Comment les chercheurs utilisent OSINT pour traquer les pirates IPTV *TorrentFreak

Les mesures de lutte contre le piratage en ligne sont souvent décrites comme un jeu de whac-a-mole, dans ce cas un jeu où les pirates reçoivent des coups de poing sur la tête puis refont surface ailleurs – une gamme de films, d’émissions de télévision, de sports en direct et de musique intacts.

Du point de vue du pirate moyen, le jeu n’a aucun sens – aucun sens en fait. Mais pour les groupes anti-piratage du monde entier, impliquer des pirates dans ce jeu ennuyeux est une forme majeure de perturbation. C’est la deuxième meilleure option étant donné les 0% de chances de tuer tout le piratage et les plus de 0% de chances de passer à un service légal.

La prolifération massive de services IPTV illégaux ces dernières années est un problème majeur pour de nombreux ayants droit. Ils peuvent en agacer certains avec le blocage des FAI, mais dans les coulisses, ils en ont également fermé quelques-uns ici et quelques-uns là-bas. La façon dont ils le font est rarement destinée au public, mais les documents mis à la disposition de TorrentFreak éclairent un peu les bases. Mais d’abord une petite introduction.

OSINT – Intelligence Open Source

Au niveau le plus bas, OSINT est accessible à tous en collectant et en traitant simplement les données trouvées avec un moteur de recherche. Cependant, dans le monde de l’OSINT, les moteurs de recherche ne représentent qu’une poignée d’outils dans une boîte à outils extrêmement vaste. Lorsque ces outils sont combinés et que les données collectées sont traitées efficacement, il est possible d’obtenir des niveaux d’information inquiétants sur toutes les cibles sauf les plus aguerries.

La capture d’écran ci-dessous ne montre que quelques-uns des outils répertoriés par OSINT Framework, mais même cette sélection vient à peine au premier plan, surtout si nous incluons les compétences associées nécessaires pour collecter puis corréler efficacement les données.

cadre osint

En ce qui concerne les enquêtes anti-piratage en ligne, les outils et techniques OSINT peuvent sembler presque adaptés à la tâche à accomplir. Toute information sur un opérateur de site (comme un nom de domaine, une adresse IP ou une adresse e-mail) peut révéler l’empreinte en ligne d’une personne. Et puisque la vie en ligne d’aujourd’hui est inextricablement liée à la vie hors ligne, il n’est pas difficile de voir où les choses pourraient se terminer.

IPTV – Exemples de recherche

En 2021, un projet financé par l’Union européenne/EUIPO a fait une présentation en Asie qui s’est concentrée sur l’enquête sur les différents acteurs de l’écosystème IPTV illégal. Le tableau ci-dessous répertorie tout, des fournisseurs de contenu, des agrégateurs et des développeurs à l’argent et aux “chevalets d’abonnement” – autrement appelés “revendeurs”.

écosystème iptv

Une partie intéressante concerne les dispositifs de serveur connus sous le nom de « transcodeurs ». Les flux vidéo sont envoyés à ces serveurs à partir de sources externes (TV en direct ou flux IP), puis transcodés/convertis en plusieurs flux pour être diffusés sur les appareils d’affichage de plusieurs utilisateurs, généralement sur une infrastructure réseau différente.

Le modèle spécifique mentionné dans les diapositives (TBS8520) peut être géré à l’aide d’un système appelé “Kylone” accessible via un navigateur Web. Ainsi, lorsque les chercheurs ont recherché « Kylone » à l’aide de « ZoomEye » (un moteur de recherche OSINT pour « l’Internet des objets »), le système a pu fournir des informations sur plus de 141 transcodeurs. (Remarque : l’utilisation de Shodan est également une option)

traquer les transcodeurs

Savoir où se trouvent ces serveurs est une information utile pour des raisons évidentes. Une adresse IP (comme le premier résultat dans le tableau ci-dessus) a le potentiel pour router vers un nom d’hôte ou même un emplacement physique avec des outils simples.

(Remarque : les sociétés d’hébergement, y compris celle de l’exemple, peuvent ne pas savoir qu’un client est impliqué dans une activité illégale et, dans tous les cas, le client en question est probablement parti depuis longtemps)

Ulango.TV : une leçon pour se faire prendre

En janvier 2020, nous avons découvert que l’Alliance pour la créativité et le divertissement avait supprimé Ulango.tv, une “solution IPTV” qui fournit des milliers de chaînes en direct via une application. Pour autant que nous sachions, ACE n’a toujours pas revendiqué la responsabilité, mais il ne fait aucun doute qu’ils l’ont supprimée ou ont été impliqués d’une manière ou d’une autre.

D’après les diapositives de la présentation UE/EUIPO, le point critique était la simplicité elle-même. Armés du nom de domaine du site (ulango.tv) et d’un service WHOIS, les chercheurs ont pu obtenir une adresse IP et les coordonnées de la société hébergeant le serveur.

Ils ont ensuite créé une carte du site ulango.tv à l’aide de cet outil, qui a produit une liste de sites externes auxquels le domaine .tv était lié. Cela comprenait un lien vers un compte Twitter et une autre pièce du puzzle.

Ensuite, ils se sont tournés vers Hunter.io, un service de recherche très puissant lié aux e-mails, ont recherché le domaine Ulango.tv et ont trouvé une adresse e-mail associée. À ce stade, ils semblent avoir utilisé un peu de négligence.

En utilisant les services Fakemail et Fake Person Generator, ils ont créé un compte sur Ulango.tv avec de fausses informations. Évidemment, il y a des raisons pour lesquelles les chercheurs ne veulent pas s’exposer à de telles situations, car cela pourrait être contre-productif.

faux ulango

Comme le montre la diapositive, l’étape suivante consistait à passer à l’achat du service premium du site pour les deux euros somptueux. Après avoir cliqué sur le bouton “Commander”, ils ont eu la possibilité de payer par carte de crédit ou virement bancaire.

Par nécessité, un numéro IBAN a été fourni avec le nom du titulaire du compte, un nom qui était également apparu plus tôt dans l’enquête. Ce n’était pas difficile, mais cela semble avoir été efficace.

Recherche IPTV avec de multiples outils

Enfin, les diapositives décrivent une autre étude, mais puisque nos vérifications indiquent que la plateforme est toujours en ligne, nous n’avons pas l’intention de la mentionner ici. Au lieu de cela, nous suivons simplement les étapes.

En utilisant le nom de domaine du site, les chercheurs ont utilisé Viewdns.info pour effectuer une recherche WHOIS afin de trouver le nom du titulaire du domaine. Armés de ce nom, ils ont effectué une recherche WHOIS inversée, qui répertorie les autres domaines enregistrés par la même personne.

Au total, ces étapes ont donné un nom, une adresse e-mail, une éventuelle adresse physique et 10 domaines supplémentaires, principalement connectés à des services IPTV illégaux.

L’étape suivante consistait à charger le domaine racine et à afficher la ressource à l’aide d’un navigateur standard. En recherchant dans ce code source le terme “UA-“, ils ont pu trouver l’identifiant Google Analytics du site. L’exécution d’une recherche Google Analytics inversée a révélé d’autres sites avec le même identifiant et connectés au premier site.

Il s’agissait alors d’essayer de payer un abonnement sur le premier site et de voir le paiement être traité par un autre. Ce site était (et est toujours) présenté comme une société légitime et, en tant que tel, est constitué en société à responsabilité limitée au Royaume-Uni.

Toutes les sociétés à responsabilité limitée au Royaume-Uni ont une liste à Companies House (une autre excellente ressource OSINT) et une recherche y a donné le nom du directeur (un ressortissant étranger), sa date de naissance et son adresse à Londres. Ce dernier est un bureau virtuel bien connu et le domicile de nombreuses personnes qui préfèrent ne pas donner leur véritable adresse.

À ce stade, les diapositives ne révèlent rien de plus, il est donc difficile de savoir si l’enquête s’est terminée là ou est toujours en cours. Les sites en question semblent être opérationnels, donc à des fins éducatives et de divertissement uniquement, nous verrons si l’affaire peut être fissurée en utilisant les incroyables capacités de Maltego et Spiderfoot.

Ces outils permettent aux utilisateurs d’automatiser leurs requêtes et recherches OSINT, mais une description aussi courte leur rend un très mauvais service. Ils ont tous les deux une option gratuite, il n’y a donc aucune excuse pour ne pas les essayer, de préférence dans une machine virtuelle et certainement derrière un VPN, surtout dans le cas de ce dernier.

Leave a Reply

Your email address will not be published. Required fields are marked *