Geogramint – Un outil OSINT de géolocalisation pour Telegram
Geogramint est un outil OSINT utilisant l’API de Telegram pour localiser des utilisateurs et des groupes à proximité d’un point donné, développé par Alb310 du Projet FOX. Inspiré de l’outil OSINT Telegram Nearby Map de Tejado, qui n’est plus maintenu, il vise à fournir une alternative plus « user-friendly ».
Geogramint retrouve l’emplacement approximatif des utilisateurs et des groupes Telegram autours des coordonnées enregistrées, à des distances allant de 500m, 1km, 2km et plus.
Fonctionnement de l'outil
Telegram Nearby Map, inspiration de Geogramint, était un outil OSINT basé sur NodeJS et développé par Tejado. L’outil utilisait l’API Telegram pour extraire les position des utilisateurs à proximité et les rapporter sur une interface OpenStreetMap. Le tool permettait aux enquêteurs numériques de localiser les utilisateurs à une distance spécifiée d’un point donné. Une fois lancé, l’outil réitérait une recherche toutes les 25 secondes et rapportait sur la carte les utilisateurs nouveaux et préexistants, tout en fournissant la distance exacte des cibles par rapport à la position d’origine pour les trianguler. Telegram ayant toutefois mis à jour son API pour diminuer la précision de sa fonction « Nearby », Telegram Nearby Map est devenu obsolète et n’a pas été maintenu par son auteur.
Geogramint, un outil OSINT basé sur du Python, vient apporter une alternative plus « user-friendly ». L’outil utilise également l’API de Telegram afin d’extraire la position approximative d’utilisateurs et de groupes présents autour d’un point donné dans des périmètres de 500m, 1km, 2km et plus. L’outil permet de saisir des coordonnées via l’interface OpenStreetMap, effectue un appel API via Telethon sur cette base, et obtient en retour l’ensemble des utilisateurs et des groupes à proximité dont la fonction « Nearby » a été activée. Le tool télécharge ensuite leurs photos de profil, si elles sont disponibles, et affiche les résultats.
Il est important de mentionner que, comme pour Telegram Nearby Map, Geogramint ne peut détecter que les utilisateurs de Telegram qui ont activé la fonction « Nearby » dans leur application Telegram – par défaut, cette fonction est désactivée. L‘outil ne triangule pas automatiquement la position des utilisateurs et des groupes détectés comme le faisait Telegram Nearby Map.
Geogramint peut être utilisé pour des enquêtes OSINT appliquées à des zones de conflit, des zones dangereuses, des endroits éloignés ou des installations sensibles. Il faut noter que selon Telegram, plus de 700 millions d’utilisateurs sont actifs mensuellement, ouvrant un vaste de champ de possibilités à travers le monde.
Geogramint est téléchargeable ici !
En guise d’illustration, nous vous proposons d’utiliser Geogramint au travers de trois cas concrets sur des zones d’intérêt stratégiques en Ukraine, au Venezuela et en Iran. Nous insisterons sur l’exploitation des résultats obtenus en combinaison avec des méthodes classiques d’OSINT.
Base Russe à Chaplynka, Ukraine
Le 3 juillet 2022, Benjamin Pittet, également connu sous le nom de Coupsure, remarque sur des images satellites qu’un aérodrome de la ville de Chaplynka en Ukraine est encore utilisé comme base militaire par les Russes.
UPDATE: This large Russian base in Chaplynka (80km from Kherson) is still in use.
— Benjamin Pittet (@COUPSURE) July 3, 2022
(46.3465196, 33.5412588) pic.twitter.com/9XHRrSbOH4
Cet aérodrome est utilisé en tant que base militaire depuis le début de l’invasion russe, comme le montrent les images satellites de Maxar de mars 2022.
Satellite imagery from @Maxar shows Russian forces have established a camp in Ukraine at Chaplynka airfield, Kherson Oblast. Helicopters and vehicles have been deployed to the camp and entrenchments have been dug.
— Centre for Information Resilience (@Cen4infoRes) March 30, 2022
[Location: 46.3456885, 33.5413067] pic.twitter.com/MC6i6V21tq
De plus, Tim Ehrhart, ArtisanalAPT, a confirmé que cette base est toujours utilisée par l’armée russe en exploitant des images satellites de meilleure précision.
You're right. It's still in use. As of June 12th, there's no evidence of damage. Compared to April imagery: 9x still helicopters visible (orange circles, same), similar number of vehicles, sub-camp in west of base with approximately 24 tents is gone (red marked area). pic.twitter.com/e8gnthNbP7
— Tim Ehrhart (@ArtisanalAPT) July 3, 2022
Il s’agit donc assurément d’un lieu où Geogramint peut se révéler déterminant pour confirmer l’hypothèse d’une présence russe en temps réel et trouver plus d’informations. Nous commençons nos recherches le 29 juillet 2022 :
Parmi tous les utilisateurs et groupes détectés dans la zone, certains se trouvent dans le périmètre de la base russe. Nous pouvons confirmer que, selon Telegram, ces utilisateurs s’y trouvent :
Ces utilisateurs ont été détectés dans un rayon de 500m autour des coordonnées : 46.34488434614635, 33.54157111211887
Nous allons nous concentrer sur l’un des utilisateurs qui a un pseudo :
Nous allons le nommer Alek pour préserver son identité. Nous commençons par exploiter son profil Telegram. Nous remarquons immédiatement qu’il était récemment connecté et qu’il a quatre photos de profil, ce qui peut nous aider à mieux identifier ses autres réseaux sociaux.
En approfondissant les recherches, nous trouvons son compte Instagram sous le même pseudonyme que son compte Telegram. De même, sur son compte Instagram, nous trouvons son nom et son prénom – identiques à ceux mis sur Telegram.
Alek est probablement un fan de football, il a posté de nombreuses photos et vidéos avec son ballon depuis la création de son compte. On note également que sa dernière publication date du 2 janvier 2022, avant l’invasion russe de l’Ukraine. On retrouve aussi sur son compte Instagram l’une de ses photos de profil Telegram.
L’une des vidéos postées sur son compte peut être géolocalisée grâce aux méthodes classiques de GEOINT.
Avec l’aide de Google Lens, l’outil de reconnaissance d’images de Google, nous obtenons ce lien parmi les résultats. On apprend donc qu’il s’agit probablement du « Стадион им. Гагарина », c’est-à-dire le « Stade im. Gagarine ». En visitant le lien, on obtient les coordonnées du stade.
De plus, les images sur la page google map du stade confirment qu’il s’agit bien de ce stade.
La vidéo a été géolocalisée à Snezhinsk, Oblast de Chelyabinsk, Russie : 56.09356599253964, 60.73532333115896
En plus des vidéos en russe sur son compte Instagram, nous pouvons dire avec plus de certitude qu’Alek n’est pas ukrainien mais russe. Il est donc très probable, au vu des différents autres rapports sur la base russe de Chaplynka, qu’Alek soit un soldat qui participe à l’invasion russe et qu’il est actuellement, au moment où nous écrivons ces lignes, stationné sur la base de Chaplynka en Ukraine.
Nous pourrions assurément exploiter davantage les autres résultats donnés par Geogramint dans ce cas pratique, mais pour cet article, nous nous arrêterons là.
Fuerte Tiuna, Venezuela
Fuerte Tiuna est le nom donné à l’une des installations militaires les plus connues de la ville de Caracas et du pays d’Amérique du Sud qu’est le Venezuela.
On y trouve d’importantes institutions de différents types, comme le siège du ministère du pouvoir populaire pour la défense, l’EFOFAC, le commandement général de l’armée, le champ de tir El Libertador, le centre d’alimentation de l’armée, le cercle militaire de Caracas, le Paseo Los Próceres, le bataillon Bolívar, la résidence La Viñeta, résidence officielle du vice-président, et certaines unités de l’Académie militaire vénézuélienne.
Elle abrite non seulement des structures militaires mais aussi des espaces sportifs, urbains, culturels, financiers, met en évidence le Tiuna City Complex, un ensemble de milliers de logements construits sous les auspices du Ministère de l’Habitat et du Logement, et des Résidences Carlos Raúl Villanueva affectés au personnel militaire.
Il s’agit donc du genre d’installation militaire sensible où Geogramint peut se révéler intéressant. Nous commençons nos recherches le 18 juillet 2022 :
Parmi tous les utilisateurs détectés dans la zone, nous pouvons visuellement confirmer que de nombreux sont des militaires vénézuéliens grâce à leur photo de profil. En voici quelques uns :
Nous allons nous concentrer sur deux d’entre eux afin d’approffondir les recherches :
Nous allons nommer le premier Rama et le deuxième Hugo pour préserver leurs identités.
Commençons par Rama. On remarque sur sa photo de profil qu’il porte un uniforme d’officier et non un treillis comme la majorité des utilisateurs dans la zone.
Grâce à Geogramint, nous avons son nom complet. Commençons par identifier son grade et la branche de l’armée vénézuélienne à laquelle il appartient.
En comparant les insignes sur ses épaules avec ceux de la page wikipedia des grades militaires vénézuéliens, on remarque qu’il est un « Sargento mayor de tercera de la Aviación Militar Bolivariana », sergent-major de troisième classe de l’aviation militaire bolivarienne du Venezuela.
On sait maintenant que Rama est un sergent-major de troisième classe et qu’il est dans l’armée de l’air vénézuélienne.
Essayons de trouver l’un de ses réseaux sociaux. Nous commençons par une simple recherche google avec son nom et son prénom. Nous trouvons rapidement un compte Facebook avec le même nom, un militaire en photo de profil mais un diminutif de Rama comme prénom.
Nous voyons rapidement qu’il s’agit de la bonne personne mais les photos sont plus anciennes. Sur sa photo de profil Facebook, il porte un treillis. On peut voir le même grade sur son col que celui sur son uniforme.
Sur son profil, on retrouve plusieurs photos de lui, dont certaines lorsqu’il était encore sergent-major de deuxième classe.
Nous pourrions creuser encore davantage, mais nous allons passer au second utilisateur, Hugo.
Contrairement au premier utilisateur, Hugo est en treillis sur sa photo de profil. Grâce à Geogramint, nous avons son nom complet.
Essayons de trouver l’un de ses réseaux sociaux. Comme précédemment, nous commençons par une simple recherche google avec son nom et son prénom. Nous sommes tombés sur son compte Facebook, sur lequel il a posté de nombreuses photos de lui en treillis, en entrainement de combat et même en opération.
On trouve également la photo qu’il a affiché comme photo de profil Telegram.
Parmi les nombreuses photos, nous en trouvons une avec un uniforme. Nous pouvons donc aussi essayer d’identifier son grade et sa branche de l’armée vénézuélienne.
En comparant les insignes sur les épaules avec ceux de la page wikipedia comme précédemment, on remarque qu’il est un « Teniente del Ejército Nacional de la República Bolivariana de Venezuela », lieutenant dans l’armée nationale de la République bolivarienne du Venezuela.
On sait maintenant que Hugo est un lieutenant et qu’il est dans l’armée de terre vénézuélienne.
Nous pourrions assurément exploiter davantage les autres résultats donnés par Geogramint dans ce cas pratique, mais nous nous arrêterons là.
Le programme nucléaire iranien
Le programme nucléaire iranien est un effort scientifique continu de l’Iran visant à maîtriser la technologie nucléaire au point de pouvoir l’intégrer à son armement. L’Iran possède plusieurs sites de recherche, deux mines d’uranium, un réacteur de recherche et des installations de traitement de l’uranium, dont trois usines d’enrichissement connues.
Le programme nucléaire iranien provoque une inquiétude croissante. L’Agence internationale de l’énergie atomique craint que les dernières mesures prises par l’Iran portent un « coup fatal » au traité JCPoA prévoyant la réintégration internationale de l’Iran en échange d’un gel vérifiable de son programme nucléaire.
Les installations du programme nucléaire iranien sont le genre d’endroits où Geogramint peut être intéressant, étant donné qu’elles sont la source de tensions croissantes au Moyen-Orient.
Dans cette section, nous allons initier des recherches sur trois installations sensibles.
La mine d'uranium de Saghand
Saghand est la première mine d’uranium d’Iran devenue opérationnelle en mars 2005. On estime que le gisement contient 3.000 à 5.000 tonnes d’oxyde d’uranium à une densité d’environ 500 ppm sur une superficie de 100 à 150 kilomètres carrés.
Nous commençons nos recherches le 27 juillet 2022 :
Nous trouvons quatre utilisateurs dans la zone, dans un rayon de 500m autour de notre point :
Grâce à Geogramint, nous avons le pseudonyme de trois d’entre eux ainsi qu’un nom complet.
Nos recherches n’auront pas été concluantes hormis pour le quatrième utilisateur, dans la biographie duquel nous retrouvons un lien vers une chaîne Telegram.
Il s’agit d’une chaîne Telegram persane de 9.800 abonnées ne publiant que des images autour du thème des « photos de profil ».
Additionnellement à cela, nous retrouvons sur la photo de profil de notre cible l’inscription d’un pseudonyme. Il ne s’agit cette fois pas d’un compte Telegram mais d’un compte Instagram, probablement le sien.
Nous tombons ainsi sur un compte Instagram avec plus de 68.500 followers qui ne poste que des images autour du thème du romantisme.
Les informations trouvées ici ne nous seront probablement pas plus utiles. Nous changeons donc d’installation.
Installation nucléaire de Natanz
Natanz est une usine d’enrichissement de combustibles couvrant une surface de 100.000 mètres carrés, construite à 8 mètres sous terre et protégée par un mur de béton de 2,5 mètres d’épaisseur, lui-même protégé par un autre mur de béton. Elle est située près de Natanz, la capitale du comté de Natanz, dans la province d’Ispahan, en Iran. En 2004, le toit a été endurci avec du béton armé et recouvert de 22 mètres de terre. Le complexe se compose de deux salles de 25.000 mètres carrés et d’un certain nombre de bâtiments administratifs. Ce site autrefois secret a été l’un des deux sites exposés par Alireza Jafarzadeh en août 2002.
Selon l’AIEA, en 2009, environ 7.000 centrifugeuses étaient installées à Natanz, dont 5.000 y produisaient de l’uranium faiblement enrichi.
Nous commençons nos recherches le 27 juillet 2022 :
Nous ne trouvons qu’un utilisateur dans le périmètre de l’installation, sans photo de profil ni pseudonyme. Nous ne pouvons donc pas creuser plus loin.
Il y a moins d’accès aux réseaux 2G, 3G ou 4G sur ces coordonnées, il est donc logique que nous n’y trouvions pas d’utilisateurs d’autant plus que, comme dit précédemment, l’installation est principalement souterraine.
Nous procédons donc à l’analyse de la dernière installation.
La centrale nucléaire de Bushehr
La centrale nucléaire de Bushehr est située à 17 kilomètres au sud-est de la ville de Bushehr, sur le golfe Persique. Sa construction a débuté en 1975, mais a été interrompue en juillet 1979 du fait de la révolution iranienne. Le réacteur a également été endommagé par des frappes aériennes irakiennes pendant la guerre Iran-Irak au milieu des années 1980. La construction n’a repris qu’en 1995, lorsque l’Iran a signé un contrat avec la société russe Atomstroyexport pour installer dans le bâtiment existant de Bushehr I un réacteur à eau pressurisée VVER-1000 de 915 MWe. En décembre 2007, la Russie a commencé à livrer du combustible nucléaire à la centrale nucléaire de Bushehr. La construction a finalement été achevée en mars 2009.
Le 23 septembre 2013, le contrôle opérationnel de Bushehr a été transféré par la Russie à l’Iran. En novembre 2014, les deux pays ont signé un accord pour construire deux nouveaux réacteurs nucléaires sur ce site, avec une option pour six autres ultérieurement à des locations différentes. La construction de ces deux premiers réacteurs a officiellement commencé le 14 mars 2017.
Nous commençons nos recherches le 28 juillet 2022 :
La zone de recherche étant large, nous lançons plusieurs recherches à réaliser sur différentes coordonnées.
Voici les utilisateurs dont nous sommes sûrs de la présence dans le périmètre centrale nucléaire :
Les recherches n’ont pas été concluantes pour la majorité des utilisateurs, à défaut du premier :
Nous le nommerons Ali pour préserver son identité. Grâce à Geogramint, nous avons son pseudonyme et sa photo de profil. Sur sa photo de profil, nous trouvons également son pseudonyme avec une voiture en arrière-plan.
Nous commençons par essayer de retrouver ses réseaux sociaux. Nous tombons rapidement sur son compte Instagram qui porte le même pseudo et fait mention dans sa biographie de la ville de Bushehr, localité qui abrite la centrale nucléaire.
Nous remarquons qu’Ali propose des services de tatouage et qu’il est passionné de voitures et de motos.
Sur l’un de ses posts, Ali a indiqué son numéro de téléphone où il propose à ses clients de le contacter via WhatsApp.
Sur WhatsApp, nous retrouvons liée à ce numéro de téléphone une photo de profil où plusieurs hommes posent devant une mosquée. Nous ne savons pas encore à quoi ressemble Ali, nous ne pouvons donc pas l’identifier sur la photo.
En creusant plus profondément sur son profil Instagram, son premier post fait mention d’un autre compte lui appartenant : « Old anchor tattoo main page @#######« .
Nous en déduisons que le compte que nous avions découvert était en fait son deuxième compte dédié aux tatouages.
Une fois arrivés sur son compte principal, nous commençons à y trouver beaucoup plus d’informations intéressantes.
Nous trouvons une photo prise au même endroit que sa photo de profil WhatsApp, mais cette fois avec plus de personnes. De même, nous retrouvons sa photo de profil Telegram.
Plus intéressant : plusieurs photos présentent Ali en treillis militaire et une vidéo de lui l’affiche même avec une arme.
L’uniforme que porte Ali est similaire à celui du Corps des Gardiens de la Révolution Islamique, l’IRGC. Nous avons donc initialement supposé qu’il pouvait s’agir de l’un de leurs miliciens chargés de protéger la centrale nucléaire de Bushehr.
En cherchant plus sur son compte principal, nous retrouvons toutefois un plus gros plan d’Ali et de son uniforme :
En inversant horizontalement le sens de l’image pour pouvoir lire le blason présent sur son épaule, nous apprenons finalement qu’il est membre d’une force de police, manifestement affectée à la sécurisation de l’installation nucléaire de Bushehr.
Par des recherches supplémentaires, nous obtenons confirmation que l’uniforme identifié sur ses photos était bien celui de la police iranienne, bien qu’il soit quasi identique à celui des pasdarans.
Nous pouvons donc arriver à la conclusion qu’Ali est manifestement engagé dans les forces de sécurité iraniennes, très probablement dans une section affectée à la sécurisation de l’installation nucléaire de Bushehr. En plus de son travail, il est également tatoueur et a une passion prononcée pour l’automobile et les motos. En outre, nous disposons aussi désormais de son alias, de son numéro de téléphone, de photos de lui, de son nom et de son prénom complets ainsi que de son poste à la centrale nucléaire de Bushehr.
Nous pourrions assurément exploiter davantage toutes les donnés désormais à notre disposition, mais tout cela suffit amplement à démontrer le potentiel lié à l’utilisation de Geogramint dans les zones d’intérêt stratégique et à l’étendue des informations rendues accessibles par cet outil.
J’espère que vous avez apprécié ces démonstrations de Geogramint. J’ai développé cet outil lorsque Telegram Nearby Map a cessé de fonctionner correctement, pour qu’il soit utilisable par tous types d’enquêteurs OSINT dans leurs recherches et qu’il leur permette d’accéder à des informations en temps réels, normalement bien moins accessibles par le biais des méthodes traditionnelles.
Je remercie Gryzz et Spidacr, mes coéquipiers du Projet Fox, pour leur aide dans la rédaction de cet article.
par Alb310