Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédente | ||
osint:caspratiques1 [2020/06/20 21:51] – créée tek | osint:caspratiques1 [2020/06/22 15:22] (Version actuelle) – tek | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== Cas Pratique : Equêter | + | ====== Cas Pratique : enquêter |
ivg.net est un site web assez ancien et très controversé : sous un apparent de site d' | ivg.net est un site web assez ancien et très controversé : sous un apparent de site d' | ||
Ligne 7: | Ligne 7: | ||
En 2017, principalement à cause de ce site, le gouvernement français à mis en place un délit d’entrave à l’interruption volontaire de grossesse sur Internet, et plusieurs journalistes, | En 2017, principalement à cause de ce site, le gouvernement français à mis en place un délit d’entrave à l’interruption volontaire de grossesse sur Internet, et plusieurs journalistes, | ||
- | En utilisant les techniques d' | + | En utilisant les techniques d' |
+ | ==== Données Passive DNS ==== | ||
+ | Commençons par chercher ivg.net dans RiskIQ, et regarder les données passive DNS : | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | On voit que le domaine est hébergé sur un serveur OVH 213.186.33.19 depuis 2009, et a été hébergé sur un autre serveur OVH 46.105.174.38 entre 2015 et 2016. | ||
+ | |||
+ | Regardons plus précisément quels domaines sont hébergés sur ces serveurs, d' | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | On voit que ce serveur a hébergé au moins 249 domains différents, | ||
+ | |||
+ | Regardons le second serveur, 213.186.33.19 : | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Même chose ici, plus de 1000 domaines sur ce serveur, rien ne semble en rapport en regardant rapidement. | ||
+ | |||
+ | ==== Les Whois ==== | ||
+ | |||
+ | Regardons maintenant les données Whois : | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Comme prévu les informations récentes sont masquées par des adresses aléatoires du fournisseur de domaine, mais on voit que le domaine a été créé en 1997, et que RiskIQ possède 6 enregistrements des données Whois depuis 2011, donc il est probable que nous allons trouver des informations intéressantes dans les données whois plus anciennes. Regardons la plus ancienne de 2011 : | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Bingo, nous tombons sur le nom de la créatrice, Marie, mentionnée dans l' | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | On voit qu' | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | On voit plusieurs domaines en rapport avec l'IVG, comme ivg-paris[.]com, | ||
+ | |||
+ | Le premier numéro de téléphone nous renvoi à une liste de plusieurs milliers de domaines, mais le second semble bien être rattaché à SOS Détresse, et nous donne une liste plus étendue des domaines utilisés à ce moment là : | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | On voit un troisième site imitant un site gouvernemental ivg-gouv[.]org. | ||
+ | |||
+ | Une enquête exhaustive demanderait de regarder un par un tous ces domaines, les données whois ainsi que les données passive DNS pour avoir une vue exhaustive des activités de cette association, | ||
+ | |||
+ | ==== Traqueurs ==== | ||
+ | |||
+ | Une dernière étape intéressante est de regarder les traqueurs présent sur le site et voir si ils sont partagés. Une visite sur le site, et une recherche dans le code source de la page nous montre l' | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Une vérifications sur RiskIQ montre qu'a priori seul ce traqueur a été utilisé sur le site : | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Nous pouvons maintenant utiliser plusieurs moteurs de recherche pour trouver des sites utilisant ce même identifiant Google Analytics, comme RiskIQ, [[https:// | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | SpyOnWeb | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | DNSlytics | ||
+ | |||
+ | Rien de très intéressant de ce côté là donc, dommage. |