writeups articles whoami Français

Contenu

Stranger Case CTF (OSINT) - Rapport d'enquête

shin inclus dans writeup StrangerCaseCTF
   3644 mots   18 minutes 
/images/blog/stranger_case/banner.png

Ordre de mission

Il y a quelques semaines, un client anonyme nous a fait parvenir une demande d’enquête des plus étranges. D’après son signalement, il s’agirait de se renseigner sur les activités d’une école appelée ESUBIO (Ecole Supérieur de Biotechnologie).
Notre agent de terrain sous couverture s’est rendu à Bruz au sein de cette école pour enquêter afin d’y trouver des indices.
Il a découvert que cette école proposait notamment une formation en Biotechnique qui est fidèle à la brochure sur leur site internet : https://esubio.fr/.
Après avoir échangé avec de nombreux élèves, ainsi que le directeur de l’école, il n’a trouvé aucune preuve d’une potentielle activité suspecte au sein de cet établissement…
Nous suspectons une personne de les avoir prévenu de notre arrivée dans l’école et d’avoir compromis l’identité de notre légende ainsi que l’objectif de la mission.
C’est pour cette raison que nous avons décidé de solliciter votre aide !
Votre mission, si vous l’acceptez… est d’enquêter en utilisant majoritairement les sources ouvertes.
De plus, afin de ne pas éveiller les soupçons, il vous est interdit de vous déplacer physiquement à l’école !
Toutefois, vous pouvez si besoin est, faire de l’actif en prenant contact avec les différents interlocuteurs dans le but d’obtenir des informations.
Le tout en restant le plus discret possible !

Composition de l’équipe

L’équipe Hishin est composée des agents XYZ et shin.
Pour cette enquête, ils ont respectivement enfilés les identités de John Magomedov ainsi que Guillaume Talis.

Rapport d’enquête

L’École (ESUBIO)

/images/blog/stranger_case/esubio.png

ESUBIO (École Supérieure de Biotechnologie) est une école bretonne spécialisée en biotechnologie. Institut supérieur, elle emploierait entre 2 et 10 employés.

/images/blog/stranger_case/emp.png

Active depuis plus de 2 ans et comptant plus de 6 partenaires, l’école a, pour l’instant, recrutée plus de 25 élèves.

/images/blog/stranger_case/chiffre.png

Elle ne manque d’ailleurs pas de se vanter de sa méthode d’apprentissage en peer to peer, apparemment utilisée par les plus grandes écoles.

/images/blog/stranger_case/vante.png

Ses réseaux :

L’équipe d’ESUBIO

LECARPENTIER Charles

Ses réseaux :

Charles LECARPENTIER est l’actuel directeur de l’école ESUBIO (depuis fin 2020).

Àgé d’une soixantaine d’années, monsieur LECARPENTIER est un ancien chercheur ayant notamment travaillé au sein du CNRS et de l’Université Claude Bernard Lyon.

Son compte twitter détaille rapidement ses passions, les abeilles et l’antiquité semblent détenir une place très importante dans sa vie.

Vigoureusement d’extrême droite, monsieur LECARPENTIER n’hésite pas à partager sa vision de la France sur ses réseaux, notamment son compte twitter.
Il semble lié à un parti politique, La France Libre (LFL), qu’il soutient aux législatives. Néanmoins, ses affinités avec La France Libre ne semblent pas s’arrêter là. En effet, Charles semble lié au candidat de LFL, CHAUVET Romain. Il l’interpellera dans un tweet au sujet d’un badge oublié dans une conférence.

Enfin, LECARPENTIER Charles semble assez proche de son collègue, POTVIN Thierry (responsable relation et développement au sein d’ESUBIO)

POTVIN Thierry

Ses réseaux :

Pour mener à bien le développement d’ESUBIO, Charles LECARPENTIER peut compter sur POTVIN Thierry.

Àgé d’une quarantaine d’années, monsieur POTVIN est un passionné de voyages et de vinyles; passions qu’il n’hésitera pas à partager sur ses différents réseaux.

À l’instar de son collègue et ami Charles, il est important de noter que Thierry affiche ses opinions politiques sur son compte twitter.
Partisan des idées de l’extrême droite, il est abonné à de nombreux médias identitaires (un des conseillers de madame LE PEN pourra notamment être trouvé dans ses followers).

Il semble, lui aussi, très proche du parti La France Libre ainsi que de CHAUVET Romain.

Il évoquera notamment dans un tweet son site internet, mypassionforvinyles.fr, qui est actuellement en création.
C’est grâce à une petite interaction avec la cible que l’on peut obtenir l’url de ce blog.

/images/blog/stranger_case/conv.png

À première vue, le blog ne contient rien de très intéressant pour notre investigation et ne permet que de confirmer la passion de Thierry pour la musique et la culture qui s’en dégage. Néanmoins, en se rendant sur le fichier robots.txt, on obtient un url pour un site en .onion sur le dark web :

/images/blog/stranger_case/robots.png

e53ftohvaxxmkf2344atxrpd2kcozhchuu2wfw2vrl36xxw3zsz4gbid.onion

Ce fameux site nous demande de nous identifier.
Ne trouvant aucun identifiants valables dans les informations disponibles sur Thierry, nous allons mettre ce site de côté.

Enfin, Thierry indique son numéro de téléphone sur son compte LinkedIn.
Lors de la tentative d’approche, un répondeur nous indique que Thierry est absent mais reste joignable sur son adresse mail : varsothierrypt35@gmail.com

Ajout post-événement

Par manque de temps, nous n’avons pas eu le temps de vérifier si un calendrier était lié à cet email.
Néanmoins, et après la conclusion de l’événément, nous avons pu identifier la présence d’un agenda public.
Ce dernier contient de nombreuses choses louches qui alimentent la liaison entre ESUBIO et le laboratoire Lémery, sur lequel nous nous pencherons plus tard.

/images/blog/stranger_case/agenda.png

Les étudiants d’ESUBIO

ROUVE Julien

Ses réseaux :

Àgé d’une vingtaine d’années, Julien est un étudiant de l’ESUBIO. Plutôt actif sur les réseaux sociaux, Julien a été un élément clé dans la compréhension de cette enquête.

À partir de son adresse email julien.rve44@gmail.com (présente sur son compte Instagram), une utilisation d’Holehe ainsi que d’EPIOS est effectuée. Cette analyse, concluante, nous permet d’apprendre que Julien est inscrit sur Discord et Instagram.

Étant donné qu’un compte Discord ne peut-être trouvé sans son discriminant (le nom d’utilisateur et le discriminant donnant lieu au Discord Tag), il est impossible de remonter le compte.
Néanmoins, et après quelques essais, il est possible de trouver son compte instagram.

Son compte Instagram nous indique quelques uns de ses hobbies : le dj, les drones & le biohacking.

Néanmoins, l’information présente qui semble être la plus intéressante est une photo de son écran d’ordinateur qui laisse percevoir un lien discord. On note également la présence d’un projecteur qui affiche au tableau des informations qui nous serons peut-être utiles plus tard : “Project NFC Implants - Les biohackers du Dimanche - Julien & Julien”.

/images/blog/stranger_case/insta.png

Une fois le serveur infiltré, on relève très rapidement une conversation entre Julien et un autre élève.

/images/blog/stranger_case/conf.png

Cette conversation fait état de la disparition d’élèves et du comportement louche du staff de l’école.

BORLEAU Julien

Ses réseaux :

  •  Compte Discord : Limitless44600 (trouvable sur le serveur discord)
  •  Compte Trello : limitless44600 (trouvable à partir du compte discord)

Très peu d’informations sur Julien BORLEAU sont disponibles. Néanmoins, il est aisément possible de pivoter sur un TRELLO à partir de son nom d’utilisateur discord.

/images/blog/stranger_case/trello.png

Une fois sur le tableau collaboratif, on y apprend que Julien BORLEAU et Julien ROUVE travaillaient dans un groupe de 3, avec un certain Martin, le tout sur un projet RFC.
Ayant eu besoin du RETEX d’un professionnel, l’équipe a fait appel à madame Wen Mai Baizuo, chercheuse en biologie au sein du Laboratoire Lémery.

DURAND Bastien

Ses réseaux :

Comme les autres étudiants, Bastien est âgé d’une vingtaine d’années. Néanmoins, il ne semble pas être très présent sur les réseaux sociaux.

Les seules indications que nous possédons sur cet étudiant est qu’il est originaire du sud (diplômé à Toulon).

TREVISIANI Alexandre

Ses réseaux :

Àgé d’une vingtaine d’années également, Alexandre est un étudiant d’ESUBIO fan de biohacking, de running et plus globalement de sport.

Son compte twitter est majoritairement composé de retweets mais un de ses tweets semble indiquer une inquiétude de sa part quant au fait que l’effectif de sa promotion diminue à vue d’oeil sans explications.

/images/blog/stranger_case/disp.png

Sur son compte Instagram, il indiquera se rendre prochainement au BioHacker Summit 2022.

Il publiera également dans sa story au sujet de la disparition de Martin, visiblement absent depuis 3 jours. Ces informations semblent coïncider avec les paroles des deux Julien sur le discord que nous avons trouvé précédemment.

/images/blog/stranger_case/story.png

La France Libre

La France Libre est un parti politique français d’extrême-droite.

Issu d’un mouvement souverainiste, ce parti politique se présente en tant que parti libérateur de la France.

/images/blog/stranger_case/LFL2.png

Se présentant aux élections législatives de 2022, LFL investit deux de ses candidats : CHAUVET Romain et GOULET Olivier.

Dans son seul article disponible sur Medium, le parti fait état de ses valeurs, notamment dans le domaine de la recherche.
La France Libre prétend soutenir “de tout coeur” le laboratoire Lemery, laboratoire français sur lequel nous reviendrons.

/images/blog/stranger_case/medium.png

Ses réseaux :

Les membres de La France Libre

CHAUVET Romain

Ses réseaux :

Visiblement âgé d’une quarantaine d’année, Romain CHAUVET est un membre du parti politique “La France Libre”. Il indique sur son compte twitter être le candidat LFL pour la deuxième circonscription du Cantal pour les élections législatives 2022.

Ne cachant pas son amour pour la France et son attachement aux valeurs républicaines, monsieur CHAUVET suit un grand nombre de personnalités et de médias de droites/d’ED.

Sa biographie sur le site de son parti politique nous détaille un peu plus son parcours :

Romain est un candidat sérieux pour la deuxième circonscription du Cantal. Enfant du territoire, il a œuvré à rendre son village natale, Mauriac, plus attractif en participant activement à la vie local.
Parcours :
Master politique publique - Science Po Poitiers
Licence Parcours Science Politique - Université de Poitiers

En dehors de ses liens étroits avec l’ED et ESUBIO, Romain CHAUVET ne semble pas présenter plus d’intérêt pour l’instant.

Ajout post-événement
À nouveau et toujours par manque de temps, nous n’avons pas eu le temps de nous pencher sur le twitter privé de Romain.
Trouvable dans les likes d’un des tweets de son compte pro, ce compte personnel nous indique que ses informations ont fuitées.
/images/blog/stranger_case/foot.png
Àprès conclusion de l’événement, il s’avère qu’une approche SE était nécessaire pour obtenir le numéro et que ce dernier aurait du ensuite être utilisé pour remonter à un compte snapchat.
GOULET Olivier

Ses réseaux :

Olivier est un candidat du parti La France Libre. Très peu d’informations sont présentes sur cette personne, à l’exception de sa biographie sur le site du parti :

Olivier est un travailleur qui connaît le monde de l’industrie. Travailleur depuis 1995 dans la région de la Lozère en tant que cariste et opérateur de production, il est le mieux placé pour comprendre ce que vive des millions d’ouvrier chaque jour.
Parcours :
Opérateur de production - Environnement Massif Central
Cariste - Environnement Massif Central
Cariste - ArceloreMittal Occitanie

Malgré sa grande discrétion, Olivier s’avère être une vraie mine d’informations. En effet, son adresse e-mail nous révèle un compte github : powermindctrl

Ce github nous mènera vers le repository Lemery, d’un certain “Anstarke67”.

Une recherche peut être effectuée sur le pseudo du propriétaire du repository; cette dernière nous permettra d’obtenir plusieurs informations :

Comme nous le savions, cette personne possède un compte github ainsi qu’un compte zestedesavoir

Il est possible, depuis un commit effectué dans le repository Lemery, de trouver son adresse email :

benoit.dormont67@gmail.com

Nous reviendrons sur Benoît DORMONT dans la prochaine partie.

Le Laboratoire Lemery

/images/blog/stranger_case/labo.png

Ses réseaux :

Le laboratoire Lemery est un laboratoire spécialisé en recherche et en innovation.

Le laboratoire se présente comme un expert dans plusieurs domaines, notamment celui de l’implant de neurotransmetteur…

/images/blog/stranger_case/lem.png

Il semblerait qu’au moins 16 personnes travaillent pour ce laboratoire. En effet, le site indique que 7 personnes travaillent dans la section phamacologie, 3 dans la section cérébrale et 6 dans la section génomique.

Le site semble être tenu par Mathieu BRUZOIS, directeur de publication auquel nous nous intéresserons plus tard.

Les employés du laboratoire

BAIZUO Wen Mai

Ses réseaux :

Wen Mai est une employée du Laboratoire Lémery. Très peu d’informations sont disponibles sur cette femme qui semble se faire discrète.

Néanmoins, une mention sur Trello prouve que Wen Mai est à nouveau rentrée en contact il y a peu de temps avec les élèves d’ESUBIO

/images/blog/stranger_case/trello2.png

Ce qui confirme un post sur son instagram où l’on peut voir qu’elle a donné des cours à des élèves de l’école.

/images/blog/stranger_case/cours2.png

BRUZOIS Mathieu

Ses réseaux :

Mathieu est un chercheur du laboratoire LEMERY. Tout comme pour sa collègue Wen Mai, très peu d’informations sont disponibles sur lui, à l’exception de ses coordonnées professionnelles.

À partir de son adresse mail professionnelle trouvée sur le site du laboratoire Lemery et à l’aide d’EPIOS, il est possible de remonter ses avis google et s’aperçevoir qu’une rencontre a récemment eu lieu entre lui et un de ses collaborateurs

/images/blog/stranger_case/avis.png

En remontant les autres avis, on trouve rapidement celui qui semble correspondre à son collègue

/images/blog/stranger_case/avis2.png

Et nous retrouvons… Anstarke67 ! Nous avons désormais la certitude qu’il (Benoit DORMONT, alias Anstarke67) est lié au laboratoire Lémery ainsi qu’au parti La France Libre.

Désormais, nous pouvons nous focaliser sur monsieur DORMONT et son repository github, qui sera visiblement un élément clé de cette affaire.

DORMONT Benoit

Ses réseaux :

Àgé d’une cinquantaine d’années, Benoît DORMONT semble être au coeur de toute cette affaire.
Responsable du laboratoire Lémery comme l’atteste son compte LinkedIn ainsi que le site du laboratoire, il semble également être lié à la France Libre à travers son projet collaboratif sur GitHub en lien avec powermindctrl.

Visiblement à la recherche d’employés qualifiés, il a fait un post sur le site “zestedesavoir”

/images/blog/stranger_case/zeste.png

Dans ce post, il fait état d’un “projet de développement d’une puce électronique complexe pour contrôler le cerveau humain”, d’un “client exigeant” et de “cobayes”…

Le message étant signé Benoit, il n’y a, à ce stade, plus aucun doute possible, les doutes sur son identité ayant déjà été confirmés.

Une étude de son compte Github s’impose désormais.

Étude du compte GitHub

Le github s’avère être une vraie mine d’informations.
En omettant les nombreux cours que Benoît partage gratuitement grâce à son grand coeur, on y trouve rapidement des éléments permettant de faire le lien entre les différents acteurs de cette sombre histoire.

Tout d’abord, on trouve une to-do list qui fait mention de plusieurs choses importantes :

/images/blog/stranger_case/todo.png

  • Tout d’abord, on remarque la phrase “Trouver de l’aide pour la partie électronique de Minus”. Cette aide fait référence au post de Benoît sur Zeste de Savoir.
  • Puis, il est fait mention du propofol. Après quelques recherches, il s’avère que le produit se trouve être un puissant anesthésiant…
  • Ensuite et surtout, il est indiqué qu’il faut “planifier la prochaine réunion avec LFL et ESUBIO”. Les faits sont désormais indéniables, les trois organisations travaillent ensembles pour toutes ces expérimentations.
  • Enfin, la mention du sous-domaine preprod.laboratoirelemery.fr nous donne une nouvelle piste de recherche à étudier.

On trouve également un commit réalisé par un certain “powermindctrl” (rebonjour Olivier) qui fait état de plusieurs virements émis par LFL à destination du laboratoire Lémery :

/images/blog/stranger_case/virements.png

Puis, en continuant à fouiller, on tombe sur un commit appelé “identifiants”, récemment mis à jour avec le mot “private”.

En consultant l’historique, on peut retrouver des identifiants qui nous serviront pour le site sur le darkweb.

/images/blog/stranger_case/creds.png

Également, le fichier cobaye.log nous indique plusieurs choses

/images/blog/stranger_case/cobaye.png

Quatre expériences ont déjà échouées, la cinquième étant en cours…

Enfin, des fichiers de programmation sont présents, dans l’un d’eux, le fichier CLIENT semble être un fichier permettant de se connecter à un serveur distant.
En recherchant dans l’historique de ce fichier, on peut voir que l’adresse IP pointe vers 141.94.20.232…

/images/blog/stranger_case/IP.png

…qui est le serveur d’ESUBIO sur lequel le site est hébergé !

Le lien est désormais établi, mais il nous reste malgré tout à fouiller les deux éléments restants.

Étude de preprod.laboratoirelemery

Dans la partie média du sous-domaine du laboratoire Lemery se trouve une vidéo nommée exp04-1.mov.

Cette vidéo nous montre un chercheur en train de chercher un dossier qui semble prit de panique lorsqu’il entend des bruits menaçants de l’autre côté d’une grille. Paniqué par l’humain qui semble se débattre et s’agripper à la porte, ce dernier prend une seringue, probablement remplie de propofol et se prépare à la confrontation.

Ici, il est nécessaire de faire le lien avec ce que nous avons trouvé dans le github. En effet, et comme précisé auparavant, la vidéo porte le nom “exp04-1.mov”, ce qui prouve que la 4ème expérience a bel et bien échouée, la chirurgie ayant zombifié le patient et l’aurait alors rendu inapte à toute manipulation (cela étant le principal objectif de tout ça).

Ajout post-événement
Nous nous sommes intéressé à la vidéo à la toute façon et n’avons donc pas ajouté ceci à la mindmap mais le média nous donnait la localisation du laboratoire.
En effet, dans l’EXIF de la vidéo se trouvait les coordonnées GPS de son lieu de tournage, à savoir : 23.344410, 25.584874 soit Al Wahat Al Dakhla Desert, Gouvernorat de la Nouvelle-Vallée, Égypte.
Nous savons désormais que le laboratoire Lémery ne se trouve pas en France. Assez cocasse pour un laboratoire associé au parti LFL, non?

Étude du site présent sur le Dark Web

Enfin, il est temps de découvrir ce que renferme ce fameux site sur le darkweb.

En se rendant sur le site et en rentrant les identifiants suivants : trpdv : 7m63dZZwsngZMtwr

La vérité apparaît :

/images/blog/stranger_case/deep.png

C’est sur ce site, géré par monsieur POTVIN que la vente des élèves s’effectue en réalité.
Sont indiquées plusieurs informations : leur état de santé, leur groupe sanguin, leur nom et prénom… Les prix (en bitcoin) varient selon ces informations. On retrouve notamment Martin, sans photo, qui est porté disparu depuis quelques jours.

Synthèse des éléments

D’après les éléments trouvés par les deux agents, nous pouvons désormais affirmer que l’école ESUBIO, le parti politique « la France Libre » ainsi que le Laboratoire de recherche et d’innovationLemery sont étroitements liés.
En effet, et compte tenu des preuves apportées précédemment, nous pouvons affirmer qu’il se passe ici une activité triangulaire :

  • L’école ESUBIO vend ses élèves en tant que cobaye au laboratoire Lemery
  • Le laboratoire Lemery est financé par le parti polique « la France libre »
  • La France Libre est intimement liée à l’école ESUBIO de par les convictions politiques de son directeur.
    Les élèves sont disponibles à l’achat sur un site en onion.

Dès lorsqu’ils sont achetés, ils sont drogués par le laboratoire, le tout avec l’aide de l’école via un produit appelé le propofol.

Le laboratoire, de son côté, œuvre pour créer une puce électronique complexe pour contrôler le cerveau humain. Commissionnée par la France Libre (nous pouvons le comprendre grâce au poste sur zestedesavoir), la puce devra avoir le pouvoir de contrôler les émotions et les idées despersonnes qui la portent.

Néanmoins, et jusqu’ici, les résultats s’avèrent négatifs ; les cobayes mourrant ou devenant fous suite à l’implant (cette vidéo servant de preuve ou bien même les paroles du directeur de recherche directement.

Comme le prouve les morceaux de code trouvés sur le github, le serveur sur lequel se connecte le laboratoire est bien celui d’ESUBIO, prouvant ainsi définitivement le lien entre eux.

Mindmap effectuée par l’équipe au terme de l’événement

/images/blog/stranger_case/ESUBIO2.png

Ressenti sur l'événement

Malgré le fait que le classement de notre équipe aurait pu être meilleur (7/54), nous sommes très heureux d’avoir pu participer à ce superbe événement organisé par les étudiants de l’ESNA.

Nous aurions aimé bénéficier de plus de temps pour l’écriture du rapport (ce dernier permettant de classer les équipes) mais nous n’étions que 2 au lieu de 4 au sein de l’équipe; nous avons donc du nous adapter.

Mis à jour le 2022-07-24
 OSINTStrangerCase
Retour | Accueil