 que vous pouvez nous faire part de vos remarques et constructives ou appréciations sur Twitter par l'ashtag C3T. Alors, je suis fier de vous présenter Mustafa Al-Bassam. Il est étudiant en PHD au Collège de sécurité de l'information à Londres. C'était un des co-fondateurs de l'ULSEC, un groupe de activisme dont vous avez peut-être probablement entendu parler. Accueillez-le chaleureusement pour sa présentation à la découverte des faux comptes sur les réseaux sociaux des espions britanniques. Bonjour. Alors, cette année, on a beaucoup entendu dans les médias beaucoup entendu parler des gens avec qui on interagit sur les réseaux sociaux. On ne sait pas forcément qui c'est et ce dont on entend maintenant, c'est peut-être des bottes, peut-être pas des vraies personnes. Et c'est un sujet de, un sujet d'actualité dont on a beaucoup parlé cette année, en particulier après l'élection fin 2016 aux États-Unis. Les études ont dit qu'au moins 20% des tweets dessus n'étaient pas par des vraies personnes. On a un point où même le président est manipulé par ces bottes. Mais cette activité, ça fait très longtemps que ça se passe comme ça. Et ce n'est pas juste quelque chose que fait la Russie ou la Chine. L'Occident fait pareil. Les États-Unis font ça et pour déstabiliser d'autres régions. Alors aujourd'hui, j'ai parlé plus particulièrement de ce qu'on fait en Grande-Bretagne à ce sujet. Alors en Royaume-Uni, on a l'équivalent de la NSA qui s'appelle le GCHQ pour Government Communication Equalers, quartier généreux de la communication du gouvernement. C'est vraiment l'équivalent de la NSA américaine au Royaume-Uni. Leur but est de collecter le plus d'informations possibles via des écoutes, des systèmes espions. Mais ils ont également une équipe ou un département, le Research Threat Intelligence Group, ou groupe d'études des menaces. Et ce que fait ce groupe, c'est ce qu'on appelle la Human Intelligence, c'est-à-dire l'acte d'interagir avec des humains en ligne pour avoir un effet sur le monde réel. L'influence des gens, c'est une mission d'utiliser des astuces néfastes pour influencer, détruire, manipuler. Et on a vu ce groupe, le J-Trigg, s'impliquer dans pas mal d'opérations, notamment des opérations contre le groupe d'activistes l'OLSEC, mais également des influences pendant le printemps arabe dans le Moyen-Orient. Alors je vais parler un petit peu du contexte qui m'a amené à découvrir ces choses et à commencer mes recherches là-dessus. En 2011, j'ai commencé à m'impliquer dans un groupe qu'on appelait l'OLSEC. C'est un groupe qui a été créé dans l'été 2011 et qui a pris poursible diverses organisations américaines, notamment le SENA ou la chaîne d'information FOX. Donc cette année-là, j'ai été arrêté et j'ai été déposé devant la cour en 2012 au Royaume-Uni. Ce qui est intéressant, c'est que les documents n'avaient aucune mention de comment ils m'avaient retrouvé, comment ils m'avaient déanonymisé, comment ils avaient fait un lien entre nos identités en ligne et nos identités dans la vie réelle. Alors, moi j'étais un petit peu suspect, parce que les membres de notre groupe, qui étaient aux États-Unis, il y avait une description très longue de comment ils avaient été retrouvés. Comme mon collègue Jeremy Huntons a été arrêté aux États-Unis, les documents avaient beaucoup d'informations sur comment ce qu'il avait été reconnu. Mais, un an après, il y a eu un document qui a fui de la NSA et du GCHQ, des documents qui ont fui par Edward Snowden. Et en 2014, un an après, un de ces documents publiés par NBC a montré que GCHQ, l'agence britannique, avait pris pour cible l'OLSEC. Et ça pour moi, ça me dit, ça expliquait pourquoi ces documents n'indiquaient rien, parce que si le GCHQ avait les capacités de faire ce genre de choses, évidemment, ils ne voulaient pas le mettre dans des documents de cours qui auraient été publics. Alors, une des personnes qu'ils ont pris pour cible, c'est quelqu'un qui avait le surnom de POC. Il était sur un canal ERC, un canal ERC, c'était un canal public. Et des gens qui se reconnaissaient comme étant en partie d'anonymous ou des activistes, se réunissaient et discutaient par chat et planifiaient des opérations. Alors, POC était sur ce canal et nous a dit qu'il avait une liste de 700 agents de renseignement avec leurs e-mails et leurs noms. Alors, il s'est avéré qu'un agent du GCHQ était sur ce canal et observait ce qu'il se passait. Et cet agent du GCHQ a commencé à parler en privé avec cette personne pour créer une relation avec cette personne et pour extraire plus d'informations. Et l'agent a demandé quelle est la taille de ton dôme de données. Et il a obteni quelques informations et même des échantillons de ce qu'il y avait dans cette leak. Alors, il s'avère qu'il y avait des agents qui étaient actifs depuis des mois, avoir des années sur ce canal ERC et sur plusieurs canaux sur ces réseaux. Il disait pas grand-chose. Il participait pas vraiment en discussion. Mais de temps en temps, il dirait à tête bonjour ou MDR, LOL, sur ces canaux. C'était probablement une façon de ne pas être déconnectée du réseau ou si vous êtes déconnecté. Par contre, ce qu'il faisait, c'est que régulièrement, il contactait des personnes en privé pour extraire des informations ou pour tenter de leur faire admettre qu'ils avaient fait des choses illégales comme on a pu le voir avec Poc. Et c'est un thème assez récurrent de voir des agents comme ça agir de façon couverte. Par exemple, pendant un meeting de Europol, il y a quelques années, où différents pays discutaient de comment est-ce qu'ils pourraient contacter des membres du CSU et il y avait un problème qui était qu'il y avait tellement de flics qui étaient en couverte sur ces canaux qu'ils en étaient à avoir des flics qui cherchaient des informations sur d'autres flics parce qu'ils se reconnaissaient pas entre eux. On voyait un lien à la BBC News sur les activistes et apparemment, ce lien a permis à GCHQ de mener des opérations d'intelligence pour retrouver toutes les informations sur Poc. Ces informations Facebook, adresse mail, etc. On ne sait pas exactement comment ils ont fait ça, mais on peut deviner avec l'adresse IP, ils ont pu récupérer toutes les informations avec HTTPS et récupérer le trafic qui passe par une adresse IP particulière, les comptes Facebook connectés par exemple. Mais dans ce lien, BBC, ce n'était pas très compliqué de retrouver les informations parce que c'était un canal public. Comme ces informations ont été publiques, on a été capables de retrouver quel était le raconteur d'URL qu'ils avaient utilisés et de l'utiliser nous-mêmes pour retrouver des informations. Le lien qui a été envoyé à Poc sur lequel il a cliqué, c'était un lien le domaine c'était lurl.me. C'est un screenshot de la page lurl.me qui était utilisée à l'époque. C'était simplement un raccourcisseur de lien. Et une chose qu'on peut remarquer, c'est qu'en anglais il y a un peu un jeu de mots, le nom lurl.me ça veut dire à pat moi. C'est intéressant parce que le J-Trink, ce groupe de GCNSU, a un wiki interne et il liste tous les outils qui s'utilisent dans leur opération. Et un des outils qu'ils ont, c'est un Unipot, c'est-à-dire un site qui sert à... un site ou une cible qui sert à attirer des attaquants pour les reconnaître. Et ils en ont un qui s'appelle Deadpool. Alors, quand on regarde l'histoire de l'url.me, ce raccourcisseur du ral, il a été registré en 2009. Et immédiatement après, il a été utilisé pour créer des liens vers des tweets à propos des protestes en Iran. Et après cette vague de protestes de manifestations en Iran, il a pu vraiment être utilisé. Et si on regarde l'utilisation de ces choses-là sur Twitter, il y a quelques centaines d'utilisations de ce raccourcisseur de liens. Et à peu près presque toutes ont quelque chose à voir avec des manifestations politiques au Moyen-Orient ou quelquefois en Afrique. Et c'était généralement utilisé par des comptes qui n'avaient pas d'avatar, très peu de tweets. Et ces comptes-là aussi n'utilisaient que pour quelques mois pendant un conflit ou pendant des manifestations. Alors, une des techniques qu'utilise ce groupe, c'est d'uploader des contenus, de créer des comptes et d'établir des personnalités sur des forums ou des réseaux sociaux, de créer des discussions sur les questions qui nous intéressent, de diffuser des informations et des ressources pour aider les gens à rejoindre le côté qu'on veut favoriser. Et je vais donner des exemples, c'est exactement ce qu'ils font. Dans une de ces opérations, le GCSU a pris pour cible la population entière de l'Iran, ce qui est quand même une assez grosse des millions de personnes. Alors, leur but en Iran, le premier était de donner une mauvaise image des dirigeants de l'Iran et du programme nucléaire. Le deuxième était de délayer et d'empêcher le programme nucléaire d'obtenir les matériaux nécessaires. Le troisième était de faire l'intelligence humaine, d'influencer des gens. Et le quatrième était de limiter la censure. Ce qui a l'air plutôt bien, mais attendez alors que ce n'est pas vraiment ça. Le principal compte que J-Trick utilisait pendant cette comeback était nommé 2009 Iran Free. C'était un des comptes les plus actifs sur Twitter avec 216 tweets. Et il y avait quelques autres comptes qui étaient moins actifs. Avec, on voit les avatars ici, qui étaient utilisés pour retweeter ou tweeter les mêmes informations légèrement modifiées. Et ce que faisait ce compte, c'était dans des intervalles d'une ou deux semaines de tweeter des informations sur différents sujets et avec des liens vers des articles en ligne. Et ils avaient également un site blog spot avec un article pour essayer d'élargir le réseau. Une des activités de ce compte, c'était d'étendre un maximum d'adresses IP comme proxy pour contrer la censure. Donc ils ont une liste d'adresses IP qu'on voit ici, qui peuvent utiliser pour les protestes et on peut utiliser ces adresses comme des proxies. Et c'est inquiétant, parce qu'un des outils utilisés par J-Trick, nommé Molten Magma, Magma fondue, c'est un proxy HTTP, qui permet de loguer tout le trafic qui passe par le proxy. Et cet outil est utilisé sur toutes les adresses IP et tous les liens, ce qui leur permet de filtrer tout le trafic. Et ils ont même dit que c'était des proxies utilisées par le gouvernement iranien pour sortir de leur propre firewall. Donc s'ils bloquent ces proxies, c'est leur propre trafic vers l'extérieur. Dans ce contexte, GCHQ donne l'impression de vous aider, mais au final, il crée plus de problèmes dans cette liste qu'on tient des techniques utilisées par J-Trick. C'est aussi un document qui a été liqué. On peut voir que ce qu'ils font en bas, une technique, c'est hoster des communications et des sites web pour collecter toutes les informations comme ce qu'on a vu avec Poc. Et de cette manière, pouvoir donner de l'accès à différentes données et communiquer avec différentes personnes. Il y a quand même des gens qui trouvaient que c'était suspect. Il y a une personne qui a posé les bonnes questions. Pourquoi est-ce que le gouvernement utilise des proxies pour passer outre leur propre filtre ? Ça n'a pas vraiment de sens. Et ils avaient raison, parce qu'effectivement, c'était pas du tout le gouvernement iranien qui monitorait les connexions comme ça et qui écoutait ce qu'il se passait sur Internet. C'était le GCHQ. Il y a eu des sites Quotimi en place, comme ce site qui est un miroir d'un site d'informations iraniens, le géré par les services botaniques. Une chose que GCHQ faisait beaucoup, c'était se faire passer pour des membres du gouvernement iranien. Par exemple, il y avait un numéro qui permettait d'appeler le président directement, mais depuis l'extérieur du pays, il ne fallait pas utiliser à l'intérieur du pays. Donc pour diffuser des informations, soit disant confidentielles, pour gagner la confiance du peuple. Une autre chose qu'il faisait, c'était qu'ils envoyaient des e-mails et des messages d'ASMS en se faisant passer pour une autre personne, pour les discréditer, pour détruire la confiance qu'il y avait dans ces personnes-là. Et ça, ça a plutôt bien marché. Voici par exemple une réponse à ça, qui disait si on appelle ce numéro, forcément c'est les services secrédiraniens qui vont répondre. Donc ça, c'est l'activité qu'on a vu plutôt en 2009. Il y avait pas mal de comptes qui faisaient ça. Il y avait des... Si on regarde les avatars, par exemple, qui étaient associés à ces comptes, on peut les trouver. Si vous allez sur Google et que vous tapez le nom de cet utilisateur entre double code et que vous créez site twitter.com, vous trouverez ces comptes-là. En 2010, par contre, rien du tout sur ce raconcisseur d'URL. Aucune activité. Et en 2011, ça reprend. On renvoie l'activité sur ce raconcisseur d'URL avec un but similaire, de faire des opérations de résistance à l'ascensure, ou en tout cas, c'était ce qu'il disait, pour la Syrie, et de même façon, même mode opératoire, de donner des aides récipées aux peuples syriens pour utiliser des proxies pour passer outre l'ascensure. Une chose qu'il disait, c'est qu'il disait, par contre, ici des vidéos sur YouTube. Alors, ils n'essayaient pas très, très fort, quand même. Si on regardait les heures auxquelles les gens postaient, ils postaient uniquement entre 9h00, du matin et 5h00, du soir, du lundi au vendredi. Alors, soit ils avaient la flemme, soit ils n'étaient pas très motivés, mais une délimitation du J-Trigg, c'est qu'ils avaient quand même des choses qui n'avaient pas le droit de faire dans leurs opérations. Ils avaient des documents qui ont été liés, qui lisent des choses qu'ils ne pouvaient pas faire. Et une des choses qu'ils ne pouvaient pas faire, c'était se faire passer pour plus d'un nombre relativement réduit de comptes. C'est pour ça qu'on voit un compte principal dans ces événements, et quelques autres, peu du compte, mais un nombre assez restreint, qui travaillait avec eux. On n'aurait pas des centaines. C'était en 2009, ça. Ce n'était pas à une échelle automatique. Et une autre chose qu'ils ont fait, c'est qu'il y avait un manque de continuité dans la communication quand ils se laissent des comptes. C'était vu comme une façon d'éviter d'être découvert par d'autres. Il y avait aussi un manque dans leur communication de photos. Ils n'avaient pas d'avatar. On voyait beaucoup les oeufs sur le compte Twitter, l'avatar par défaut, parce qu'ils n'avaient probablement pas d'équipe pour faire des avatars, ou ils n'avaient pas de visage qu'ils pouvaient mettre dessus. Ils avaient un manque de conseiller dans les différentes langues. Ce qu'on peut voir ici par exemple, c'est qu'ils retweetent la même chose à chaque fois en mettant le même texte. C'est parce qu'ils n'ont pas assez de traducteurs pour traduire les messages. L'autre chose qu'on a vu en 2011, c'était pendant la révolte à Bahrain. Donc le compte appelé Freedom for Bahrain a envoyé deux tweets en mentionnant deux comptes Twitter. C'est des médias de Bahrain qui couvraient la révolte à Bahrain. Ce genre de messages est similaire à ce qu'on voyait avec Pauke. C'était pour découvrir quelles sont les personnes derrière ces comptes. En 2012, pas d'activité. Ensuite en 2013, on a découvert un tweet par rapport au Kenya, à la politique au Kenya. Cette personne est un assistant de recherche pour Human Rights Rush. Probablement une méthode similaire que celle utilisée pour Pauke. Un lien a été envoyé par un message privé sur Twitter avec un lien LURL comme pour Pauke. Donc on voit qu'il commençait à s'intéresser aux organisations non gouvernementales. En 2013, toutes les infrastructures... Après les ligues de Snowden, ils ont décidé de tout détruire, tout brûler. Ils ne pouvaient pas se permettre de prendre le risque que ce soit découvert. Mais j'ai quand même pu chercher des informations sur les noms de domaines qui étaient émergés sur les serveurs qui servaient le RME, le raccourcisseur du RL. Beaucoup de ces noms de domaines ont l'air d'être aléatoires, alphanumériques. Ils ont tendance à utiliser des fournisseurs DNS, comme DIN DNS ou des alias DNS. J'ai pas pu trouver d'archives des sites web sur ces domaines. Ça ne veut pas dire qu'il n'y avait pas de sites web, mais si vous avez des idées sur ce qu'il y avait sur ces sites, je pense que c'était potentiellement des endpoints du malware ou des systèmes de commande et de contrôle pour des botnets. Mais un des noms de domaines intéressants là-dedans c'était Dune's Adventure.net. Voici la page archivée de Dune's Adventure, qui est un site, soi-disant, basé au Kenya, qui n'était pas du tout basé au Kenya. C'est un site très simple d'une seule pêche, plutôt mal fait, et ils disent qu'ils ont des problèmes avec leur site et que leur système de réservation ne fonctionne pas correctement, et que du coup ils l'ont mis hors ligne. Bien sûr, il n'y a jamais eu de système de réservation sur ce site. C'était juste une ruse pour que, quand on vaive sur ce site, ça donne l'air d'être une entreprise légitime. Si vous en savez plus à ce propos là, je suis très curieux, donc n'hésitez pas à me donner des informations, et j'aimerais beaucoup prendre un verre avec vous si vous pouvez m'en dire plus sur ça. C'est tout ce que j'ai pour aujourd'hui. Si vous avez des questions, merci. Si vous avez des questions sur le stream, vous pouvez les passer par ERC au Signal Angel. Nous avons à peu près 5 minutes pour des questions. Nous avons aussi des questions dans la salle. Il y a beaucoup de réseaux sociaux utilisés. Ça va dire c à Facebook, à Twitter, l'email. Comment est-ce que vous suggéreriez aux gens de faire la part des choses entre les vraies comptes et les faux comptes ? C'est une très bonne question, parce que si tu fais de l'activisme en ligne, et tu penses que tu es anonyme, et que tu veux voir les personnes uniquement en personne, comment est-ce que tu reconnais les personnes qui sont des personnes qui veulent te faire du mal ou pas ? Je pense que la réponse ici, c'est ce que tu partages. Fais attention à jamais rien poster qui peut te faire du mal, même les gens en qui tu as confiance. Ça c'est une règle en or. Et il y a quelques années, une personne a été attrapée parce qu'il a partagé trop d'informations sur sa vie, comme où il mange, où il sort, et ils ont pu utiliser ces informations pour deviner qui cette personne était. C'était la même erreur qu'à l'époque. Il a été trop ouvert avec une personne particulière. Je pense que la réponse, c'est de mener des opérations d'une manière. On peut faire confiance aux gens. Est-ce que vous pensez que ces méthodes sont efficaces ? On a vu sur Second Twitter qu'il y avait très peu de followers. Est-ce que vous avez un sens de combien de personnes ont été affectées par ces opérations ? J'avais un slide qui montrait une liste des points principaux, et qui montrait le nombre de personnes qui cliquaient sur ces liens et qui lisaient ces informations. C'est une manière avec laquelle on peut mesurer le nombre de personnes qui utilisent ces méthodes. On voit que ça a été très efficace sur des grandes populations comme en Iran, par exemple avec une population ciblée très importante. Je tiens à savoir si vous connaissiez le travail de Aaron Gellinger. Elle a travaillé sur la visualisation des effets et des interactions d'un compte Twitter pour avoir des façons d'exécuter si c'est des bottes ou pas. Par exemple, les bottes ont le temps d'exécuter avec les autres, mais pas forcément réagir à ce que font les humains légitimes. Je vois si vous connaissiez des techniques pour analyser et reconnaître si un compte est un bot ou pas. Je ne suis pas au courant de son travail, mais merci, je vais regarder. Par rapport aux valeurs, aux mesures qu'on peut utiliser, pour regarder si un compte est valide ou pas. Je pense que les habitudes de Twitter sont importantes. Comme on a vu, de 9 heures à 5 heures. Et aussi, une autre chose intéressante à faire, c'est de mapper le réseau de ces comptes. Si tu peux créer un réseau des followers et lier les comptes ensemble, tu peux créer un cluster assez facile à découvrir qui te donne un signal sur les comptes. Sur les comptes qui sont liés avec les autres. Merci beaucoup pour cette présentation. Comment pourriez-vous comparer l'activité que vous avez analysée chez les Britanniques aux activités publiées par les services russes ? Je n'ai pas été très impliqué avec les problèmes en Russie et les activités des services secrets russes, parce que c'est un autre contexte. Donc il faudrait que je me concentre là-dessus et que je travaille sur ce sujet. Merci. Pour rebondir sur ce que disait la personne précédente, j'avais une question assez similaire. Pour ajouter à ça, est-ce que vous avez vu des activités similaires qui viendraient par exemple de Canberra en Australie ou Washington en Stas-Unis ? Ces comptes sont très spécifiques au Royaume-Uni. Il n'y a pas de collaboration vraiment. On n'a pas trouvé de collaboration avec les États-Unis ou l'Australie. Mais je pense qu'il y a eu des collaborations entre J-Trigg et la NSA par le passé. On a vu par exemple il y a quelques années, ou l'an dernier, il y avait une attaque de drones et quelqu'un a été tué en Irak, qui a été suspecté d'être un membre de l'État islamique. Et la manière dont ils ont trouvé sa localisation, c'est que les États-Unis avaient un informateur qui parlait avec cette personne, et la NSA envoyait un lien à cette personne qui était monitorée par GCHQ, et en cliquant dessus, ils ont pu le localiser. Bien, ceci conclut cette présentation. Cette présentation va essayer d'éduquer.