Des hackers à la recherche de personnes disparues

Le samedi 26 juin, des internautes se sont donné rendez-vous pour une compétition virtuelle. Le but, fouiller le Web pour marquer des points en trouvant des indices permettant de retrouver des personnes disparues.

Organisé par l’organisme Tracelabs, ce CTF (« Capture the Flag ») était l’occasion de mettre en pratique des techniques d’OSINT pour une bonne cause. OSINT, c’est l’acronyme pour « Open Source Intelligence », un terme qui décrit la recherche et l’analyse de données publiques, disponibles sur Internet : statuts Facebook, tweets, commentaires, articles de blogues, etc.

Dans cette compétition, chaque information pertinente dénichée est un « drapeau ». Celui-ci rapporte des points selon la catégorie auquel il appartient. Au plus bas, il y a les informations sur les amis de l’individu disparu et au sommet, il y a le lieu où la personne se trouve actuellement.

Robert Sell, cofondateur de Tracelabs, est un vétéran des opérations de recherche et de sauvetage. Pendant la présentation d’ouverture, il nous explique qu’il s’est souvent passé la réflexion suivante : « si je ne cherche pas cette personne, qui le fait ? »

Selon Sell, les autorités n’ont souvent pas le temps de consacrer les heures nécessaires à fouiller le Web. « Il y a trop de données à traiter et l’OSINT prend du temps », ajoute-t-il. Les bases de données ne sont pas toujours mises à jour et il peut être difficile de faire des liens entre toutes les données amassées. De ce constat est venue l’idée d’utiliser le « crowdsourcing » en créant des liens entre la communauté des « hackers » et les forces policières.

Depuis 2018, l’organisme torontois a organisé plus de 37 CTFs, soit de manière virtuelle ou durant des conférences de cybersécurité un peu partout dans le monde.

Tracelabs s’implique dans des situations où les autorités ont demandé l’aide du public. La règle d’or est que toute la recherche doit être « passive ». Il est formellement interdit d’entrer en contact ou d’interagir avec l’individu, sa famille ou ses amis. Il ne faut pas envoyer de demandes d’amitiés ou cliquer « j’aime » sur des statuts. Il ne faut surtout pas essayer de réinitialiser des mots de passe ou pirater des comptes.

Pour souligner le fait que cet événement n’est pas une simulation, Robert Sell rappelle aux participant.e.s qu’ils et elles contribuent « à ce que des familles puissent retrouver leurs êtres chers ».

J’avais la chance d’être accompagné de trois braves personnes de la communauté du Hackfest, un événement annuel de cybersécurité. Sébastien, prof au département de l’informatique au Cégep de l’Outaouais, Virginie, analyste et animatrice du balado sur la cybersécurité « Incidences » ainsi que Vincent, étudiant à l’ÉTS (École de technologie supérieure).

Avant la compétition, j’avais créé mes « sock puppets », des comptes sur les médias sociaux qui ne sont pas associés à mon nom. Ce n’est pas toujours facile, car les plateformes multiplient les méthodes pour tenter de les déceler. Sur un épisode de son balado où elle revient sur la compétition, Virginie Arsenault-Jacques avoue qu’elle s’est « fait bloquer en partant [son] compte Twitter ». Elle explique qu’elle « [allait] nourrir [son] compte [Facebook] à chaque jour. Il [l’homme créé spécialement pour ce compte] jouait à des jeux. Il était un fan fini de Megan Fox. » Pour ma part, le matin de la compétition, j’avais deux demandes d’amitiés Facebook venant de comptes louches, signe que la plateforme n’avait pas découvert qu’il s’agissait en réalité d’un sock puppets. J’ai pris ça pour un bon signe.

Ces comptes sont utiles, car il n’est pas avisé d’utiliser son compte personnel pour faire ce genre de recherches. Premièrement pour protéger son identité et deuxièmement, pour ne pas influencer les algorithmes par nos actions passées sur les réseaux sociaux.

Le coup d’envoi est donné avec quatre noms. Pour chaque individu, les organisateurs fournissent un lien vers l’avis de recherche et quelques informations de base.

Il y avait un québécois de 39 ans, disparu depuis le mois de janvier. Une mineure de 16 ans de la ville de Pittsburgh, disparue huit jours auparavant. Un jeune Américain, disparu en chemin vers l’Université du Colorado.

J’ai débuté avec le cas d’une jeune femme du Royaume-Uni. Elle avait 19 ans au moment de sa disparition, deux ans auparavant. Une histoire d’une tristesse infinie. Elle avait quitté la maison pour se rendre au travail. Elle n’y est jamais arrivée. Son frère, dévasté par la disparition de sa sœur, s’est suicidé quelques mois plus tard.

Les six heures ont passé vite. Notre objectif de ne pas finir dernier a été atteint. Notre équipe a trouvé des « drapeaux », mais, malheureusement, aucune information sur la localisation récente de nos sujets. Nous étions tous d’accord que l’exercice avait été difficile et que nous avions des croûtes à manger avant la prochaine édition.

Comme l’a si bien résumé Sébastien, « quand District 31 va recommencer, je vais regarder Da-Xia d’un autre œil ! ».

Afin de respecter la vie privée des familles impliquées, Tracelabs demande aux participants et participantes de ne pas dévoiler les informations trouvées durant la compétition. Une fois l’événement terminé, les bénévoles de l’organisme compilent ces données et les envoient aux autorités concernées. Les équipes participantes ne reçoivent pas de suivi sur ce qui advient par la suite. Car, comme l’explique Tom Hocker, membre de l’organisme, « dans notre modèle, l’information circule à sens unique ».

Pour cette édition, 5042 « drapeaux » ont été acceptés. Sur ceux-ci, 90 donnaient des informations reliées à la dernière journée où la personne a été vue.

Même si personne n’a trouvé le lieu où l’une de ces personnes se trouve, il reste à espérer que certaines informations dénichées puissent jeter un éclairage nouveau et aider à réunir ces individus avec leurs familles.