osint:caspratiques1

Ceci est une ancienne révision du document !

Cas Pratique : Equêter sur un site web - ivg.net

ivg.net est un site web assez ancien et très controversé : sous un apparent de site d’information sur l’interruption volontaire de grossesse, il s’agit en réalité d’un site anti-avortement maintenu par un groupe de militants catholiques, qui tente de dissuader des femmes d’interrompre leur grosses. Au fil des années, il était parvenu à être très bien référencé dans les moteurs de recherche, a même mis en place un numéro vert.

En 2017, principalement à cause de ce site, le gouvernement français à mis en place un délit d’entrave à l’interruption volontaire de grossesse sur Internet, et plusieurs journalistes, dont le monde ont enquêté pour savoir qui était derrière ce site.

En utilisant les techniques d’analyses d’infrastructures de sites web vues précédemment, nous allons reproduire içi une partie de cette enquête comme cas pratique. Nous allons pour cela, utiliser la plateforme RiskIQ, qui fournit un accès limité mais gratuit, suffisant pour beaucoup d’investigations.

Données Passive DNS

Commençons par chercher ivg.net dans RiskIQ, et regarder les données passive DNS :

On voit que le domaine est hébergé sur un serveur OVH 213.186.33.19 depuis 2009, et a été hébergé sur un autre serveur OVH 46.105.174.38 entre 2015 et 2016.

Regardons plus précisément quels domaines sont hébergés sur ces serveurs, d’abord sur 46.105.174.38 :

On voit que ce serveur a hébergé au moins 249 domains différents, qui ne semblent pas en rapport avec ivg.net. Il s’agit probablement d’un hébergement de site web sur un serveur partagé entre plusieurs clients, peut-être fourni par OVH directement. Même en cherchant dans les domaines hébergés en 2015 et 2016, rien de semble relié à ivg.net. Un cul de sac donc.

Regardons le second serveur, 213.186.33.19 :

Même chose ici, plus de 1000 domaines sur ce serveur, rien ne semble en rapport en regardant rapidement.

Les Whois

Regardons maintenant les données Whois :

Comme prévu les informations récentes sont masquées par des adresses aléatoires du fournisseur de domaine, mais on voit que le domaine a été créé en 1997, et que RiskIQ possède 6 enregistrements des données Whois depuis 2011, donc il est probable que nous allons trouver des informations intéressantes dans les données whois plus anciennes. Regardons la plus ancienne de 2011 :

Identifiants d'Analytics

Vous pourriez laisser un commentaire si vous étiez connecté.