Analyse

Retour d’expérience challenge HEXA OSINT CTF

Le 6 janvier 2022 par Artus Huot De Saint Albin et Steven Deffous

Du 3 au 5 décembre 2021, Sopra Steria a organisé le CTF (Capture The Flag) Hexa OSINT dans le cadre de la Fabrique Défense, afin de faire découvrir les métiers du renseignement au plus grand nombre.

Avant de revenir sur cette expérience, nous tenons à remercier particulièrement Sopra Steria et le ministère des Armées pour l’organisation et l'encadrement de cette compétition. L’équipe de modération mérite notamment d’être saluée pour son implication au détriment de ses heures de sommeil.

Le but de cet article n’est pas de revenir sur toutes les épreuves, puisque le travail a déjà été fait avec brio par l’équipe des patatodingos de Cadriciel Malveillant, mais de s’attarder sur les difficultés que l’on peut rencontrer dans le cadre d’une enquête en sources ouvertes, qui nous mène parfois très loin !

 

Contexte

Dans la peau d’un analyste, nous sommes chargés d’enquêter sur Manipar, un blog obscur qui pouvait être la façade d’activités illicites. Le site n’est pas indexé sur Google mais est facilement trouvable via d’autres moteurs de recherche.

Les articles signés C correspondent après recherches au diminutif de Chainburst. À partir de là, nous découvrons un à un les membres de la mystérieuse organisation Manipar : une jeune femme adepte de voyage et éprise de liberté (the blogger), un homme vénal (the accountant), un voyageur mystérieux (the wanderer) et enfin le boss

Si les recherches sont guidées au fil du CTF par des questions, il nous arrive toutefois de dériver à force d’émettre des hypothèses de recherche. L’une d’elles nous conduit par exemple à la découverte de la chaîne Youtube « Manipar Mani » créée le 19 novembre 2021 et ne contenant qu’une seule vidéo. La plupart du contenu du challenge ayant été créé fin novembre, nous sommes alors persuadés de tenir un bout de réponse. Après plusieurs visionnages, notre subconscient distingue même un « code » s’affichant quelques secondes à partir de 1’54.

Afin d’enfoncer le doute dans nos esprits, nous pouvons notamment relever dans la description : « [...] I don’t have the Facebook ID ». Quoi de plus décontenançant pour nous perdre en pleine nuit de challenge ? Même s’il ne s’agit pas d’un format habituel de flag (réponse à une question de CTF). Persuadés d’avoir trouvé une piste, nous avons perdu du temps à essayer de creuser sur cette chaîne et ce code.

Après vérifications, la vidéo apparaît totalement incongrue (jugez-en par vous-même), mais dans l’incertitude de l’enquête, on ne peut pas se permettre de négliger ce qui apparaît comme plausible. Un cas que l’on rencontre souvent lors d’investigations réelles.

 

Dig the past ou comment détester Kermit

La grenouille Kermit est sûrement le flag qui nous a fait perdre le plus patience. La question n’affiche pas de réelles similitudes avec le challenge. Nous n’avons croisé ni de « Kermit », ni de « sentinelle », ni de référence à l’année 2004 jusque-là. Nous ne savons donc pas comment répondre et sommes persuadés qu’il nous faut trouver d’autres éléments sur le blog Manipar & Co pour comprendre l’énoncé. Puis nous nous sommes rendus à l’évidence : contentons-nous de ce que l’on sait déjà.

Nous partons ensuite sur plusieurs fausses pistes. La célèbre peluche du Muppet Show engendre notamment de nombreux faux-positifs. Pour ajouter de la complexité à la question, le nombre de réponses aux questions est limité.


Notre premier essai s’avère infructueux mais nous permet de fermer une porte.

Là où une porte se ferme, nous en ouvrons des dizaines et élargissons nos recherches dans les archives des journaux portant le nom « The sentinel ». La page Wikipédia en propose six :

Pour chaque journal, nous suivons la même procédure : consulter le site et chercher des occurrences de Kermit en 2004. Et comme c’est rarement le cas, nous regardons toutes les versions archivées de janvier 2004… sans résultat !

Nous remarquons que Kermit est également une ville au Texas, mais cette information ne nous mène nulle part. Nous constatons ensuite qu’il existe un journal américain portant le nom de « The Daily Sentinel » et que sa typographie correspond justement à une coupure de presse présente sur le blog de Manipar.

Nous utilisons la fonction recherche avancée et constatons un match : un article de 2004 du Daily Sentinel mentionne le terme “Kermit”. Une lueur d’espoir…

… Mais très vite évaporée. Encore une fausse piste, il s’agit d’un avis de décès sans aucun lien avec notre enquête. De plus, après plusieurs recherches, nous constatons que ce genre de typographie est classique dans les modèles de police d’écriture.

Enfin, après plusieurs heures d’investigation et le visionnage de nombreux memes, un valeureux membre de l’équipe a l’idée de consulter « Google actualités ». En indiquant les mots clés « The Sentinel january 2004 » et en filtrant par date sur le mois de janvier en 2004, nous finissons par trouver un journal intitulé Sentinel.
En feuilletant les pages du journal, nous trouvons non sans mal l’article que nous cherchions. Il s’agit bien sûr de Kermet Apio, un humoriste américain originaire d'Honolulu surnommé « Kermit » (et que nous ne regarderons sûrement pas).

En parcourant sa biographie, nous tombons sur sa date de naissance qui nous permet de valider le flag.

 

La phase d’analyse

Après avoir collecté tous les flags et établi l’identité des protagonistes, nous débloquons la partie analyse, composée de plusieurs questions aux réponses ouvertes. Une phase extrêmement intéressante, car c’est ici que réside la qualité d’un vrai travail d’enquête : à quoi bon trouver des dizaines d’informations si l’on n’en tire pas les bonnes conclusions ?

Alors que Manipar est une agence qui propose d’exposer les vérités cachées, complots et autres secrets d’État, l’une des questions portait sur les motivations des trois protagonistes hormis le boss – car il ne se justifie pas ! Il s’agit alors de creuser leurs réseaux sociaux, les photos publiées et tous les éléments collectés pour cerner au mieux ces personnages. On découvre ainsi que :

  • la blogueuse est une idéaliste éprise de liberté, à en juger par ses citations sur VK, ses tweets et ses chansons préférées ;

  • le wanderer est un homme de devoir : au début du challenge, le boss lui adresse un message : « be there in 5 days, we have an agreement. If you don't, you know what will happen... ». On suppose alors qu’il endosse de lourdes responsabilités. Une autre piste (non exclusive) est son comportement volage. Alors qu’il porte une alliance sur une photo, l’un des associés insiste sur le besoin de le surveiller, car « il pourrait être tenté de draguer des filles » ;

  • l’accountant est vénal : « Information must be shared, but the money must flow ». Le comptable ne perd pas le nord et est prêt à vendre des informations confidentielles, comme il l’écrit sur son compte Fiverr. Mais, comptable quasi honnête, il n’oublie pas de mettre la TVA sur ses factures !

L’une des questions suivantes porte ensuite sur la signification de « Manipar ». Les protagonistes étant tous liés à l’Espagne, nous avons cherché la traduction de manipar sur Deepl, qui l’a traduit par « manipuler ». Pour une organisation qui cherchait à dévoiler des vérités cachées, cela semblait logique. Sauf que…

Manipar ne signifie pas du tout « manipuler » en français ! Il fallait écrire à l’envers Manipar pour avoir Rapinam, qui signifie « rapine », « vol ».

 

Organisation

Nous retenons de ce CTF la nécessité d’être bien organisés, de communiquer et de capitaliser sur nos recherches. Tous réunis autour d’une table afin de faciliter le travail en équipe, et passé un temps de réflexion personnelle, nous échangions à chaque nouvelle question.  

Cela a permis, dans certains cas, de trouver très rapidement des réponses, car l’un de nous quatre faisait part directement d’une bonne intuition. Par exemple, la consultation du site https://whatsmyname.app/ pour investiguer un pseudo a été déterminante. Les deux résultats uniques se sont avérés décisifs, alors qu’une recherche via www.namechk.com aurait été plus chronophage du fait des faux positifs.

Ensuite, le fait d’échanger nous a permis d’envisager les problématiques sous des angles nouveaux et d’échapper ainsi à l'effet tunnel, un biais cognitif fréquent. En effet, l’obstination d’un enquêteur l’empêche souvent d'adopter un autre schéma de pensée, quand bien même il sait qu'il n’obtiendra aucun résultat. Nous avons donc réussi à bien communiquer entre nous, même si trouver Kermit a mis nos nerfs à rude épreuve.


Enfin, nous avions pensé à noter, au fur et à mesure, les différents éléments trouvés afin de cerner au mieux le scénario. Cela nous a été d’une grande utilité pour la partie analyse, car nous avions en tête presque tous les éléments. Et, comme chaque personnage avait des spécificités (pseudos, comptes de réseaux sociaux, liens, etc.), nous avions pensé à coucher ça sur un tableau, à l’ancienne.

Cela étant dit, nous aurions pu davantage structurer notre collecte d’infos, qui, si elle a eu le mérite d’exister, s’est un peu noyée dans un Google doc. Pour une prochaine édition, combiner un Word et un Excel pour compiler toutes les infos nous paraît judicieux, quitte à réaliser une carte mentale sur Xmind, Mindomo ou une frise chronologique.

Concourant sous le nom de W@R ROOM, le club OSINT de l’AEGE a participé et terminé troisième sur un total de 61 équipes. Encore un grand bravo aux organisateurs, en espérant qu’il y ait une prochaine édition !

Artus Huot De Saint Albin et Steven Deffous pour le Club Osint & Veille de l’AEGE

 

Pour aller plus loin :