{"id":3084,"date":"2017-06-28T13:44:36","date_gmt":"2017-06-28T11:44:36","guid":{"rendered":"https:\/\/0x90r00t.com\/?p=3084\/"},"modified":"2017-06-29T09:36:55","modified_gmt":"2017-06-29T07:36:55","slug":"ndh-2017-spying-challenge-part1-write-up","status":"publish","type":"post","link":"https:\/\/0x90r00t.com\/fr\/2017\/06\/28\/ndh-2017-spying-challenge-part1-write-up\/","title":{"rendered":"[NDH 2017] [Spying Challenge &#8211; Part1] Write Up"},"content":{"rendered":"<h2>Description<\/h2>\n<blockquote><p>Vous aimez l&rsquo;intrusion physique, le social engineering ou encore l&rsquo;OSINT ?<br \/>\nPr\u00e9parez-vous au #SpyingChallenge de la #NDHXV #CaptureTheBeer<\/p>\n<p>https:\/\/nuitduhack.com\/fr\/2017-edition\/challenges#spy<\/p><\/blockquote>\n<p><!--more--><\/p>\n<div id=\"header\">\n<h2 class=\"title\">Nuit du hack 2017 &#8211; Spying challenge Part1 &#8211; 0x90r00t<\/h2>\n<h3 class=\"date\">24 Juin 2017<\/h3>\n<\/div>\n<h1 id=\"introduction-et-avertissements\">Introduction et avertissements<\/h1>\n<p>Cet ordre de mission <strong><a href=\"https:\/\/0x90r00t.com\/wp-content\/uploads\/2017\/06\/VSA-Phase-1.pdf\" target=\"_blank\" rel=\"noopener\">357148-p1<\/a><\/strong> est class\u00e9 saucisson d\u00e9fense niveau 4. Secret de niveau B.O.C.K.<\/p>\n<p>La mission a eu lieu chez Mickey lors de la <a href=\"https:\/\/nuitduhack.com\/\" target=\"_blank\" rel=\"noopener\">Nuit Du Hack 2017<\/a>, par nos trois meilleurs saucissonneurs :<\/p>\n<ul>\n<li><em>embaucheMoi<\/em>, le roi de la castagne,<\/li>\n<li><em>Digitalisation<\/em>, le roi de la boisson,<\/li>\n<li><em>Marcel<\/em>, un mec trouv\u00e9 sur l&rsquo;autoroute.<\/li>\n<\/ul>\n<p>L&rsquo;<a href=\"https:\/\/nuitduhack.com\/en\/2017-edition\/challenges#spy\" target=\"_blank\" rel=\"noopener\">ordre de mission<\/a> stipule trois phases bien distinctes entre elles, permettant d&rsquo;\u00e9viter la vente de la recette de bi\u00e8re secr\u00e8te de la soci\u00e9t\u00e9 <em>Heisenbr\u00e4u<\/em> par deux de ses salari\u00e9s Nicolas Chimay, Loktar Karmeliet et Claude Saint-Feuillien : le PDG.<\/p>\n<ol style=\"list-style-type: decimal;\">\n<li>Renseignements et analyse des fichiers donn\u00e9s<\/li>\n<li>Extraction d&rsquo;informations<\/li>\n<li>Exploitation des syst\u00e8mes d&rsquo;information \u00e0 l&rsquo;aide des \u00e9l\u00e9ments r\u00e9colt\u00e9s<\/li>\n<\/ol>\n<p>La phase de renseignement et d&rsquo;analyse est d\u00e9crite ci-dessous.<\/p>\n<p><strong>Avertissement :<\/strong> Nous avons trait\u00e9 cette premi\u00e8re phase de mani\u00e8re purement OSINT, sans aucune connexion au syst\u00e8me cible (<em>Heisenbr\u00e4u.fr<\/em>). Les informations pr\u00e9sentent sont disponibles et publiques.<\/p>\n<h1 id=\"heisenbr\u00e4u---renseignements-et-analyse-des-fichiers-fournis\">Heisenbr\u00e4u &#8211; Renseignements et analyse des fichiers fournis<\/h1>\n<p>Afin de connaitre la cible il est important de proc\u00e9der \u00e0 une phase de renseignement.<\/p>\n<p>Cette analyse va permettre de mieux anticiper les actions \u00e0 mener pour obtenir notre r\u00e9sultat final.<\/p>\n<h2 id=\"renseignement-sur-lentreprise.\">Renseignement sur l&rsquo;entreprise.<\/h2>\n<p>Nous cherchons ici des informations g\u00e9n\u00e9rales sur l&rsquo;entreprise cible : adresse, raison sociale, fournisseurs, partenaires, organigramme. Tout ce qui pourra nous aider \u00e0 comprendre le contexte et mieux appr\u00e9hender les personnalit\u00e9s dans l&rsquo;entreprise.<\/p>\n<p>Nous avons rapidement l&rsquo;impression d&rsquo;\u00eatre manipul\u00e9 ; que ni l&rsquo;entreprise Heisenbr\u00e4u ni Very Secret Agency n&rsquo;existent.<\/p>\n<p><a href=\"https:\/\/www.theofficialboard.com\/company\/search?q=Heisenbr%C3%A4u\">https:\/\/www.theofficialboard.com\/company\/search?q=Heisenbr\u00e4u<\/a><br \/>\n<a href=\"https:\/\/www.theofficialboard.com\/company\/search?q=Very%20Secret%20Agency\">https:\/\/www.theofficialboard.com\/company\/search?q=Very Secret Agency<\/a><\/p>\n<p>Nous pensons \u00eatre manipul\u00e9s par un service \u00e9tranger, nous d\u00e9cidons de jouer le jeu.<br \/>\nNous nous concentrons sur la cible.<\/p>\n<p>M\u00eame si l&rsquo;entreprise ne semble pas avoir d&rsquo;existence l\u00e9gale, elle a une vraie pr\u00e9sence sur internet :<br \/>\n[1] <a href=\"http:\/\/viewdns.info\/dnsreport\/?domain=heisenbrau.fr\">http:\/\/viewdns.info\/dnsreport\/?domain=heisenbrau.fr<\/a><br \/>\nNous apprenons que : le site est h\u00e9berg\u00e9 par OVH<br \/>\nL&rsquo;enregistrement DNS : www.heisenbrau.fr. A 188.165.53.185<\/p>\n<p>[2] <a href=\"https:\/\/www.netcraft.com\/search\/?q=heisenbrau.fr&amp;submit=Search\">https:\/\/www.netcraft.com\/search\/?q=heisenbrau.fr&amp;submit=Search<\/a><br \/>\n[3] <a href=\"https:\/\/bases-marques.inpi.fr\/Typo3_INPI_Marques\/marques_resultats_liste.html\">https:\/\/bases-marques.inpi.fr\/Typo3_INPI_Marques\/marques_resultats_liste.html<\/a> (Page par d\u00e9faut pour recherches infructueuses)<br \/>\n[4] <a href=\"http:\/\/www.marketvisual.com\/Search\/Results?searchString=heisenbrau.fr\">http:\/\/www.marketvisual.com\/Search\/Results?searchString=heisenbrau.fr<\/a><\/p>\n<p>Les informations qui ressortent des URL 2, 3 et 4 sont que l&rsquo;entreprise n&rsquo;a peu ou pas eu d&rsquo;\u00e9changes avec les autres acteurs de son milieu \u00e9conomique. On peut ais\u00e9ment supputer que c&rsquo;est une entreprise factice.<\/p>\n<h2 id=\"renseignements-sur-les-salari\u00e9s\">Renseignements sur les salari\u00e9s<\/h2>\n<p>La premi\u00e8re \u00e9tape de notre mission est de chercher les traces des salari\u00e9s sur la toile, en sirotant une bi\u00e8re bien entendu.<br \/>\nPour cela nous allons utiliser divers outils (TheHarvester, Firefox &amp; co, les liens et ressources seront cit\u00e9s au besoin.)<\/p>\n<h3 id=\"nicolas-chimay\">Nicolas Chimay<\/h3>\n<p>Nous disposons de la description suivante :<\/p>\n<pre><code>Cible n\u00b0 1 : Nicolas Chimay. Cet individu est bien trop propre sur lui.   \r\nIl est fort probable qu\u2019il cache quelque chose. Nous avons eu vent, en plus de sa pr\u00e9sence sur l\u2019Internet, qu\u2019il d\u00e9tiendrait un compte Facebook \u00ab anonyme \u00bb lui permettant de s\u2019adonner \u00e0 ses passions.  \r\nPour vous aider dans votre recherche, nous savons qu\u2019il s\u2019est g\u00e9olocalis\u00e9 au bois de Boulogne et qu\u2019il aime la page \u00ab Les \u00c9chos \u00bb.  <\/code><\/pre>\n<h4 id=\"documents-associ\u00e9s\">Documents associ\u00e9s<\/h4>\n<p>Dans l&rsquo;un des documents donn\u00e9s par les \u00e9quipes de V.S.A on trouve une adresse mail : chimay.nicolas@gmail.com, elle ne nous m\u00e8nera nul part.<\/p>\n<p><a href=\"https:\/\/0x90r00t.com\/wp-content\/uploads\/2017\/06\/mail_loktar_nicolas_motdepasse.pdf\" target=\"_blank\" rel=\"noopener\">Ce document<\/a> associ\u00e9 par contre nous apprend le format des mots de passes de Nicolas : <em>\u00ab\u00a029 caract\u00e8res pour le trenti\u00e8me je prends un num\u00e9ro au hasard\u00a0\u00bb<\/em> . Il donne \u00e9galement un indice sur l&rsquo;origine de son format en tant que vue strat\u00e9gique d&rsquo;une partie d&rsquo;\u00e9chec en cours (photo dans le document).<\/p>\n<p>Un des SMS de Nicolas attire notre attention :<\/p>\n<pre><code>Oui mon petit lapin  \r\nTon gros poney te manque  \r\nJ'ai bien aim\u00e9 ta danse sur la table  \r\nje prendrais un private la prochaine fois avec toi  <\/code><\/pre>\n<p>Il s&rsquo;agit de sexto avec une danseuse de la nuit.<br \/>\nVisiblement <strong>Nicolas Chimay fr\u00e9quente les strip clubs<\/strong>, cela pourra \u00eatre exploit\u00e9 pour lui soutirer des informations, en discutant des meilleurs stripclubs de la capitale. Heureusement que notre \u00e9quipe ma\u00eetrise le sujet.<\/p>\n<h4 id=\"osint\">OSINT<\/h4>\n<p>Nous cherchons donc un compte Facebook avec les caract\u00e9ristiques suivantes :<\/p>\n<ul>\n<li>Il s&rsquo;est g\u00e9olocalis\u00e9 \u00e0 Boulogne<\/li>\n<li>Il aime \u00ab\u00a0Les Echos\u00a0\u00bb<\/li>\n<li>Il s&rsquo;appelle Nicolas<\/li>\n<\/ul>\n<p>Nous utilisons le \u00ab\u00a0Facebook graph searching\u00a0\u00bb, un syst\u00e8me permettant de faire des requ\u00eates crois\u00e9es directement sur l&rsquo;interface web de Facebook.<br \/>\nNous construisons une recherche personnalis\u00e9e bas\u00e9e sur ces tutoriaux :<br \/>\n&#8211; <a href=\"http:\/\/researchclinic.net\/graph.html\">http:\/\/researchclinic.net\/graph.html<\/a><br \/>\n&#8211; <a href=\"http:\/\/graph.tips\">http:\/\/graph.tips<\/a><\/p>\n<p>L&rsquo;ID de la page de \u00ab\u00a0Les Echos\u00a0\u00bb est : <strong>123440511000645<\/strong><\/p>\n<p>L&rsquo;ID de la page du Bois de Boulogne de Boulogne est : <strong>108089962546329<\/strong><\/p>\n<p>Il ne reste plus qu&rsquo;\u00e0 construire la requ\u00eate :<\/p>\n<table>\n<thead>\n<tr class=\"header\">\n<th align=\"left\">https:\/\/www.facebook.com\/search\/<\/th>\n<th align=\"left\">URL + page de recherche<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr class=\"odd\">\n<td align=\"left\">str\/Nicolas\/users-named<\/td>\n<td align=\"left\">Les utilisateurs pr\u00e9nomm\u00e9s Nicolas<\/td>\n<\/tr>\n<tr class=\"even\">\n<td align=\"left\">\/str\/108089962546329\/users-checked-in\/<\/td>\n<td align=\"left\">Qui ce sont localis\u00e9 aux Bois de Boulogne<\/td>\n<\/tr>\n<tr class=\"odd\">\n<td align=\"left\">123440511000645\/likers<\/td>\n<td align=\"left\">Qui aiment la page de \u00ab\u00a0Les Echos\u00a0\u00bb<\/td>\n<\/tr>\n<tr class=\"even\">\n<td align=\"left\">\/intersect<\/td>\n<td align=\"left\">La jointure des 3 requ\u00eates<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>URL compl\u00e8te\u00a0<\/strong>: <a href=\"https:\/\/www.facebook.com\/search\/str\/Nicolas\/users-named\/str\/108089962546329\/users-checked-in\/123440511000645\/likers\/intersect\">https:\/\/www.facebook.com\/search\/str\/Nicolas\/users-named\/str\/108089962546329\/users-checked-in\/123440511000645\/likers\/intersect<\/a><br \/>\nCette recherche est traduite par Facebook comme : People named \u00ab\u00a0Nicolas\u00a0\u00bb who checked in at Bois de Boulogne and like Les Echos<\/p>\n<p>La requ\u00eate ne nous donne qu&rsquo;une r\u00e9ponse et ce n&rsquo;est, de mani\u00e8re \u00e9vidente, pas notre cible. Deux possibilit\u00e9s restent :<\/p>\n<ul>\n<li>Le nom de compte n&rsquo;est pas \u00ab\u00a0Nicolas\u00a0\u00bb, ce qui nous laisse avec des milliers de r\u00e9sultats. Inexploitable dans le temps imparti.<\/li>\n<li>Il n&rsquo;autorise pas le r\u00e9f\u00e9rencement, ou Facebook ne le r\u00e9f\u00e9rence pas volontairement.<\/li>\n<\/ul>\n<p>Nous tentons de chercher des parents de Nicolas Chimay qui auraient eu Facebook, mais une <a href=\"https:\/\/www.filae.com\/nom-de-famille\/Chimay.html\" target=\"_blank\" rel=\"noopener\">recherche g\u00e9n\u00e9alogique<\/a> nous laisse entendre que 40 personnes sont n\u00e9es avec ce nom de famille et sont susceptibles d&rsquo;\u00eatre vivantes. Nous n&rsquo;avons pas le temps de chercher sur autant de personnes, nous passons \u00e0 la cible suivante.<\/p>\n<p><strong>Remarque\u00a0<\/strong>: Le site Filae.com nous renseigne \u00e9galement sur les tranches d&rsquo;\u00e2ge de naissances des personnes n\u00e9s par nom de famille. Pour CHIMAY il y a 30% de chances que la cible soit n\u00e9e entre 1941-1965 et 32.5% entre 1966-1990.<\/p>\n<h3 id=\"loktar-karmeliet\">Loktar Karmeliet<\/h3>\n<p>Nous disposons de la description suivante :<\/p>\n<pre><code>Cible n\u00b0 1 : Loktar Karmeliet. Repr\u00e9sentatif de la g\u00e9n\u00e9ration 1990, cet individu passe la plupart de son temps \u00e0 boire plus de bi\u00e8re qu\u2019il ne peut en produire.  \r\nIl est \u00e0 noter que cet individu suit particuli\u00e8rement les actualit\u00e9s facebook des forums o\u00f9 il est inscrit.  <\/code><\/pre>\n<h4 id=\"documents-associ\u00e9s-1\">Documents associ\u00e9s<\/h4>\n<p>L&rsquo;adresse mail la cible n\u00b02 est pr\u00e9sente dans <a href=\"https:\/\/0x90r00t.com\/wp-content\/uploads\/2017\/06\/mail_loktar_nicolas_motdepasse.pdf\" target=\"_blank\" rel=\"noopener\">ce document<\/a> associ\u00e9 : nicolas@gmail.com<\/p>\n<p>Nous apprenons que la cible n&rsquo;utilise que des mots de passes de 10 caract\u00e8res. Il envoie en indice une photo \u00e0 connotation sexuelle (pr\u00e9sente dans le document cit\u00e9 ci-dessus).<\/p>\n<p><strong>Remarque<\/strong>: Le nom de la photo est : \u00ab\u00a0likeahorse.JPG \u00ab\u00a0, gardez \u00e0 l&rsquo;esprit que len(\u00ab\u00a0likeahorse\u00a0\u00bb)==10. Il re\u00e7oit \u00e9galement une remontrance apr\u00e8s avoir chang\u00e9 son mot de passe pour 30 caract\u00e8res. Comme si il n&rsquo;avait pas respecter les principes \u00e9l\u00e9mentaires du mot de passe (hypoth\u00e8se : r\u00e9p\u00e9ter plusieurs fois son ancien mot de passe ?)<\/p>\n<p>SMS de Loktar :<\/p>\n<pre><code>Ouais mais carr\u00e9ment, elle a trop de cv ta caisse aussi  \r\ndes jantes de 24 pouces !!  \r\nputain ouais j'ai pris cher hier soir  \r\ns\u00e9rieux je lui ai gerb\u00e9 dessus  \r\nTu m\u2019\u00e9tonnes quelle ne me rappelle pas la pouffiasse  \r\nBonjour, je suis int\u00e9ress\u00e9 par vos jeux videos. me r\u00e9pondre si vous souhaitez faire affaire avec moi  <\/code><\/pre>\n<p>Visiblement Loktar est un gamer, qui aime le tunning et la picole.<br \/>\nNous pourrons l&rsquo;approcher en lui offrant une bi\u00e8re au bar de la convention, en discutant d&rsquo;automobile comme sujet d&rsquo;approche ou jeux vid\u00e9o. Heureusement que notre \u00e9quipe ma\u00eetrise le sujet.<\/p>\n<h4 id=\"osint-1\">OSINT<\/h4>\n<p>Une recherche <a href=\"http:\/\/bit.ly\/2tikefu\" target=\"_blank\" rel=\"noopener\">carrot2<\/a> nous m\u00e8ne \u00e0 un profil un peu particulier qui correspond \u00e0 la cible : <a href=\"http:\/\/www.paradisducarpiste.com\/t11550-carpiste-kiffant-le-tunning\">http:\/\/www.paradisducarpiste.com\/t11550-carpiste-kiffant-le-tunning<\/a>.<\/p>\n<div class=\"figure\">\n<p><img decoding=\"async\" src=\"https:\/\/0x90r00t.com\/wp-content\/uploads\/2017\/06\/Loktar_Forum_Carpiste.png\" alt=\"carpisteTunning\" \/><\/p>\n<p class=\"caption\">carpisteTunning<\/p>\n<\/div>\n<p>On apprend qu&rsquo;il a 38ans et habite \u00e0 Voreppe.<\/p>\n<p>L&rsquo;adresse e-mail de Loktar nous donne comme information que celui-ci est DJ pour soir\u00e9e en plus de son travail \u00e0 la brasserie, et qu&rsquo;il offre ses services d&rsquo;animateur de soir\u00e9e (mariages, anniversaires etc.)<br \/>\nCet \u00e9l\u00e9ment peut \u00eatre utilis\u00e9 pour faire du Social Engineering avec celui-ci lors d&rsquo;une rencontre physique ou num\u00e9rique (au bar, tentative de phishing, etc.).<\/p>\n<p>Celui-ci aime le rap et dispose du num\u00e9ro suivant : <strong>06958662xx<\/strong><br \/>\nNous avons pris le risque de contacter le num\u00e9ro pour confirmer la cible. Nous avons emprunt\u00e9 un t\u00e9l\u00e9phone \u00e0 une personne lambda pour le contacter.<br \/>\nAu t\u00e9l\u00e9phone il a \u00e9t\u00e9 convenu de se rappeler dans l&rsquo;apr\u00e8s-midi. Nous avons abord\u00e9 le sujet d&rsquo;une r\u00e9servation pour un mariage, afin d&rsquo;attirer la cible.<br \/>\nToutes les actions vers cette cible sont en stand-by en attendant d&rsquo;avoir un autre appel.<\/p>\n<p>Apr\u00e8s un appel \u00e0 16h30, celui-ci nous indique qu&rsquo;il est actuellement en r\u00e9union.<br \/>\nNous essaierons donc tout \u00e0 l&rsquo;heure de savoir ses disponibilit\u00e9s ainsi que s&rsquo;il conna\u00eet un brasseur, et pourquoi pas une bi\u00e8re d&rsquo;exception \u00e0 nous proposer.<\/p>\n<p><strong>Remarque :<\/strong> filae.com ne conna\u00eet aucune famille de ce nom en France. Il s&rsquo;agit peut-\u00eatre d&rsquo;un expatri\u00e9. Si nous \u00e9tions parano\u00efaques, nous pourrions penser que cela est mont\u00e9 de toute pi\u00e8ce et que tous ces profiles sont faux).<\/p>\n<h3 id=\"claude-saint-feuillien\">Claude Saint-Feuillien<\/h3>\n<p>Cette recherche diff\u00e8re des deux pr\u00e9c\u00e9dentes par la relation que semble avoir la cible avec les nouvelles technologies.<br \/>\nDescription de la cible :<\/p>\n<pre><code>Cible n\u00b0 3 : Claude Saint-Feuillien Grand Mestre de la soci\u00e9t\u00e9 Heisenbr\u00e4u, le vieux essaie tant bien que mal \u00e0 se mettre \u00e0 la page d\u2019un point de vue technologique (Minitel, toile d\u2019araign\u00e9e mondiale, Face de Book\u2026) Malheureusement, il ne sera pas pr\u00e9sent au Congr\u00e8s.  <\/code><\/pre>\n<h4 id=\"documents-associ\u00e9s-2\">Documents associ\u00e9s<\/h4>\n<p>Le SMS nous donne ses coordonn\u00e9es GPS :<\/p>\n<pre><code>48 52 10.7 N  \r\n2 47 02.5 E  <\/code><\/pre>\n<p>Apr\u00e8s analyse il s&rsquo;agit du lieu suivant :<br \/>\nDisney Village, 77700 Chessy, France<br \/>\nLatitude : 48.869639 | Longitude : 2.784028<\/p>\n<p>Cela correspond peut-\u00eatre \u00e0 un lieu de rendez-vous (pour la recette secr\u00e8te).<br \/>\nIl s&rsquo;agit d&rsquo;un lieu situ\u00e9 \u00e0 deux pas du centre de convention.<br \/>\nUne recherche \u00e0 cet endroit doit \u00eatre fait, pour trouver un indice ou surveiller une personne \/ un \u00e9change.<\/p>\n<h4 id=\"osint-2\">OSINT<\/h4>\n<p>Le nom et le pr\u00e9nom de la cible sont des indices essentiels car peu communs :<br \/>\nfilae.com nous indique qu&rsquo;aucune personne en France n&rsquo;est n\u00e9e avec ce nom de famille. On peut donc en d\u00e9duire que la cible est d&rsquo;origine francophone mais n&rsquo;est pas n\u00e9e en France.<\/p>\n<p>Une recherche avec nom pr\u00e9nom \u00ab\u00a0Face de book\u00a0\u00bb ne nous retourne qu&rsquo;un seul r\u00e9sultat :<\/p>\n<ul>\n<li><a href=\"https:\/\/www.facebook.com\/profile.php?id=100017904213722&amp;lst=1225950914%3A100017904213722%3A1498313213\">https:\/\/www.facebook.com\/profile.php?id=100017904213722&amp;lst=1225950914%3A100017904213722%3A1498313213<\/a><\/li>\n<\/ul>\n<p>Il n&rsquo;y a pas de photos personnelles, ni d&rsquo;informations sensibles sur ce profil. La description qui laisse penser que la cible ne maitrise pas les r\u00e9seaux sociaux est fausse. Pour une personne qui ne comprend pas ce qu&rsquo;elle fait, les donn\u00e9es personnelles sont bien cach\u00e9es et il n&rsquo;y a pas d&rsquo;erreurs de vie priv\u00e9e \u00ab\u00a0basiques\u00a0\u00bb<\/p>\n<p>On dirait que l&rsquo;agence <strong>VSA<\/strong> se moque de nous et a cr\u00e9\u00e9 de faux profils pour nous tester.<\/p>\n<hr \/>\n<p>Le doute s&rsquo;installe dans l&rsquo;\u00e9quipe. Devons-nous continuer cette mission ?<br \/>\nUn vote ; la curiosit\u00e9 nous pousse \u00e0 continuer.<\/p>\n<hr \/>\n<p>La description correspond au profil et on en apprend un peu plus sur ces activit\u00e9s.<\/p>\n<p>Groupes \u00ab\u00a0Face de book\u00a0\u00bb de la cible :<\/p>\n<ul>\n<li>Info Contr\u00f4le de police Is\u00e8re 38<\/li>\n<li>Le Contact des C\u00e9libataires<\/li>\n<li>Les Tutos \u00ab\u00a0P\u00eaches, Chasse, nos animaux\u00a0\u00bb<\/li>\n<li>Rencontres C\u00e9libataires<\/li>\n<li>Rencontres Senior<\/li>\n<li>Chasse et P\u00eache<\/li>\n<\/ul>\n<p>A partir de l\u00e0 on peut imaginer plusieurs mani\u00e8res de rentrer en contact avec la cible, partage des m\u00eames passions (chasse et p\u00eache).<br \/>\nOu via les <em>\u00ab\u00a0sentiments\u00a0\u00bb<\/em> en organisant des rencontres galantes<\/p>\n<h2 id=\"analyse-des-fichiers\">Analyse des fichiers<\/h2>\n<p>Les donn\u00e9es d&rsquo;entreprise permettent de mieux conna\u00eetre celle-ci. Nous allons analyser les fichiers fournis par la Very Secret Agent.<\/p>\n<h3 id=\"audio\">Audio<\/h3>\n<p>Les m\u00e9tadatas nous informent que les fichiers datent de mai ou juin.<br \/>\nIl s&rsquo;agit d&rsquo;\u00e9change entre nos protagonistes.<\/p>\n<h4 id=\"cstand42\">CStand42<\/h4>\n<p>Il s&rsquo;agit de Claude qui parle d&rsquo;une fille au stand 42, et qui visiblement aimerait lui expliquer ce qu&rsquo;est un buffer overflow dans le m\u00e9tier du X.<br \/>\nLe fichier date du 22 juin (peut-\u00eatre \u00e0 la Hack In Paris of the beer ?).<\/p>\n<h4 id=\"randc1\">RandC1<\/h4>\n<p>Claude n&rsquo;aime visiblement pas le stade Lyonnais.<br \/>\nLe football pourra \u00eatre un sujet de discussion en utilisant cette donn\u00e9e \u00e0 nos fins.<br \/>\n(Ce troll est adress\u00e9 \u00e0 Loktar)<\/p>\n<h4 id=\"randc2\">RandC2<\/h4>\n<p>Claude aime le football club \u00ab\u00a0Olympique de Marseille\u00a0\u00bb.<br \/>\nDonn\u00e9es qui peuvent \u00eatre exploit\u00e9es en social engineering.<\/p>\n<h4 id=\"randl1\">Randl1<\/h4>\n<p>R\u00e9ponse du Loktar \u00e0 Claude. Celui-ci n&rsquo;est pas Lyonnais, et visiblement l&rsquo;OL a gagn\u00e9 son match \u00e0 Bordeaux contrairement au dernier match de Marseille.<br \/>\n(Bruit d&rsquo;enfant en arri\u00e8re-plan)<\/p>\n<h4 id=\"randl2\">Randl2<\/h4>\n<p>Loktar \u00e0 un service \u00e0 demander \u00e0 Claude.<br \/>\n\u00c7a sent la magouille, \u00e0 surveiller !<\/p>\n<h4 id=\"noiselok\">NoiseLok<\/h4>\n<p>Apr\u00e8s r\u00e9duction du bruit avec Audacity celui nous informe d&rsquo;un \u00e9change suite \u00e0 une pr\u00e9sentation.<br \/>\nIl est donc possible qu&rsquo;il s&rsquo;agisse de Claude.<\/p>\n<h3 id=\"pdf---laposte.net-\u00e9change-mail\">PDF &#8211; Laposte.net (\u00e9change mail)<\/h3>\n<p>Il s&rsquo;agit d&rsquo;un \u00e9change entre Loktar et Nicolas concernant leur strat\u00e9gie de mot de passe.<\/p>\n<p>Loktar utilise des mots de passe de 10 caract\u00e8res.<br \/>\nNicolas des mots de passe de 30 caract\u00e8res, dont 29 identiques \u00e0 tous ses fichiers et le dernier caract\u00e8re al\u00e9atoire.<\/p>\n<h1 id=\"conclusion\">Conclusion<\/h1>\n<p>La premi\u00e8re phase de rep\u00e9rage est termin\u00e9e, nous disposons d&rsquo;informations substantielles sur les trois cibles. De par les informations r\u00e9colt\u00e9es nous pouvons imaginer plusieurs scenarios d&rsquo;approche pour prendre contact et essayer d&rsquo;acheter la recette secr\u00e8te.<\/p>\n<p>Nous attendons de savoir si nous avons carte blanche pour continuer nos investigations et organiser des rencontres (sous fausses identit\u00e9s) avec les cibles.<\/p>\n<p>En attendant nous buvons une pinte, car toute cette histoire nous a donn\u00e9 soif.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Description Vous aimez l&rsquo;intrusion physique, le social engineering ou encore l&rsquo;OSINT ? Pr\u00e9parez-vous au #SpyingChallenge de la #NDHXV #CaptureTheBeer https:\/\/nuitduhack.com\/fr\/2017-edition\/challenges#spy<\/p>\n","protected":false},"author":11,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[245,35,256],"tags":[251,157,258,257],"class_list":["post-3084","post","type-post","status-publish","format-standard","hentry","category-245","category-ctf-fr","category-nuit-du-hack","tag-251","tag-ndh","tag-sechallenge","tag-spyingchallenge"],"_links":{"self":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts\/3084","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/comments?post=3084"}],"version-history":[{"count":11,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts\/3084\/revisions"}],"predecessor-version":[{"id":3101,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts\/3084\/revisions\/3101"}],"wp:attachment":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/media?parent=3084"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/categories?post=3084"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/tags?post=3084"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}