2023-10-14, 14:30–15:20, Track #2
On trouve sur Facebook des annonces ou des vedettes québécoises semblent faire la promotion de pilules pour perdre du poids sans efforts ou encore « avoir des érections comme dans 18 ans »! Malheureusement, des gens tombent dans le panneau et ça peut leur coûter cher.
L’émission d’enquête J.E. nous a demandé de l’aide pour dénicher les responsables de ces arnaques. À l’aide du Cycle du renseignement nous allons explorer les bases de l’OSINT. Nous verrons ce que c’est et ce que ce n’est pas, ainsi que les précautions à prendre durant ce type d’enquête.
Un stratagème comme celui-ci nécessite plusieurs acteurs. Nous montrerons les étapes qui ont mené à la cartographie du réseau, à l’identification de certaines personnes impliquées et comment la photo d'un chien nous a mis sur la piste de son adresse.
La présentation se veut une introduction à l’OSINT et une démonstration d’une enquête effectuée pour une émission journalistique.
Intro : Gino Chouinard vend des pilules ?!?
L’équipe de l’émission d’enquête J.E. de TVA nous a approchés pour les aider à dénicher les responsables d’une campagne de fraude qui utilise l’image de vedettes de l’empire Québecor pour votre des pilules. Ces annonces sont diffusées via Facebook et renvoient vers des pages hébergées sur des sites Web clonés. Ces sites Web envoient ensuite les visiteurs vers une multitude de magasins en ligne qui proposent des produits amaigrissants, des produits naturels et autres. Lorsqu’on achète un produit sur ces sites, on s’en fait envoyer plus que ce qu’on a demandé et les factures gonflent rapidement.
En introduction, je veux donc exposer les grandes lignes de la fraude.
1: Le Cycle du renseignement ou comment ne pas se perdre dans les terriers de lapin.
La différence entre l’OSINT et « fouiller sur Google » c’est le Cycle du renseignement. Débuter avec une question claire et un plan pour y répondre permet de ne pas se perdre. Ce concept qui vient du renseignement est utile pour l’OSINT dans toute sorte de contextes, que ce soit en threat-hunting, en journalisme ou dans un CTF.
2: C’est quoi l’OSINT ?
L'OSINT, c’est du renseignement de sources ouvertes. C’est une méthode de travail passive et « sans contact ». On ne laisse rien derrière et on ne prend que des « screenshots ».
L’OSINT regroupe plusieurs sous-spécialités : les réseaux sociaux, la géolocalisation, les transports aériens, maritimes et autres, les enquêtes sur les personnes ou les entreprises, les infrastructures réseau.
Il y a quelques précautions à prendre avant de se lancer dans ce genre d’enquête. Nous allons aborder celles-ci de façon rapide : « sock puppets », VPN, machine virtuelle, prise de notes et préservation de l’information.
3: Qui se cache derrière ces annonces ?
À l’aide des données obtenues de la part de personnes ayant été fraudées, nous avons cartographié le réseau utilisé pour ce stratagème : les sites Web, les serveurs, les entreprises, les individus.
L’opération a pu être divisée en deux grands groupes. D’un côté, un réseau de sites Web servant à pousser des annonces frauduleuses sur Facebook et diriger du trafic vers des magasins en ligne. De l’autre, le réseau de magasins en ligne, à l’apparence indépendants, mais tous liés les uns aux autres.
Grâce à une petite erreur de sa part, nous avons réussi à relier le premier pan de cette opération à un individu. Une photo de son chien nous a finalement mis sur la piste de son adresse de résidence.
4: Conclusion
Les participants et participants à cette conférence en sortiront avec une meilleure compréhension de l’OSINT et de son application. Ils comprendront l’importance du cycle du renseignement pour structurer la recherche et travailler de façon efficace.