osint:caspratiques1

Ceci est une ancienne révision du document !


Cas Pratique : enquêter sur un site web - ivg.net

ivg.net est un site web assez ancien et très controversé : sous un apparent de site d’information sur l’interruption volontaire de grossesse, il s’agit en réalité d’un site anti-avortement maintenu par un groupe de militants catholiques, qui tente de dissuader des femmes d’interrompre leur grosses. Au fil des années, il était parvenu à être très bien référencé dans les moteurs de recherche, a même mis en place un numéro vert.

En 2017, principalement à cause de ce site, le gouvernement français à mis en place un délit d’entrave à l’interruption volontaire de grossesse sur Internet, et plusieurs journalistes, dont le monde ont enquêté pour savoir qui était derrière ce site.

En utilisant les techniques d’analyses d’infrastructures de sites web vues précédemment, nous allons reproduire içi une partie de cette enquête comme cas pratique. Nous allons pour cela, utiliser la plateforme RiskIQ, qui fournit un accès limité mais gratuit, suffisant pour beaucoup d’investigations.

Commençons par chercher ivg.net dans RiskIQ, et regarder les données passive DNS :

On voit que le domaine est hébergé sur un serveur OVH 213.186.33.19 depuis 2009, et a été hébergé sur un autre serveur OVH 46.105.174.38 entre 2015 et 2016.

Regardons plus précisément quels domaines sont hébergés sur ces serveurs, d’abord sur 46.105.174.38 :

On voit que ce serveur a hébergé au moins 249 domains différents, qui ne semblent pas en rapport avec ivg.net. Il s’agit probablement d’un hébergement de site web sur un serveur partagé entre plusieurs clients, peut-être fourni par OVH directement. Même en cherchant dans les domaines hébergés en 2015 et 2016, rien de semble relié à ivg.net. Un cul de sac donc.

Regardons le second serveur, 213.186.33.19 :

Même chose ici, plus de 1000 domaines sur ce serveur, rien ne semble en rapport en regardant rapidement.

Regardons maintenant les données Whois :

Comme prévu les informations récentes sont masquées par des adresses aléatoires du fournisseur de domaine, mais on voit que le domaine a été créé en 1997, et que RiskIQ possède 6 enregistrements des données Whois depuis 2011, donc il est probable que nous allons trouver des informations intéressantes dans les données whois plus anciennes. Regardons la plus ancienne de 2011 :

Bingo, nous tombons sur le nom de la créatrice, Marie, mentionnée dans l’article du monde, ainsi que de son numéro de téléphone. Faire une recherche dans RiskIQ sur ce numéro de téléphone donne plus de 1000 sites apparemment sans rapport avec ivg.net, sans doute le numéro de téléphone d’une autre personne impliquée dans la création du site web. Une recherche sur le nom dans les whois, ne donne rien. Regardons les coordonnées whois de 2014 :

On voit qu’entre 2011 et 2014, l’association SOS Détresse (également mentionnée par le monde) est maintenant propriétaire du domaine en plus de Marie sa créatrice. Cela nous donne plusieurs informations sur lesquelles pivoter, le nom de l’association, mais aussi l’adresse ainsi que les deux nouveaux numéros de téléphone. Commençons par regarder les autres domains enregistrés par SOS Détresse :

On voit plusieurs domaines en rapport avec l’IVG, comme ivg-paris[.]com, mais également deux domaines qui clairement essaient d’imiter un site gouvernemental ivg-gouv[.]com et ivg-gouv[.]net. Bande de pourritures.

Le premier numéro de téléphone nous renvoi à une liste de plusieurs milliers de domaines, mais le second semble bien être rattaché à SOS Détresse, et nous donne une liste plus étendue des domaines utilisés à ce moment là :

On voit un troisième site imitant un site gouvernemental ivg-gouv[.]org.

Une enquête exhaustive demanderait de regarder un par un tous ces domaines, les données whois ainsi que les données passive DNS pour avoir une vue exhaustive des activités de cette association, ainsi que potentiellement d’autres personnes rattachées à l’association.

Une dernière étape intéressante est de regarder les traqueurs présent sur le site et voir si ils sont partagés. Une visite sur le site, et une recherche dans le code source de la page nous montre l’identifiant Google Analytics : UA-5670446

Une vérifications sur RiskIQ montre qu’a priori seul ce traqueur a été utilisé sur le site :

Nous pouvons maintenant utiliser plusieurs moteurs de recherche pour trouver des sites utilisant ce même identifiant Google Analytics, comme RiskIQ, SpyOnWeb (un peu vieux et mal maintenu à jour), NerdyData ou encore DNSLytics.

SpyOnWeb

DNSlytics

Rien de très intéressant de ce côté là donc, dommage.

Vous pourriez laisser un commentaire si vous étiez connecté.