Cyber-renseignement sur un appel téléphonique très insistant...

Cyber-renseignement sur un appel téléphonique très insistant

Le numéro de la société étant en accès libre sur le Web, nous recevons fréquemment des coups de téléphone non souhaités. Solde CPF, panneaux solaires ou nouvelle offre Internet sont les grands classiques. Nous avons cependant eu en début de semaine un appel téléphonique très insistant. A un tel point que cela nous a conduit à initier une démarche de cyber-renseignement à son sujet.

Cet appel était initialement banal. Il ne provenait pas d’un numéro débutant par 09 ou 01 mais d’un portable classique, débutant bien par 06. Les choses se sont de suite compliquées après décroché. L’homme au bout du fil parlait français avec un très fort accent qu’il n’a pas été possible de déterminer dans un premier temps. Après l’avoir fait répéter plusieurs fois, il est apparu que cette personne proposait ses services pour « optimiser la performance » de la société.

Absolument pas intéressés, nous l’avons signifié et fait en sorte de mettre fin à l’appel. L’interlocuteur s’est alors montré très insistant. Il voulait en savoir plus sur la société, sa structuration et ses clients, autant d’informations que nous ne communiquons jamais. Ayant enfin fini par raccrocher, nous avons décidé de lancer des recherches sur ce numéro. L’objectif était d’en savoir plus sur notre mystérieux interlocuteur si curieux.

 

Exploitation technique du numéro de téléphone

Les numéros de téléphone sont un élément  d’entrée à partir duquel de nombreux pivots sont possibles dans le monde du cyber-renseignement. Le numéro utilisé par l’appelant n’aura pas fait exception à la règle.

Son exploitation a en effet permis de constater qu’il était lié à un compte Aeroflot, la compagnie aérienne russe. Bien qu’aucun alias n’ait pu être associé au compte en question, il permet quand même de déterminer une première zone géographique potentielle.

Ce numéro a ensuite pu être associé à un compte Telegram ne disposant pas de photo mais néanmoins d’un alias assez spécifique. Cet alias a donc été noté pour réutilisation ou recoupement d’informations ultérieurement retrouvées.

Autre information pertinente, ce numéro a été associé à un profil Facebook. Si l’alias du profil n’a pas été retrouvé par l’outil utilisé, d’autres informations exploitables ont été extraites.

Exploitation du numéro utilisé pour l'appel téléphonique insistant

Informations obtenues à partir du profil Facebook

Il apparaît ici que deux adresses mails distinctes sont liées à ce profil Facebook. Si la première est une adresse Gmail et la seconde une Hotmail, il semble bien que ces deux adresses disposent du même alias. L’alias en question commence par la lettre w et se termine par le chiffre 7.

 

Exploitation dans le cadre d’une démarche de cyber-renseignement des éléments retrouvés

L’exploitation de l’alias du compte Telegram précédemment retrouvé a permis de retrouver un compte X (Twitter) qui l’utilisait aussi, mais en tant qu’identité. L’alias de ce compte renvoyait vers une identité d’origine asiatique, mais sans aucun espace. La personne derrière ce compte X (Twitter) y mentionne également être un ancien journaliste, basé à Paris.

Les recherches effectuées à partir cette identité asiatique ont permis d’identifier un compte Flickr l’utilisant avec l’exacte même orthographe. En plus de confirmer que cette identité existait bien, il est apparu que l’alias associé à ce compte était très spécifique. En plus de cette spécificité, cet alias semblait correspondre à celui des deux mails associés au profil Facebook précédemment retrouvé.

Les vérifications effectuées à l’aide d’un script dédié ont permis de confirmer cette hypothèse.

Exploitation d’un script dédié

Il est en effet apparu grâce à ce script que deux adresses mail reprenaient exactement cet alias. La comparaison effectuée a permis d’établir que les providers de ces adresses mails étaient bien les mêmes que ceux retrouvés pour le profil Facebook.

Un profil Facebook reprenant à la fois l’identité et l’alias retrouvés a ensuite été identifié. La consultation de ce profil a monté que de nombreuses photos d’une même personne y étaient présentes. L’exploitation des informations présentes sur ce profil a montré que la personne avait beaucoup voyagé. Le voyage le plus récent remonte au 31 août 2023,  le plus ancien au 11 septembre 2012. Les pays concernés par ces voyages sont : France, Italie, Suède, Chine, Allemagne, Hollande, Etats-Unis, Angleterre, Serbie et Espagne.

 

La recherche inversée à partir des photos, une ressource de cyber-renseignement à ne pas négliger

L’exploitation des photos présentes sur ce profil Facebook a permis de retrouver une petite annonce utilisant une de ces photos. L’annonce en question est relative à des cours de mandarin. Si la personne derrière cette annonce y indique ne plus être disponible, l’annonce est toujours en ligne et a donc pu être exploitée. La personne mentionne avoir été « journaliste et écrivain plus de 10 ans en Chine » et être maintenant « écrivain et correspondant de press (sic) en chinois ». Si l’identité et la profession correspondent aux éléments déjà retrouvés, la localisation géographique est différente. La personne derrière cette annonce n’est plus à Paris, mais à Strasbourg.

 

Conclusion

Cette démonstration de démarche de cyber renseignement à partir d’un simple numéro de téléphone a permis d’obtenir un nombre important d’informations sur l’appelant : Identité, profession passée et actuelle, adresses mail, alias utilisé, pays visités ou encore photos le mettant en scène. Et toutes ces informations ont été obtenues sans aucune interaction avec la personne à l’origine de l’appel.

Pour en savoir plus sur notre offre de cyber-renseignement, contactez-nous.

Renseignement d’origine CYBER

Identification des besoins
Collecte des informations
Traitement des informations brutes
Analyse
Diffusion / action

Surveillance web

Réseaux sociaux, clear Web et dark web
Blogs et forums du clear Web
Forums et marketplace du dark web (Tor et I2P)
Messageries
Médias en ligne
Etc…