{"id":303402,"date":"2021-02-02T09:53:53","date_gmt":"2021-02-02T14:53:53","guid":{"rendered":"https:\/\/gijn.org\/?p=303402"},"modified":"2025-07-15T08:16:11","modified_gmt":"2025-07-15T12:16:11","slug":"decouvrir-les-liens-entre-differents-sites-webs-avec-spyonweb-virustotal-et-spiderfoot-hx","status":"publish","type":"post","link":"https:\/\/gijn.org\/fr\/histoires\/decouvrir-les-liens-entre-differents-sites-webs-avec-spyonweb-virustotal-et-spiderfoot-hx\/","title":{"rendered":"D\u00e9couvrir les liens entre diff\u00e9rents sites webs avec SpyOnWeb, VirusTotal et SpiderFoot HX"},"content":{"rendered":"

Bienvenue dans <\/span>la Bo\u00eete \u00e0 outils de GIJN<\/span><\/a>, une s\u00e9rie d\u2019articles dans laquelle nous recensons pour vous des outils et techniques pouvant \u00eatre utiles pour enqu\u00eater. Dans cet article, nous vous proposons de d\u00e9couvrir <\/span>SpyOnWeb<\/span><\/a>, <\/span>DNSlytics<\/span><\/a>, <\/span>VirusTotal<\/span><\/a> et <\/span>SpiderFoot HX<\/span><\/a>, qui peuvent vous aider \u00e0 cartographier et analyser les liens entre des sites web, tout en pr\u00e9servant votre anonymat.<\/span><\/p>\n

A la recherche de connexions masqu\u00e9es entre les sites<\/b><\/h4>\n

Montrons d\u2019abord comment utiliser les tags sur Google Analytics – int\u00e9gr\u00e9es dans le code source des sites web – pour identifier les liens entre diff\u00e9rents sites. Cartographier un r\u00e9seau de cette mani\u00e8re peut aider les journalistes \u00e0 mettre au jour des connexions auparavant invisibles entre des organisations qui pouvaient sembler parfaitement distinctes.\u00a0<\/span><\/p>\n

Pour d\u00e9couvrir comment proc\u00e9der, prenons comme exemple le site internet de GIJN. Inspectons le code source de l\u2019une des pages de notre site pour voir si elle contient un tag Google Analytics. On commence par mettre l\u2019URL suivante dans notre barre d\u2019adresse Chrome :<\/span><\/p>\n

view-source:https:\/\/www.gijn.org\/contact<\/code><\/p>\n

Nous g\u00e9n\u00e9rons ainsi le code source de la page qui nous int\u00e9resse :<\/span><\/p>\n

<\/p>\n

Nous pouvons alors effectuer une recherche \u00ab\u00a0UA-\u00a0\u00bb (\u00ab\u00a0universal analytics\u00a0\u00bb), le tag employ\u00e9 par <\/span>Google Analytics<\/span><\/a> pour identifier notre site et tous les domaines associ\u00e9s \u00e0 notre compte Google Analytics. Vous pouvez rechercher dans le code source les tag \u00ab\u00a0Pub-\u00ab\u00a0, qui sont connect\u00e9es au produit <\/span>AdSense<\/span><\/a> de Google, ainsi que les tags \u00ab\u00a0G-\u00ab\u00a0, le nouveau <\/span>format GA4<\/span><\/a> que Google a d\u00e9ploy\u00e9 \u00e0 travers son produit Analytics. Il est important de comprendre les diff\u00e9rents tags qui peuvent figurer dans le code source afin de pouvoir les rechercher puis les analyser afin d\u2019identifier des connexions, gr\u00e2ce aux outils que nous d\u00e9taillons ci-dessous. Commen\u00e7ons par rechercher \u00ab\u00a0UA-\u00a0\u00bb dans le code source :<\/span><\/p>\n

<\/p>\n

Je trouve ainsi : <\/span>UA-25037912-1<\/code><\/p>\n

Copions et collons<\/span><\/a> ceci dans le site <\/span>SpyOnWeb, qui permet d\u2019effectuer des recherches sur \u00ab\u00a0des sites web qui appartiennent probablement au m\u00eame propri\u00e9taire\u00a0\u00bb<\/span><\/a>. Voici le r\u00e9sultat que nous obtenons\u00a0 :<\/span><\/p>\n

<\/p>\n

Notez que notre tag UA est uniquement associ\u00e9 \u00e0 notre site, gijn.org. Cette m\u00e9thode peut servir \u00e0 suivre un tag UA (ou les tags Pub et G) afin d\u2019identifier des liens entre sites apparemment distincts. La pr\u00e9sence d\u2019un ou plusieurs tags identiques dans les codes sources de diff\u00e9rents sites peut ainsi vous r\u00e9v\u00e9ler une connexion entre ces sites. Si vous d\u00e9couvrez ainsi que le site qui fait l’objet de vos recherches est li\u00e9 \u00e0 d’autres sites similaires, cela peut vous ouvrir des pistes d\u2019enqu\u00eate suppl\u00e9mentaires, et vous permettre par la suite d\u2019identifier l\u2019organisation, l\u2019individu ou le sponsor qui se cache derri\u00e8re ce r\u00e9seau.<\/span><\/p>\n

Tentons une autre approche. En utilisant <\/span>les outils de<\/span> recherche invers\u00e9e<\/span><\/a> de <\/span>DNSlytics<\/span><\/a>, nous pouvons voir quelles autres <\/span>adresses IP<\/span><\/a> ou <\/span>tags Google Analytics<\/span><\/a> sont connect\u00e9es au site qui nous int\u00e9resse.\u00a0<\/span><\/p>\n

Prenons comme exemple le site du groupe de presse tr\u00e8s marqu\u00e9 \u00e0 froite Breitbart, qui est bas\u00e9 aux \u00c9tats-Unis. Nous allons d’abord r\u00e9cup\u00e9rer le code source gr\u00e2ce \u00e0 notre navigateur :<\/span><\/p>\n

view-source:https:\/\/www.breitbart.com\/<\/code><\/p>\n

Puis nous y recherchons \u00ab\u00a0UA-\u00ab\u00a0. Effectivement, nous trouvons un\u00a0 tag UA dans le code source :<\/span><\/p>\n

<\/p>\n

Voyons ce que DNSlytics peut nous dire sur la tag UA <\/span>UA-715222-1<\/code>.<\/span><\/p>\n

<\/p>\n

DNSlytics semble avoir trouv\u00e9 19 domaines contenant ce m\u00eame tag. Je ne peux pas tous les voir car je n’ai pas de compte premium chez DNSlytics. Voyons donc ce que SpyOnWeb peut nous apprendre.<\/span><\/p>\n

Effectuons la m\u00eame recherche, sur le tag UA <\/span>UA-715222-1<\/code>, dans SpyOnWeb :<\/span><\/p>\n

<\/p>\n

SpyOnWeb trouve sept noms de domaines, ce qui est un bon d\u00e9but. Essayons une recherche \u00e0 partir du tag Pub, toujours dans SpyOnWeb, et voyons les r\u00e9sultats que nous obtenons. Voici le tag Pub dans le code source du site Breitbart :<\/span><\/p>\n

<\/p>\n

Lorsqu’on tape le tag Pub de <\/span>pub-9229289037503472<\/code> dans SpyOnWeb, voici ce que nous trouvons :<\/span><\/p>\n

<\/p>\n

SpyOnWeb a trouv\u00e9 17 domaines utilisant la m\u00eame tag Pub que breitbart.com. (Contre une trentaine sur DNSlytics, via une recherche similaire du tag Pub, mais nous ne pouvons pas les afficher sans compte premium.) Certains de ces domaines recoupent ceux trouv\u00e9s en effectuant une recherche invers\u00e9e \u00e0 partir du tag UA de Breitbart. Ce sont les suivants :<\/span><\/p>\n

biggovernment.com<\/code><\/p>\n

bigpeace.com<\/code><\/p>\n

breitbartchildrenstrust.com<\/code><\/p>\n

bigjournalism.com<\/code><\/p>\n

breitbart.tv<\/code><\/p>\n

breitbart.com<\/code><\/p>\n

Nous souhaitons approfondir nos recherches sur ces domaines, mais sans nous mettre en danger en nous rendant sur des sites inconnus. Tout d\u2019abord parce que nous ne savons pas encore qui se cache derri\u00e8re ce r\u00e9seau de sites, et nous ne voulons pas encore les alerter sur notre enqu\u00eate. Par ailleurs, si nous n’utilisons pas de r\u00e9seau priv\u00e9 virtuel (RPV, ou VPN en anglais), le propri\u00e9taire des sites pourrait voir l’emplacement g\u00e9ographique associ\u00e9 \u00e0 notre adresse IP (protocole Internet), ainsi que d’autres informations dont nous pourrions souhaiter qu\u2019elles restent priv\u00e9es. (Nous vous sugg\u00e9rons d’utiliser un VPN lors de certaines enqu\u00eates en ligne, surtout sur des sujets sensibles. Pour en savoir plus sur le sujet, consultez les articles de GIJN <\/span>4 Conseils de s\u00e9curit\u00e9 num\u00e9rique que chaque journaliste doit conna\u00eetre<\/span><\/a> et <\/span>Quelques lectures essentielles sur les options de s\u00e9curit\u00e9 num\u00e9rique en open source<\/span><\/a>.) Pour finir, nous ne savons pas si des logiciels malveillants ou des logiciels de \u00ab\u00a0tracking\u00a0\u00bb sont install\u00e9s sur les sites sur lesquels nous enqu\u00eatons.<\/span><\/p>\n

VirusTotal<\/span><\/a> est un des outils qui peut nous aider \u00e0 \u00e9viter cet \u00e9cueil, en recherchant des logiciels malveillants sur ces sites. En collant n’importe quelle URL dans <\/span>cette page<\/span><\/a> vous obtiendrez des r\u00e9sultats en quelques secondes. VirusTotal vous indique \u00e9galement le domaine vers lequel l\u2019URL redirige ses visiteurs. Par exemple, si vous essayez de vous rendre sur <\/span>biggovernment.com<\/code>, vous finirez, comme nous l\u2019apprend VirusTotal, \u00e0 l\u2019adresse suivante :<\/span><\/p>\n

<\/p>\n

Biggovernment.com<\/code> semble n\u2019\u00eatre qu\u2019une porte d\u2019entr\u00e9e suppl\u00e9mentaire vers la section politique du m\u00e9dia <\/span>breitbart.com<\/code>. Selon <\/span>Blacklight<\/span><\/a>, un outil de confidentialit\u00e9 en ligne produit par le m\u00e9dia \u00e0 but non lucratif The Markup, Breitbart utilise un grand nombre de logiciels de suivi sur son site web. Pour autant, le site ne semble pas contenir de logiciels malveillants, <\/span>selon l’analyse r\u00e9alis\u00e9e par VirusTotal<\/span><\/a>. En prime, VirusTotal regroupe \u00e9galement toutes les informations que nous avions recueillies pr\u00e9c\u00e9demment, comme les tags UA et Pub :<\/span><\/p>\n

<\/p>\n

Enfin, VirusTotal vous donne l\u2019option de <\/span>voir les liens entre domaines \/ URL \/ adresses IP<\/span><\/a> sous forme de graphique. Voici le graphique de r\u00e9seau g\u00e9n\u00e9r\u00e9 par VirusTotal pour l’un des sites que nous avons rencontr\u00e9s pr\u00e9c\u00e9demment <\/span>bigpeace.com<\/code> :<\/span><\/p>\n

<\/p>\n

On y voit le logo de Breitbart : la lettre \u00ab\u00a0B\u00a0\u00bb dans un cadre orange. En utilisant la fonction graphique de r\u00e9seau – encore une fois, sans avoir \u00e0 nous rendre sur les sites web en question – nous pouvons donc voir que <\/span>bigpeace.com<\/code> apparait sous l’ic\u00f4ne de <\/span>breitbart.com<\/code>. C’est tr\u00e8s utile pour tout journaliste souhaitant v\u00e9rifier ce qui se cache derri\u00e8re une URL sans jamais s\u2019y rendre. Autre fonctionnalit\u00e9 int\u00e9ressante, VirusTotal vous permet de consulter l’historique des adresses IP et des archives <\/span>Whois<\/span><\/a>, ainsi que tous les sites associ\u00e9s \u00e0 une URL sp\u00e9cifique. Voici la liste des sites li\u00e9s \u00e0 <\/span>bigpeace.com<\/code>, qui redirige ses visiteurs vers la page s\u00e9curit\u00e9 nationale de <\/span>breitbart.com<\/code> :<\/span><\/p>\n

<\/p>\n

Merci \u00e0<\/span> Jane Lytvynenko<\/span><\/a> et <\/span>Craig Silverman<\/span><\/a>, de BuzzFeed News, qui ont pr\u00e9sent\u00e9 ces m\u00e9thodes lors d\u2019une s\u00e9ance de formation aux enqu\u00eates num\u00e9riques \u00e0 la <\/span>conf\u00e9rence<\/span><\/a> IRE 2020. <\/span>DomainBigData<\/span><\/a>, <\/span>Whoisology<\/span><\/a>, <\/span>DomainTools<\/span><\/a> et <\/span>BuiltWith<\/span><\/a> sont des outils similaires.<\/span><\/p>\n

R\u00e9aliser des graphiques de r\u00e9seau sur SpiderFoot HX\u00a0<\/b><\/h4>\n

Vous voulez trouver toutes ces connexions automatiquement ? Essayez la 6\u00e8me \u00e9dition de SpiderFoot HX, qui est sortie en septembre. Nous avons d\u00e9j\u00e0 \u00e9voqu\u00e9 SpiderFoot HX dans un <\/span>num\u00e9ro pr\u00e9c\u00e9dent <\/span><\/a>de la Bo\u00eete \u00e0 outils. Certaines fonctionnalit\u00e9s de cet outil en ligne sont accessibles \u00e0 tous, <\/span>d\u2019autres sont payantes<\/span><\/a>.<\/span><\/p>\n

Donnons un exemple d\u2019emploi de cet outil, en nous int\u00e9ressant au site Now8News. Nous savons que ce m\u00e9dia relaie de nombreuses fausses informations, mais est-il pour autant associ\u00e9 \u00e0 d’autres faux sites d’information ?\u00a0<\/span><\/p>\n

D\u2019abord, quelques informations sur Now8News. Snopes, le m\u00e9dia d\u00e9di\u00e9 \u00e0 la v\u00e9rification de faits, a inclus ce site dans son<\/span> Guide pratique des sites de fausses nouvelles et des pourvoyeurs de canulars<\/span><\/a>.<\/span><\/p>\n

\"\"

Capture d’\u00e9cran : snopes.com<\/p><\/div>\n

Et voici une capture d’\u00e9cran de l’<\/span>analyse<\/span><\/a> sans appel qu\u2019en fait le site <\/span>Media Bias \/ Fact Check<\/span><\/a> :<\/span><\/p>\n

\"\"

Capture d’\u00e9cran : mediabiasfactcheck.com<\/p><\/div>\n

Voyons maintenant si d\u2019autres sites sont li\u00e9s d\u2019une mani\u00e8re ou d\u2019une autre \u00e0 Now8News. Cliquez sur la fonction \u00ab\u00a0Investigate\u00a0\u00bb en haut de SpiderFoot HX :<\/span><\/p>\n

<\/p>\n

Choisissez un nom pour votre enqu\u00eate, puis dans la barre de recherche inscrivez <\/span>now8news.com<\/code> et cliquez sur \u201cStart Investigation\u201d (\u00ab\u00a0Lancer l’enqu\u00eate\u00a0\u00bb).<\/span><\/p>\n

SpiderFoot HX g\u00e9n\u00e8re alors automatiquement un graphique de r\u00e9seau, comme ceci :<\/span><\/p>\n

<\/p>\n

Trois n\u0153uds apparaissent : un n\u0153ud racine interne (celui illustr\u00e9 par une araign\u00e9e), un n\u0153ud nom de domaine et un n\u0153ud nom Internet. Un clic droit sur le n\u0153ud nom de domaine fait appara\u00eetre l\u2019option \u00ab\u00a0Investigate\u2026\u00a0\u00bb, puis \u00ab\u00a0Passive DNS\u00a0\u00bb, puis \u00ab\u00a0Mnemonic PassiveDNS\u00a0\u00bb. Cliquez sur cette derni\u00e8re. Cela ex\u00e9cutera le module Mnemonic PassiveDNS, qui est l’un des nombreux outils int\u00e9gr\u00e9s au logiciel SpiderFoot HX. Ce <\/span>module<\/span><\/a> recueille de mani\u00e8re passive les requ\u00eates DNS, ce qui nous permet de voir les domaines connect\u00e9s au site qui nous int\u00e9resse. La dur\u00e9e du module d\u00e9pendra du nombre de connexions trouv\u00e9es, patientez donc quelques minutes pour que les donn\u00e9es soient bien trait\u00e9es. Puis passez \u00e0 l’\u00e9tape suivante.<\/span><\/p>\n

<\/p>\n

Cliquez sur \u00ab\u00a0Browse by\u2026\u00a0\u00bb et s\u00e9lectionnez \u00ab\u00a0Data Type\u00a0\u00bb, puis \u00ab\u00a0Co-Hosted Site\u00a0\u00bb.<\/span><\/p>\n

<\/p>\n

Cela vous donne une liste de tous les sites co-h\u00e9berg\u00e9s que le module Mnemonic PassiveDNS a r\u00e9cup\u00e9r\u00e9s \u00e0 partir de l’adresse IP du site qui vous int\u00e9resse, en l\u2019occurrence <\/span>now8news.com<\/span>. La liste est longue, il faut donc pr\u00e9ciser lesquels sont pertinents. Cliquez sur la case \u00e0 gauche des sites qui vous paraissent pertinents puis s\u00e9lectionnez le bouton \u00e9toile en haut \u00e0 droite, comme ceci :<\/span><\/p>\n

<\/p>\n

Cliquez ensuite sur \u00ab\u00a0Starred\u00a0\u00bb pour ne voir que les sites ainsi s\u00e9lectionn\u00e9s.<\/span><\/p>\n

Une fois votre liste compl\u00e9t\u00e9e, s\u00e9lectionnez le bouton \u00ab\u00a0Toggle View\u00a0\u00bb :<\/span><\/p>\n

<\/p>\n

Et s\u00e9lectionnez \u00ab\u00a0Node graph\u00a0\u00bb. Cela g\u00e9n\u00e8re automatiquement un graphique de r\u00e9seau bas\u00e9 sur les sites co-h\u00e9berg\u00e9s que vous avez choisis. Voici le graphique que j’ai obtenu de cette mani\u00e8re :<\/span><\/p>\n

<\/p>\n

Remarquez que tous ces n\u0153uds – <\/span>news4ktla.com<\/code><\/a> et <\/span>abc4la.com<\/code>, entre autres – partent de l’adresse IP de <\/span>now8news.com<\/code>, qui est <\/span>67.227.229.104<\/code>. Cela signifie qu’ils sont tous h\u00e9berg\u00e9s \u00e0 la m\u00eame adresse IP. Nous pouvons confirmer cela en recherchant <\/span>now8news.com<\/code> via l’<\/span>outil IP invers\u00e9 de DNSlytics<\/span><\/a> :<\/span><\/p>\n

<\/p>\n

Il y a de nombreuses autres fonctionnalit\u00e9s \u00e0 essayer sur SpiderFoot HX. <\/span>Faites-nous savoir<\/span> si vous aimeriez qu\u2019un prochain num\u00e9ro de la Bo\u00eete \u00e0 outils s\u2019int\u00e9resse \u00e0 un module en particulier. En attendant, vous pouvez consulter le <\/span>tutoriel<\/span><\/a> de l’expert en recherches en sources ouvertes NixIntel sur l’utilisation qu\u2019il a faite de SpiderFoot HX pour enqu\u00eater sur une arnaque \u00e0 la crypto-monnaie d\u2019une soci\u00e9t\u00e9 enregistr\u00e9e au Royaume-Uni. NixIntel a utilis\u00e9 SpiderFoot HX de la mani\u00e8re d\u00e9crite ci-dessus – en utilisant des noms de domaine, des adresses IP et des tags Google Analytics – afin de r\u00e9aliser un graphique du r\u00e9seau du site web organisant l\u2019arnaque. Rendez-vous sur le <\/span>site <\/span><\/a>et la <\/span>cha\u00eene YouTube<\/span><\/a> de SpiderFoot pour en savoir plus.<\/span><\/p>\n

Liens recommand\u00e9s<\/b><\/h4>\n