré cette difficulté, Liselotte a pu mener son enquête à terme et reconstituer la chaîne d’approvisionnement de la cocaïne depuis la Colombie jusqu’en Guyane et en France, en passant par le Venezuela et le Suriname.

Toutefois, les limites rencontrées pour arriver à ses conclusions ont constitué un point particulièrement intéressant de sa présentation. En effet, les trafiquants apportent un soin particulier à ne pas diffuser d’informations sur les réseaux sociaux et la plupart de ces pays ne possèdent pas de registre du commerce et des sociétés. Ces deux sources majeures, utilisées régulièrement en OSINT, étaient donc virtuellement inutilisables dans cette enquête. Elle s’est donc appuyée sur d’autres sources, telles que des images satellites, des rapports de police, ou même des références culturelles locales comme des clips de musique pour tenter d’identifier des mentions de la cocaïne et ainsi identifier sa présence en Amérique du Sud.

Enfin, Liselotte a été confrontée à un certain nombre d’impasses. Elle n’a, par exemple, pas été en mesure d’identifier les routes maritimes exactes empruntées par les trafiquants, ou encore les réseaux de blanchiment d’argent utilisés par ces derniers. Ces impasses constituent toutefois une leçon importante pour tous les pratiquants de l’OSINT, car elles obligent à accepter que l’information n’existe pas, ou qu’elle n’est pas accessible dans les conditions imposées par l’enquête.

Vous pouvez retrouver l’enquête de Liselotte Mas en suivant ce lien.

Patrick Ventuzelo et Tanguy Laucournet – Fuzzing Labs : Cryptocurrency & NFT OSINT: Introduction to Web3/Ethereum profiling & deanonymization

Un cas particulièrement intéressant d’investigation est celui présenté par deux membres de Fuzzing Labs intitulé « Crypto and NFT OSINT : Introduction to web3/ETHER profiling and deanonimization ». 

Leurs travaux consistaient à analyser les données liées au « Web3 ». Ce terme désigne l’internet décentralisé, basé sur la technologie de la blockchain. La blockchain est composée de blocs contenant l’historique des transactions réalisées entre tous les wallets. 

Les analystes de Fuzzing  Labs se sont concentrés sur la cryptomonnaie ETHER (ou Ethereum) et notamment sur les cas d’arnaque au NFT (communément appelés « rug-pull »). 

Pour rappel, le terme de NFT ou Non-Fungible token désigne une propriété numérique comme par exemple les œuvres d’art « Bored Ape ».

Parmi les arnaques ayant fait grand bruit, Fuzzing Labs nous a présenté le cas de Frosties. En 2022, deux individus ont lancé le projet « frosties » sur Discord et Twitter, proposant aux clients d’acquérir des NFT et des avantages divers comme l’accès en avant-première à un jeu vidéo associé. Le projet paraissait sérieux et a rencontré beaucoup de succès. Pourtant, du jour au lendemain, le serveur Discord et le compte Twitter ont disparu (le dernier tweet disait ironiquement « I am sorry »), les deux créateurs avaient transféré les avoirs des clients (d’une valeur d’environ 1,2 million de dollars) vers leurs propres wallets et utilisé le mixeur de cryptomonnaies Tornado Cash afin de couvrir leurs traces. 

Cette plateforme est bien connue des cybercriminels qui s’en servent pour blanchir leur argent sale. La plateforme a d’ailleurs fait il y a quelques mois l’objet de sanctions de la part de l’OFAC (Office of Foreign Assets Control), organisme lié au Trésor Américain en raison de sa politique de « KYC » trop laxiste. 

Partant du cas de frosties, les analystes de Fuzzing Labs ont cherché à cartographier les victimes de ce type d’arnaques. Pour ce faire, ils ont utilisé à la fois des données dites « on-chain » comme par exemple le timestamp des transactions réalisées ou encore en retrouvant les NFT utilisant le protocole POAP (Proof of Attendance Protocol). Ce dernier archive des données comme la localisation d’une transaction. En complément, les analystes ont utilisé des données « off-chain » comme les informations publiées par des comptes Twitter de victimes (description du compte, horaire des tweets ou encore langage utilisé). 

Cet exemple démontre que des données seules, en apparence peu pertinentes, peuvent devenir très intéressantes lorsqu’elles sont mises en relation avec d’autres. C’est d’ailleurs l’une des principales méthodologies OSINT que de pivoter d’une donnée à l’autre pour ensuite associer ces informations et produire de la donnée à haute valeur ajoutée. 

Nico “Dutch_osintguy” Dekens : Using the OSINT Mind-State for Better Online Investigations

Que ce soit dans le cadre d’investigation relative à la criminalité ou la cybercriminalité, l’OSINT est une discipline qui nécessite d’étudier et d’analyser des données d’une grande diversité et souvent en grande quantité. Pour une investigation efficace, Nico « Dutch_Osintguy » Dekkens a partagé lors d’une conférence les clés d’une méthodologie qui recentre l’analyse des données issues de l’OSINT.

Sa méthodologie s’inscrit autour de 4 axes primordiaux pour fournir une investigation de qualité :

Pilier 1 : Noter et garder des traces.

Chaque page visitée, outil utilisé, mais surtout réflexion durant l’investigation doivent être consignées. Cela permettra de garder une vision des pistes à explorer dans le déroulement de l’investigation, mais surtout de donner du contexte à l’investigation lors du rendu et en cas d’investigations complémentaire.

On reprend en ce sens le principe de documentation du code en matière de développement.

Pilier 2 : Préparer avec précaution son investigation.

Bien que très consommatrice de temps, la préparation est l’étape la plus importante de l’investigation. Dutch_Osintguy évoque la préparation autour de différents points :

  • Connaitre l’environnement de l’investigation : chaque investigation a ses spécificités. A titre d’exemple, une investigation OSINT à réaliser sur un acteur chinois ne va pas faire appel aux mêmes outils et sources (moteurs de recherches, réseaux sociaux, hashtags, mots-clés, concepts…) qu’une investigation en France. Il est également important de connaitre les risques liés à l’investigation afin de pouvoir poser des limites dans la recherche. Mener des investigations sur un acteur de la menace ne présente pas les mêmes risques que de mener une étude d’e-réputation pour un VIP.
  • Faire du besoin client des questions directement investigables. Ainsi il est possible de transformer la question « je souhaite de savoir M. X hier soir » en plusieurs questions plus simples :
    • Où était M. X ?
    • Quand M. X était là-bas ?
    • Pourquoi était-il là bas ?
    • Avec qui était-il là bas ?
    • Comment est-il arrivé là-bas ?
    • Qu’a-t-il fait ?

Il est ensuite recommandé de tourner chaque sous-sujet en questions fermés (M. X était-il à tel endroit hier soir ? ») afin de centrer la recherche autour de la validation d’hypothèses.

Pilier 3 : Ne pas se perdre dans son investigation

Pour une investigation efficace, plusieurs bonnes pratiques sont également possibles.

Ainsi il est recommandé de commencer par faire une investigation rapide, c’est-à-dire sans entrer profondément dans les données afin de déterminer si les éléments évoqués lors de la partie préparation semblent avoir du potentiel.

Une fois cette analyse rapide effectuée, il convient de démarrer le travail approfondi d’investigation. Pour Nico Dikkens le plus important est de conserver un équilibre investigation vie personnel. Cela permet :

  • De prendre du recul sur l’avancement de l’investigation
  •  Être plus efficace lors des phases d’investigation (en prévoyant des plages horaires d’investigation dans un lieu spécifique)
  • De pouvoir se détacher personnellement des éléments, potentiellement violents, qui pourraient ressortir de l’investigation

La santé mentale jouera un rôle primordial pour une investigation réussie.

Lors de l’investigation, il est recommandé plus généralement de :

  • Conserver uniquement l’information strictement nécessaire
  • Nettoyer la donnée collectée avant de l’analyser
  • Prendre de la hauteur : est-ce-que l’analyse que je suis en train de mener répond à la question initiale ?

Pilier 4 : La rédaction du rapport

Un rapport pertinent est un rapport qui apporte des réponses aux questions initiales, mais qui indiquent également quelles questions n’ont pas trouvé de réponse durant l’investigation.

Une fois le rapport rédigé, il importe de le faire systématiquement relire par :

  • Une personne connaissant le sujet
  • Une personne totalement étrangère au sujet

Ce double retour permet de déceler de potentiels axes d’amélioration.

LeHack a réuni plus de 3 000 personnes lors de cette édition 2023. Sur ces 2 jours de salon nous avons pu croiser passionnés d’OSINT et étudiants, mais également des parents venus avec leurs jeunes enfants pour leur faire découvrir le monde merveilleux de la cybersécurité. La relève pour LeHack de demain est donc assurée.

Alexandre PALLUT & Clément BERTAUX

CERT-XMCO

Découvrir d'autres articles

  • Conférences

    DORA et la résilience opérationnelle des fournisseurs

    Lire l'article
  • Conférences

    Retour sur la Black Hat Europe 2023

    Lire l'article
  • Conférences

    Retour sur le PCI Community Meeting 2023 à Dublin

    Lire l'article