Un avion de la compagnie Ukraine International Airlines a achevé sa course non loin de l’aéroport iranien d’où il a décollé le 8 janvier, tuant les 176 personnes à bord. Après le crash du vol PS752 de la compagnie ukrainienne, une panne de moteur a été pointée du doigt comme étant la cause de ce qui était jusque là vu comme un accident. Mais lorsqu’une première vidéo du crash, montrant l'avion apparemment en feu alors qu'il se traînait jusqu'au sol, a été téléchargée en ligne, il a semblé que l'avion ait été frappé par un missile. Une seconde vidéo, qui semble montrer le moment où le missile s'abattait sur le Boeing 737-800, a corroboré la thèse retenue après la première. C’est alors qu’au même moment où les responsables militaires et les services de renseignement des gouvernements du monde entier menaient leurs enquêtes chacun de son côté, une équipe d'enquêteurs, qui se basait sur les images capturées pendant et après le crash, utilisait des techniques de renseignement de source ouverte (OSINT) pour reconstituer le puzzle du vol PS752.
Selon le magazine Wired, dans les jours qui ont suivi l'écrasement de l'avion d'Ukraine Airlines, d’autres images ont suivi et Bellingcat, un site Web de journalisme d'investigation spécialisé dans la vérification des faits et le Renseignement de source ouverte, et le New York Times ont fini par affaiblir définitivement la thèse de l’accident, contraignant les responsables iraniens à admettre dans la nuit du 10 janvier que le pays avait abattu l'avion "par erreur". Selon le magazine, ce n’est pas la première fois que les pratiques OSINT décodent les événements clés de l'actualité. En effet, lorsque Sergei Skripal, un ancien officier russe du renseignement militaire, a été empoisonné, Bellingcat a suivi, identifié ses tueurs et a résolu l’affaire, selon Wired.
« Vous pouvez considérer les techniques OSINT comme un puzzle. Pour obtenir une image complète, vous devez trouver les pièces manquantes et tout assembler », a explique Loránd Bodó, analyste de OSINT au sein de Tech Against Terrorism, un groupe de campagne qui aide l'industrie technologique à lutter contre l'exploitation terroriste de l'Internet. « Les enquêtes sur les sources ouvertes impliquent essentiellement la collecte, la préservation, la vérification et l'analyse de preuves qui sont disponibles dans le domaine public pour dresser un tableau de ce qui s'est passé », a explique Yvonne McDermott Rees, maître de conférences à l'Université de Swansea.
L'équipe de Bellingcat et d'autres enquêteurs de sources ouvertes se sont penchés sur les documents accessibles au public. « Parce que Bellingcat est connu pour notre travail open source sur MH17, les gens ont immédiatement pensé à nous. Les gens ont commencé à nous envoyer des liens qu'ils avaient trouvés », dit Eliot Higgins de Bellingcat. « C'était du crowdsourcing involontaire », a-t-il ajouté.
Les investigations sur le crash en Iran en utilisant les techniques de renseignement d’origine source ouverte
Selon Wired, les enquêteurs OSINT utilisent les métadonnées, y compris les données EXIF – qui sont automatiquement insérées dans les vidéos et les photos, montrant tout, du type d'appareil photo utilisé pour prendre les images à la latitude et la longitude précises de l'endroit où se tenait le preneur de vue – afin de valider que la séquence est légitime. Selon Bellingcat, le 9 janvier, une première vidéo a été diffusée en ligne après avoir été affichée sur Telegram, montrant ce qui était apparemment une explosion en plein air.
Les enquêteurs ont également procédé par l’identification de l’auteur de la vidéo et ont vérifié s'il était là où il prétend avoir été au moment de la réalisation de la séquence. « Les gens partageaient des photos et des vidéos sur Telegram, qui dépouillait les métadonnées, et quelqu'un d'autre les trouvait et les partageait sur Twitter », a expliqué M. Higgins. « Nous obtenions vraiment une version de seconde main ou de troisième main de ces images. Tout ce qu'on a à faire, c'est ce qui est visible sur la photo ». L’étape suivante consistait à regarder la séquence elle-même, en essayant souvent de géolocaliser précisément l'endroit où la vidéo ou les images ont été prises, dans quelle direction se tenait le preneur de vue, et ce qui s'est passé.
Dans le traitement de la deuxième vidéo du crash en Iran, Bellingcat et l'organisation de presse Newsy ont pu identifier le lieu de prise comme étant une zone résidentielle à Parand, une ville proche de l'aéroport de Téhéran. En cartographiant l'emplacement des images, ils ont pu utiliser des outils tels que Google Street View pour faire correspondre les bâtiments et les points de repère qu'ils voyaient dans le cadre de la vidéo avec la réalité. Selon Wired, dans le cas de cette vidéo, un chantier de construction, des immeubles d'habitation et des lampadaires ont aidé les enquêteurs – leur permettant de géolocaliser la vidéo.
Ce qui apparaissait dans la vidéo et ce qu’on pouvait y entendre ont aussi intéressé les enquêteurs. L'identification du moment où le bruit de l'explosion a été entendu, combinée à certains calculs (la théorie des triangles de Pythagore) et à la trajectoire du vol de l’avion abattu connue grâce à des systèmes de suivi de vol open source comme FlightRadar24, leur a permis de confirmer que l'avion dans la vidéo était bien celui du vol PS752. Ils ont tenté de comparer les vidéos disponibles entre elles, en synchronisant un moment clé d'une vidéo pour corroborer que les autres appuient les affirmations de l'autre.
En s’intéressant aux images d’après l’incident, les enquêteurs ont fait face à deux images sur les médias sociaux d'une partie d'un missile Tor M-1, dont certains prétendent qu'elles ont été prises sur le site de l'accident. Si les images montrant une frappe apparente de missile ont été géolocalisées, ces deux photographies n'ont pas encore été vérifiées, malgré les affirmations de plusieurs sources, a écrit Bellingcat dans son rapport. Les enquêteurs ont même parcouru un document technique de 40 pages sur le missile en question pour savoir comment il se fragmente lorsqu'il touche une cible et pour voir s'ils pouvaient cartographier les trous de shrapnel vus sur certaines photographies de l'épave.
Cependant, en utilisant les techniques de l’OSINT, les enquêteurs ont pu faire la lumière sur ce processus pour tenter de rassurer les sceptiques quant au bien-fondé des conclusions tirées. Conclusions qui auraient été difficiles à admettre si l’enquête avait été menée seulement de façon classique, par les services de renseignement de l'État, dans un conteste de fausses nouvelles où les vidéos ou images presque réelles sont élaborées sans avoir besoin de compétences avérées.
Selon une mise à jour du rapport de Bellingcat, de nouvelles photos et vidéos de la zone déterminée à Parand, dans la deuxième vidéo, confirment la géolocalisation.
Selon Wired, dans ce présent contexte de plus en plus compliqué, avec des réclamations et des demandes reconventionnelles concurrentes qui tentent de brouiller les pistes autour d'incidents litigieux, les pratiques de l’OSINT deviendront plus importantes. La preuve est que si l'Iran a pu ignorer les protestations des politiciens sans aucune preuve de leur implication, le catalogue de vidéos et de photographies, associé à une enquête obsessionnelle, signifie qu'il a été forcé d'admettre qu'il était à l’origine du crash mortel, d’après le magazine.
« Nous avons l'Iran qui dit que ce n'était pas un missile, les États-Unis et d'autres disent que c'était un missile. Maintenant, les informations de source ouverte peuvent être utilisées pour dire ce qui est le plus probable. Et généralement, vous trouvez très rapidement, s'il y a deux affirmations contradictoires là-dessus, ça se résume à un côté ou l'autre quand vous regardez les renseignements de source ouverte », a dit Higgins.
La pression et le poids des preuves publiques ont contraint les responsables iraniens à admettre l’implication du pays dans ce crash mortel du vol PS752 d'Ukraine Airlines, mais nous ne saurons peut-être jamais si l’abattage de l’avion s’est vraiment fait par erreur.
Sources : Wired, Bellingcat
Et vous ?
Qu’en pensez-vous ? Que pensez-vous des pratiques des renseignements de source ouverte utilisées dans cette enquête ? Lire aussi
La Russie aurait déployé une armée de trolls pour couvrir l'abattage de l'avion du vol MH17, affabulation gratuite ou bien une réalité ? L'Iran va-t-il lancer une cyberattaque contre les Etats-Unis ? Des responsables US seraient en train de préparer la réponse américaine, selon un rapport L'Iran aurait-il commencé sa cyberoffensive contre les États-Unis ? Des hackers pro-Iran piratent un site gouvernemental, pour y afficher une image de Donald Trump qui se fait frapper 
