Avec les hackers qui s'amusent à retrouver des personnes disparues

« 100 points pour l'adresse mail » lance l'un des juges de la compétition dans Slack. « 3x200 points pour ces photos. Au total, 600 » continue-t-il.

Une poignée de participants à la conférence de sécurité annuelle de la DEF CON sont en train de prendre part à une partie de capture du drapeau (CTF) un peu particulière. Organisée par une association à but non lucratif, TraceLabs, elle demande de dénicher des informations publiques (OSINT) mais potentiellement obscures sur des cibles précises. Cependant, contrairement à la plupart des CTF, cette partie n'a rien d'un jeu.

Ici, les cibles sont des personnes disparues. Parce qu'elles sont authentiques, les informations que les hackers collectent aideront peut-être à retrouver ces disparus. Interrogé par Motherboard pendant la DEF CON, le fondateur de TraceLabs, Robert Sell, a affirmé qu'un événement organisé à Toronto en juillet dernier avait déjà permis de retrouver la trace de deux individus.

Contacté par téléphone à une date ultérieure, Sell assure : « Beaucoup de professionnels de la sécurité de l’information aiment vraiment ce genre d'aventure. » Il s'est lui-même adonné bénévolement à la recherche et au secours de personnes disparues, un style d’enquête plus traditionnel, pendant près de dix ans. La journée, il travaille dans l’informatique, où il est parfois confronté à de l’OSINT. « Je voulais vraiment combler le fossé et amener l’OSINT vers la recherche et les secours », explique-t-il.

Vendredi 10 août, aux alentours de 9h, Sell et son équipe d'arbitres ont lancé une nouvelle partie de CTF en ouvrant plusieurs salons TraceLabs sur Slack. Là, ils ont dévoilé l'identité des cibles aux participants. Motherboard a rejoint ces salons pendant le DEF CON : la première concernait une mère disparue avec son enfant, la seconde une quadragénaire du Nord de Las Vegas et la troisième un homme de Toronto.

Les participants ont vite trouvé et partagé des adresses postales, des adresses IP, des profils sur les réseaux sociaux, des pseudos, des membres de la famille, des endroits souvent fréquentés par les disparus et d’autres informations susceptibles d'aider les enquêteurs.

« C’était complètement transparent. On voulait que les équipes apprennent des autres, mais aussi éviter les drapeaux redondants » explique Flag en référence aux « drapeaux » d'autres compétitions de CTF, comme un code à cracker ou une cible informatique à compromettre. Chaque bribe d’information pertinente et vérifiable rapportait un certain nombre de points au participant responsable de sa découverte.

Le CTF obéit à des règles précises : toutes les informations utilisées doivent être disponibles publiquement. Ceux qui contactent les amis et la famille de la cible ou la cible elle-même sont disqualifiés. Pas question d'ajouter une cible sur Facebook ou de commenter la moindre de ses activités sur les médias sociaux. Les hackers ont également interdiction d'utiliser un mot de passe pour s'introduire sur un compte numérique, et ce même si les identifiants de connexion sont publics.

« Comme nous ne sommes pas la police, nous n'établissons pas de contact. On ne parle à personne, on ne téléphone pas à l’hôtel, on ne leur demande pas d'images de vidéosurveillance, rien » égraine Sell. « On cherche uniquement des informations publiques. »

En dépit du fait que l'événement était lié à la DEF CON, les participants n'étaient pas tenus d'assister à la conférence. N’importe qui pouvait prendre part à la recherche, même à distance.

Sell rapporte que les hackers n’ont pas réussi à trouver de cible cette fois-là. Le défi était trop difficile à relever pour le faible nombre de participants. Cependant, lors d’un événement qui s’est tenu à Toronto en juillet dernier, les participants ont retrouvé deux personnes disparues, une prostituée et un homme qui avait tout quitté sans informer ses proches.

Après avoir parlé à la police, Sell s’est rendu compte qu’ils n’avaient pas souvent recours à l’OSINT. Les autorités n’ont pas forcément les ressources, l’entraînement et la capacité nécessaires pour mener à bien ce genre d’enquête publique — d'où l'intérêt du crowdsourcing. À la fin, la police de Toronto s'est rendue à l’événement pour recueillir les informations rassemblées par le groupe de hackers.

« La police de Toronto est très ouverte aux nouvelles technologies et méthodes » rapporte Sell, en ajoutant qu’il avait également parlé du projet à la Gendarmerie Royale du Canada (GRC). À l'avenir, il espère mieux encadrer le procédé, notamment en édictant clairement ce qui rentre ou non dans le cadre des enquêtes OSINT.

Donner à l’exercice la forme d’un jeu de CTF à la DEF CON était plutôt un essai, explique Sell. Ce qui ne l'empêchera sans doute pas de se reproduire bientôt dans d'autres conférences. D'ailleurs, certaines personnes ont continué l'exercice après la clôture de l’événement par TraceLabs.

Le samedi 11 août à minuit, Sell et son équipe ont dit aux participants qu’ils pouvaient arrêter et que les points allaient être comptés. « Personne n’a arrêté. Je ne savais pas trop quoi faire », se souvient-il. Les hackers n’avaient pas vraiment l’air de se soucier des récompenses. « Ils travaillent toujours sur les dossiers », indique Sell.