Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
osint:caspratiques1 [2020/06/20 22:05] – tek | osint:caspratiques1 [2020/06/22 15:22] (Version actuelle) – tek | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== Cas Pratique : Equêter | + | ====== Cas Pratique : enquêter |
ivg.net est un site web assez ancien et très controversé : sous un apparent de site d' | ivg.net est un site web assez ancien et très controversé : sous un apparent de site d' | ||
Ligne 37: | Ligne 37: | ||
Comme prévu les informations récentes sont masquées par des adresses aléatoires du fournisseur de domaine, mais on voit que le domaine a été créé en 1997, et que RiskIQ possède 6 enregistrements des données Whois depuis 2011, donc il est probable que nous allons trouver des informations intéressantes dans les données whois plus anciennes. Regardons la plus ancienne de 2011 : | Comme prévu les informations récentes sont masquées par des adresses aléatoires du fournisseur de domaine, mais on voit que le domaine a été créé en 1997, et que RiskIQ possède 6 enregistrements des données Whois depuis 2011, donc il est probable que nous allons trouver des informations intéressantes dans les données whois plus anciennes. Regardons la plus ancienne de 2011 : | ||
+ | {{ : | ||
+ | Bingo, nous tombons sur le nom de la créatrice, Marie, mentionnée dans l' | ||
- | ==== Identifiants d' | + | {{ : |
+ | On voit qu' | ||
+ | {{ : | ||
+ | |||
+ | On voit plusieurs domaines en rapport avec l'IVG, comme ivg-paris[.]com, | ||
+ | |||
+ | Le premier numéro de téléphone nous renvoi à une liste de plusieurs milliers de domaines, mais le second semble bien être rattaché à SOS Détresse, et nous donne une liste plus étendue des domaines utilisés à ce moment là : | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | On voit un troisième site imitant un site gouvernemental ivg-gouv[.]org. | ||
+ | |||
+ | Une enquête exhaustive demanderait de regarder un par un tous ces domaines, les données whois ainsi que les données passive DNS pour avoir une vue exhaustive des activités de cette association, | ||
+ | |||
+ | ==== Traqueurs ==== | ||
+ | |||
+ | Une dernière étape intéressante est de regarder les traqueurs présent sur le site et voir si ils sont partagés. Une visite sur le site, et une recherche dans le code source de la page nous montre l' | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Une vérifications sur RiskIQ montre qu'a priori seul ce traqueur a été utilisé sur le site : | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Nous pouvons maintenant utiliser plusieurs moteurs de recherche pour trouver des sites utilisant ce même identifiant Google Analytics, comme RiskIQ, [[https:// | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | SpyOnWeb | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | DNSlytics | ||
+ | |||
+ | Rien de très intéressant de ce côté là donc, dommage. |