osint:caspratiques1

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
osint:caspratiques1 [2020/06/20 22:05] tekosint:caspratiques1 [2020/06/22 15:22] (Version actuelle) tek
Ligne 1: Ligne 1:
-====== Cas Pratique : Equêter sur un site web - ivg.net ======+====== Cas Pratique : enquêter sur un site web - ivg.net ======
  
 ivg.net est un site web assez ancien et très controversé : sous un apparent de site d'information sur l'interruption volontaire de grossesse, il s'agit en réalité d'un site anti-avortement maintenu par un groupe de militants catholiques, qui tente de dissuader des femmes d'interrompre leur grosses. Au fil des années, il était parvenu à être très bien référencé dans les moteurs de recherche, a même mis en place un numéro vert. ivg.net est un site web assez ancien et très controversé : sous un apparent de site d'information sur l'interruption volontaire de grossesse, il s'agit en réalité d'un site anti-avortement maintenu par un groupe de militants catholiques, qui tente de dissuader des femmes d'interrompre leur grosses. Au fil des années, il était parvenu à être très bien référencé dans les moteurs de recherche, a même mis en place un numéro vert.
Ligne 37: Ligne 37:
 Comme prévu les informations récentes sont masquées par des adresses aléatoires du fournisseur de domaine, mais on voit que le domaine a été créé en 1997, et que RiskIQ possède 6 enregistrements des données Whois depuis 2011, donc il est probable que nous allons trouver des informations intéressantes dans les données whois plus anciennes. Regardons la plus ancienne de 2011 : Comme prévu les informations récentes sont masquées par des adresses aléatoires du fournisseur de domaine, mais on voit que le domaine a été créé en 1997, et que RiskIQ possède 6 enregistrements des données Whois depuis 2011, donc il est probable que nous allons trouver des informations intéressantes dans les données whois plus anciennes. Regardons la plus ancienne de 2011 :
  
 +{{ :osint:whois2.png?600 |}}
  
 +Bingo, nous tombons sur le nom de la créatrice, Marie, mentionnée dans l'article du monde, ainsi que de son numéro de téléphone. Faire une recherche dans RiskIQ sur ce numéro de téléphone donne plus de 1000 sites apparemment sans rapport avec ivg.net, sans doute le numéro de téléphone d'une autre personne impliquée dans la création du site web. Une recherche sur le nom dans les whois, ne donne rien. Regardons les coordonnées whois de 2014 :
  
-==== Identifiants d'Analytics ====+{{ :osint:whois3.png?600 |}}
  
 +On voit qu'entre 2011 et 2014, l'association SOS Détresse (également mentionnée par le monde) est maintenant propriétaire du domaine en plus de Marie sa créatrice. Cela nous donne plusieurs informations sur lesquelles pivoter, le nom de l'association, mais aussi l'adresse ainsi que les deux nouveaux numéros de téléphone. Commençons par regarder les autres domains enregistrés par SOS Détresse :
  
 +{{ :osint:whois4.png?600 |}}
 +
 +On voit plusieurs domaines en rapport avec l'IVG, comme ivg-paris[.]com, mais également deux domaines qui clairement essaient d'imiter un site gouvernemental ivg-gouv[.]com et ivg-gouv[.]net. Bande de pourritures.
 +
 +Le premier numéro de téléphone nous renvoi à une liste de plusieurs milliers de domaines, mais le second semble bien être rattaché à SOS Détresse, et nous donne une liste plus étendue des domaines utilisés à ce moment là :
 +
 +{{ :osint:whois5.png?600 |}}
 +
 +On voit un troisième site imitant un site gouvernemental ivg-gouv[.]org.
 +
 +Une enquête exhaustive demanderait de regarder un par un tous ces domaines, les données whois ainsi que les données passive DNS pour avoir une vue exhaustive des activités de cette association, ainsi que potentiellement d'autres personnes rattachées à l'association.
 +
 +==== Traqueurs ====
 +
 +Une dernière étape intéressante est de regarder les traqueurs présent sur le site et voir si ils sont partagés. Une visite sur le site, et une recherche dans le code source de la page nous montre l'identifiant Google Analytics : UA-5670446 
 +
 +{{ :osint:ua1.png?600 |}}
 +
 +Une vérifications sur RiskIQ montre qu'a priori seul ce traqueur a été utilisé sur le site :
 +
 +{{ :osint:ua2.png?600 |}}
 +
 +Nous pouvons maintenant utiliser plusieurs moteurs de recherche pour trouver des sites utilisant ce même identifiant Google Analytics, comme RiskIQ, [[https://spyonweb.com/|SpyOnWeb]] (un peu vieux et mal maintenu à jour), [[https://www.nerdydata.com/|NerdyData]] ou encore [[https://dnslytics.com/reverse-analytics|DNSLytics]]. 
 +
 +{{ :osint:ua3.png?600 |}}
 +
 +SpyOnWeb
 +
 +{{ :osint:ua4.png?600 |}}
 +
 +DNSlytics
 +
 +Rien de très intéressant de ce côté là donc, dommage.