Introduction

Cette enquête a été imaginée par Yoan “Degun” Blanc (Osint Agency) et Yann “Tungst” Pilpré (YPSI), et améliorée par nos co-équipiers de choc de la team OSCAR ZULU : Fabienne “Fab487” Crop et Antoine “Kralizec” Lounis.

Nous espérons que vous avez pris autant de plaisir à la résoudre que nous à la concevoir.

Remerciements

Cette enquête n’aurait pas vu le jour sans nos partenaires de la première heure :

Merci à Custos et Agent_Blue pour leurs conseils sur le scénario et les éléments de réalisme.

Note : L’ordre de résolution des challenges ne suit pas obligatoirement l’ordre de la mise en page. Ceci est précisé si un challenge réussi ouvre plusieurs challenges.

Avertissement

Dans ce CTF, nous avons utilisé des mails avec des réponses automatiques afin de fluidifier le récit et d’éviter de perdre trop les débutants.

Ce procédé d’envoi de mail dans un contexte réel est à proscrire absolument. L’OSINT se pratique de manière passive uniquement, et nous nous sommes permis cette entorse afin d’ouvrir les “portes” sans devoir en passer par des challenges plus difficiles.

NE FAITES PAS ÇA DANS LA VRAIE VIE !

Dead Man Walking

Vous avez été sollicité(e) par la famille désespérée de Ellen Gravist, qui n’a plus de contact avec elle depuis plusieurs semaines. En rupture avec ses proches, elle ne donnait que peu de nouvelles mais montrait toutefois des signes de vie.

Ils sont incapables de vous donner plus de détails sur les circonstances, ce qui explique pourquoi les forces de l’ordre n’ont pas considéré la disparition comme inquiétante…

Le fichier PDF joint rassemble le peu d’informations que la famille a pu vous donner.

Après leur avoir précisé que vous ne pourrez rien leur communiquer sans l’accord d’Ellen (si vous la retrouvez), mais que vous informerez celle-ci de leur inquiétude, vous acceptez la mission

Bonne chance !

Dans quelle école Ellen a-t-elle fait sa formation lors de sa reconversion ?

Fichier PDF joint

La famille d’Ellen ne semble pas savoir grand-chose de sa vie… la première chose est d’en savoir un peu plus sur elle.

Cette question est posée afin de vous orienter vers un réseau professionnel bien connu…

Une recherche sur Linkedin vous permet de découvrir le profil de Ellen Gravist-Jacoulet qui indique avoir fait une formation de Copywriting chez Livementor.

Une image contenant texte, capture d’écran, Police, carte de visite

Description générée automatiquement

Flag : livementor

Hard Target

Fresh

Afin de constituer le profil, vous poursuivez vos recherches.
Quel est son nouveau métier, clairement indiqué dans son profil.

Une fois le profil Linkedin trouvé, il est facile de trouver qu’elle est Web Content Writer :

Une image contenant texte, capture d’écran, Police, algèbre

Description générée automatiquement

Flag : Web Content Writer

Killing Zoe

Vous commencez à avoir une idée de qui est Ellen, et certaines lectures sont assez claires sur son état d’esprit au moment de sa disparition… Mais elle a clairement été aidée.

Quel est le prénom de celle qui lui permet de prendre un nouveau départ dans sa vie ?

Les choses commencent à se corser car il est temps de trouver qui elle fréquente avant sa disparition.

On peut voir sur son profil Linkedin qu’elle partage certains de ces articles sur Medium, avec un choix éditorial étrange, mais assumé.

Ce qui est intéressant dans ce profil se trouve dans la biographie Medium, où Ellen indique un compte Wattpad où elle écrit de manière plus personnelle :

Une image contenant texte, Visage humain, femme, capture d’écran

Description générée automatiquement

À la lecture, on s’aperçoit bien vite qu’il s’agit en fait d’une sorte de journal intime, où elle raconte sa vie depuis son installation dans le sud de la France.

Dans le chapitre 3, Ellen commence à parler d’une Marianne, qui va complètement changer sa vie, et qui va apparaître plusieurs fois dans le récit :

Une image contenant texte, capture d’écran, Police

Description générée automatiquement

Réponse : marianne

Kiss of Death

Vous avez trouvé son journal, qu’elle rédige avec un certain talent, mais il semble que la piste s’arrête là… Il vous faut maintenant poursuivre votre enquête pour savoir ce qu’il est advenu d’elle.

De quel peintre du XVIIe siècle a-t-elle partagé une peinture ?

La fin du chapitre 5 indique clairement qu’ Ellen a coupé les ponts, et vit désormais sous le nom de Persephonia Aidoneus.

En étant attentif à la lecture, on peut voir un bel indice sur la suite de notre affaire :

Une image contenant texte, Police, blanc, algèbre

Description générée automatiquement

Il faut alors lister les plateformes de blog un peu tombé en désuétude :

  • Skyblog (mais qui est en voie de disparition)
  • Blogger
  • Tumblr
  • Typepad

C’est donc Tumblr qui nous donnera un résultat positif avec la recherche persephonia aidoneus .

Une image contenant texte, Visage humain, capture d’écran, femme

Description générée automatiquement

On peut aisément reconnaître Ellen sur la photo.

En parcourant le blog, on peut découvrir une peinture du XVIIe siècle qu’elle a partagé :

Une image contenant art, peinture, mythologie, personne

Description générée automatiquement

Réponse : Peter Paul Rubens

Bad Company

Avant de continuer, vous prenez quelques minutes pour faire un point et relire tous les renseignements que vous avez trouvés.

Il semble que votre enquête va prendre la direction d’une secte dans laquelle Ellen aurait été recrutée.

Quel est le nom de cette secte ?

Ici, il s’agit d’une question destinée à s’assurer que vous avez bien eu les renseignements nécessaires avant de continuer.

Les Enfants d’Hades sont mentionnés plusieurs fois, aussi bien dans les textes du journal Wattpad que dans les publications sur Tumblr

Réponse : les enfants d’hades

Nothing To Lose

Vous souhaitez en avoir le cœur net et cherchez un autre moyen de contacter Ellen, sans doute pourrez-vous trouver un email parmi les informations disponibles.

Afin de réussir cette partie, il faudra voir lu les conseils donnés avant le début sur notre serveur Discord et paramétré son (faux) compte Tumblr afin qu’il ne filtre pas les contenus sensibles :

Une image contenant texte, capture d’écran, Police, nombre

Description générée automatiquement

Avec ce paramètre activé, une photo supplémentaire est désormais visible, indiquant un moyen de contact afin « d’en voir plus »

Réponse : persephonia.aidoneus@proton.me

La résolution de cette question ouvre 3 nouvelles catégories, que vous explorerez par la suite : Last Man Standing, City Of Industry, Faster Pussycat ! Kill ! Kill !

Dans un souci de clarté, la suite de ce write-up sera classée par catégorie, référez-vous au sommaire si besoin.

Last Man Standing

Tales from the Hood

Comme toute secte, les Enfants d’Hades doivent avoir des détracteurs !

Sous quel pseudonyme pourrez-vous en retrouver un ?

En lisant attentivement le blog Tumblr, on peut voir un commentaire sous une publication.

Une image contenant texte, capture d’écran, Police, nombre

Description générée automatiquement

Clairement, ce compte est presque vide, et a été créé spécialement pour commenter…

L’unique publication nous donne un lien vers un site internet.

Sur ce site, l’auteur se présente sous le pseudonyme Kronos Titan.

Une image contenant texte, capture d’écran, Police

Description générée automatiquement

Réponse : kronos titan

True Romance

Vous commencez à en apprendre plus sur le fonctionnement de la secte, et sur comment Ellen a été recrutée et manipulée.

Ils sont à priori bien organisés !

Quel rôle occupe Marianne dans la secte ?

En lisant attentivement le blog, il est possible d’en apprendre plus sur l’organisation de la secte.

Cet article en particulier, défini clairement le rôle de Marianne : une marraine

Une image contenant texte, capture d’écran, Police

Description générée automatiquement

Réponse : marraine

Touch of Evil

Une image contenant texte, Police, blanc, capture d’écran

Description générée automatiquement

Afin d’être le plus efficace possible, il vous faut continuer à obtenir le plus d’information possible sur les Enfants d’Hades, et en particulier sur les évènements qui pourraient vous permettre de retrouver Ellen.

Quel nom est donné aux soirées de cette secte ?

La lecture du blog nous éclaire un peu plus encore sur les procédés des Enfants d’Hades.

Ce post en particulier, expose le déroulement des soirées spéciales qu’ils nomment Cérémonies de la Lune Noire.

Gardons bien de côté ce post, qui nous amènera des informations pour plus tard !

Réponse : Cérémonies de la Lune Noire

Basic Instinct

Pour reprendre contact avec Ellen, il vous faudra essayer de savoir les étapes subies pendant son intégration dans la secte.

Quelle est la troisième étape initiale dans le processus de recrutement des Enfants d’Hades ?

Dans l’article sur les recrutements, Kronos nous livre un guide édité par la secte.

Il détaille comment trouver et préparer des recrues pour les cérémonies.

Dans la troisième partie du document, on apprend que la troisième étape est une vérification des antécédents.

Une image contenant texte, capture d’écran, Police

Description générée automatiquement

Réponse : vérification des antécédents.

The Glass Shield

Bien entendu, l’idéal serait de pouvoir identifier cette source précieuse pour votre enquête.

Il doit être possible de trouver plus d’informations sur lui, afin de trouver son prénom et le lien qu’il a avec l’actuel chef de la secte.

Comme tout bon enquêteur, vous avez pensé à utiliser la Wayback machine pour voir si des posts ont été supprimés ou modifiés ?

Si oui, vous arriverez sur un article qui a été supprimé du site !

Ce message, signé de son vrai prénom, révèle qu’il est le père du chef de la secte !

Réponse : georges père

City of Industry

Clear and Present Danger

Comme toute organisation moderne, les Enfants d’Hades doivent avoir un canal d’information officiel. Il faudrait le retrouver.

Si vous avez été attentif lors de vos lectures, vous aurez vu un hashtag sur le Tumblr de Persephonia :

Une image contenant Police, texte, blanc, typographie

Description générée automatiquement

Et effectivement, ce site est le canal de communication public de la secte !

Réponse : enfantsdhades.com

Judge Dredd

Vous explorez le site de manière exhaustive afin d’obtenir des informations.

Quel est le pseudo du responsable de la sécurité ?

Cette question fait appel à un peu de technique, et nul doute que les moins « cyber » des enquêteurs auront un peu de mal. Dans ce cas-là, les hints sauront vous aider.

Pour les plus aguerris, une consultation du fichier robots.txt montre un dossier intéressant :

Une image contenant texte, capture d’écran, Police, noir

Description générée automatiquement

L’adresse https://enfantsdhades.com/vfrrghertevb34535lkh2Ohh00hLhkl0iujd39hhkbekzjiceluiquivoitcaestfort909878987/ nous offre 2 répertoires cachés /inv et /org.

Le premier contient une invitation au format PDF qui nous servira sans doute plus tard, et le deuxième contient un organigramme, et surtout un moyen de contacter les différents protagonistes !

Dans cet organigramme, on apprend qu’un certain Heracles est le cerbère chargé de la sécurité !

Réponse : heracles

La résolution de ce challenge ouvre une nouvelle catégorie : Guilty as Sin

Albino Alligator

Le responsable de la sécurité doit savoir beaucoup de choses ! Il faut à tout prix l’identifier ! Trouvez sa véritable identité.

Souvenez-vous que nous avons le modèle des adresses mail des Enfants d’Hades.

Le mail du responsable de la sécurité est donc heracles@enfantsdhades.com

N.B. : Tous les sites étant devenu payants au cours du CTF, nous avions décidé de donner le résultat aux équipes qui n’avaient pas de crédit, en soumettant une capture d’écran montrant les informations floutées sur Epieos par exemple.

En utilisant un site comme Osint Industries ou Epieos on peut voir que son adresse mail est reliée à un Trello :

Une image contenant texte, capture d’écran, carte de visite, Police

Description générée automatiquement

En consultant le Trello, il est possible de voir les tâches qu’il s’est attribué, sans sécuriser son compte.

Il est possible de découvrir des informations glaçantes sur les procédés de la secte, mais également une tache de renouvellement de sa carte CNAPS.

Un lien vers un document est indiqué afin de finir son dossier… et le formulaire indique son identité :

Une image contenant texte, reçu, Police, blanc

Description générée automatiquement

Nous avons donc l’identité de Heracles

Réponse : guillaume tacheleron

Faster Pussycat ! Kill ! Kill !

Captives

Au vu des informations que vous avez trouvées, nul doute qu’Ellen n’est pas la seule victime.

Pourrez-vous découvrir les pseudonymes des autres jeunes femmes sous influence ?

Pour résoudre ce challenge, il faut d’abord avoir envoyé un mail à Persephonia, qui vous répondra rapidement avec un lien :

Une image contenant texte, Police, capture d’écran, algèbre

Description générée automatiquement

En suivant le lien ul23ocgxwgj7wi455ncpiegylrzqmisd7uwh2hxjsmxgy2wjgax35tad.onion fourni, vous pourrez consulter un site qui explique plus en détail le déroulement de la soirée.

Au cours de votre lecture, vous découvrirez que deux autres jeunes femmes seront initiées le même soir.

Réponse : demeter macarie

Heavenly Creatures

Vous avez découvert un site internet terrifiant… comme vous l’imaginiez, ces jeunes filles ne sont pas protégées par la secte, mais au contraire manipulées pour devenir les proies d’hommes prêts à payer pour abuser d’elles.

Bien décidé à les sortir de ce piège, vous continuez votre enquête.

Quel est le pseudonyme de l’auteur des photos du site ?

Intéressons-nous aux fichiers images disponibles sur le site, en téléchargeant un des portraits, on peut consulter les données EXIF grâce à un outil comme Exiftool (il en existe de nombreux) :

Une image contenant texte, capture d’écran, menu, Police

Description générée automatiquement

On identifie bien un Gary Durbourg comme auteur des photos.

Réponse : gary durbourg

Donnie Brasco

Son pseudonyme ne vous aide pas beaucoup, mais il pourra vous servir à éventuellement trouver sa véritable identité !

Afin de trouver le vrai nom du photographe, il faudra se pencher sur les réseaux qu’utilisent les créatifs pour faire la promotion de leur travail :

  • Instagram
  • Facebook
  • Flickr
  • Behance

Sont les plus connus.

Les 3 premiers réseaux ne donnent rien.

Par contre une recherche sur Behance montre bien un profil qui semble correspondre !

Une image contenant texte, capture d’écran, Publicité en ligne, Site web

Description générée automatiquement

Sur son profil, il indique que son vrai nom est Gérard Dubourguin.

Une image contenant texte, Police, capture d’écran, algèbre

Description générée automatiquement

Réponse : Gérard Dubourguin

Guilty as Sin

Psycho

Il est temps de vous concentrer sur le chef. En vous basant sur ce que vous avez trouvé jusqu’ici, vous devriez pouvoir ajouter un chapitre à votre dossier.

Quel pseudo utilise le chef de la secte ?

En consultant l’organigramme trouvé plus tôt, on trouve facilement le pseudonyme Sarapis.

Réponse : sarapis (ou EH_Sarapis)

Les challenges suivants dans cette catégorie ne sont pas disponibles si vous n’avez pas encore résolu Original Gangsta

Natural Born Killers 

Vous avez maintenant la capacité de trouver le véritable nom de Sarapis. Suivez les pistes, déroulez tous les fils pour le démasquer.

Ce challenge se débloque une fois le challenge Once Upon a Time in America résolu.

Vous avez normalement enquêté un peu sur l’adresse SETH fournie.

Les adresses SETH correspondent au réseau SEPOLIA qui permet de faire des tests sur le réseau ethereum.

Cela évite aux organisateurs de cette compétition de dépenser de vrais ethereum.

Le réseau SEPOLIA dispose de son etherscan dédié qui permet de rechercher les transactions.

On peut voir que l’adresse du trésorier a envoyé des tokens à une autre adresse 0x730C82D30d28d36b8754641dAC90871e63F0B6FD:

Une image contenant texte, capture d’écran

Description générée automatiquement

En consultant les transactions de cette adresse, il apparait 2 transactions intéressantes :

Une image contenant texte, capture d’écran, Police

Description générée automatiquement

La première définit la création d’un contrat, et la toute dernière est un envoi de Hash.

Le détail de la transaction nous permet de consulter le contenu du hash. Il suffit de cliquer sur More détails, puis sur decode input data.

On obtient alors le lien suivant qui contient 3 fichiers :

https://bafybeihez4sappks5drb73xubiodvcju3dhw4gt6jj6trnrkwswegik3lq.ipfs.nftstorage.link/

Ces trois fichiers sont des testaments signés par nos 3 disparues désignant comme bénéficiaire un certain Serge Arapis !

Sarapis n’est pas seulement un dieu gréco-égyptien, mais juste une contraction de son nom et prénom !

Flag : Serge Arapis

Original Gangsta

Vous terminez votre profil sur Serge Arapis et tentez d’établir une cartographie de ses relations et potentiels complices.

Dans quelle école primaire est-il allé ?

Nous avons maintenant le vrai nom du chef des Enfants d’Hades !

Une simple recherche Google nous informe qu’un certain Serge Arapis est sur Copains d’Avant

Le site nous informe très simplement qu’il a été à l’école École Marcel Pagnol.

Afin de confirmer, on peut également retrouver la photo volée sur le blog de Kronos

Une image contenant Visage humain, personne, capture d’écran, homme

Description générée automatiquement

Et voir qu’il s’agit bien de la même personne… mais plus vieille.

Réponse : ecole marcel pagnol

La réponse débloque le challenge Taxi Driver

Goodfellas

Once Upon a Time in America 

Remonter le fil de l’argent est souvent une excellente idée ! Vous concentrez donc vos recherches sur le trésorier de l’organisation.

Trouvez où il passait ses vacances quand il était enfant.

Retournons sur le site Onion trouvé plus tôt.

Celui-ci nous indique d’envoyer un message au comptable afin de recevoir l’adresse d’envoi pour la participation.

Selon l’organigramme trouvé plus tôt, les adresses mail sont au format pseudo@enfantsdhades.com.

Le pseudonyme du trésorier est pluton, nous essayons d’envoyer un mail à pluton@enfantsdhades.com

Une réponse nous parvient, indiquant une adresse SETH où envoyer un paiement :

0xaFB4F59507C1E055A61c360Bd29F90c681496F85

Parfois, l’attrait de l’argent fait oublier la sécurité, même aux pires ordures.

Et si le trésorier avait publié cette adresse ailleurs ?

Et c’est le cas ! Une recherche sur Twitter nous montre un tweet avec cette adresse de paiement !

Une image contenant texte, capture d’écran, Police

Description générée automatiquement

N. B. Une fois de plus, il faudra penser à désactiver les « filtres » de la recherche pour le voir, et consulter tous les onglets (latest par exemple). La recherche Twitter a ses particularités…

En consultant le profil Twitter de celui qui semble être le trésorier, nous trouvons un tweet faisant référence à ses vacances en Camargue :

Une image contenant texte, capture d’écran

Description générée automatiquement

Réponse : camargue

La bonne réponse à ce challenge débloque également un nouveau challenge dans la catégorie Guilty as Sin.

Taxi Driver

Votre dossier est de plus en plus complet, il ne vous manque que l’identité réelle du trésorier pour finir d’identifier les cadres de la secte.

La consultation du handle twitter @GDakarivich nous donne déjà une indication.

Mais le profil Copains d’Avant de Serge Arapis nous en dit un peu plus.

En effet, dans sa liste de copains d’école, on retrouve un certain… Gérard Dakarivich qui a étudié le droit avec Sarapis !

Une image contenant texte, capture d’écran, Visage humain

Description générée automatiquement

Voilà donc notre trésorier !

Réponse : Gérard Dakarivich

Heaven’s Prisonner

Little Odessa 

Vous avez identifié 2 autres victimes, et leur famille est sans doute inquiète ! Vous essayez donc de les identifier.

Vous commencez vos recherches sur Macarie, qui semble être la plus fragile.

Trouvez son prénom et son nom.

Avoir trouvé les testaments nous permet d’obtenir assez facilement l’identité de Macarie grâce au post-it scanné

Il s’agit de Sauvane Auberjonois

Une image contenant Police, écriture manuscrite, calligraphie, typographie

Description générée automatiquement

Réponse : Sauvanne Auberjonois

Bound

Afin d’informer sa famille de vos trouvailles, vous tentez de trouver des informations complémentaires. Quel est le prénom de son frère et le nom de jeune fille de sa mère ?

Quel meilleur endroit pour trouver des informations généalogiques qu’un site de généalogie !

Sur Généanet, on trouve un arbre généalogique de Sauvanne Auberjonois :

Une image contenant texte, capture d’écran, Police, conception

Description générée automatiquement

Son frère est donc Lionel, et le nom de jeune fille de sa mère Garancin

Réponse : Lionel Garancin

Desperate Measures

La famille de Sauvanne retrouvée, vous continuez votre enquête pour identifier Demeter.

Trouvez son nom et son prénom.

De la même manière que pour Macarie, le testament nous révèle la vraie identité de Macarie :

Eabha Quinny, de nationalité irlandaise.

Réponse : Eabha Quinny

Primal Fear

Fort de ces informations, vous recherchez maintenant des indices complémentaires. Malgré le fait que la secte ne recrute que des personnes en rupture avec leurs proches, ces jeunes femmes doivent bien avoir des personnes qui les recherchent…

Où les filles sont-elles retenues ?

En possession des 2 identités, il doit être possible de remonter jusqu’à une connaissance qui s’inquiète.

Vous avez sans doute cherché Sauvanne sans succès sur les réseaux sociaux (hors les profils de sa famille créés par un fâcheux).

En cherchant son nom sur Facebook, une publication attire l’attention :

Une image contenant Visage humain, sourire, personne, capture d’écran

Description générée automatiquement

Une amie de Eabha signale sa disparition !

La publication à un commentaire qui donne informe qu’elle a réussi à emprunter un téléphone pour envoyer un mail.

Une image contenant texte, capture d’écran, Police

Description générée automatiquement
Peut être une image de texte

Eabha confirme qu’elle est retenue contre son gré, et qu’elle regrette de les avoir suivis, et communique des informations précieuses pour tenter de les localiser :

  • une vieille maison à louer ;
  • un trajet d’à peine plus d’une heure depuis Martigues, sans prendre l’autoroute ;
  • en roulant vers l’ouest ;
  • ils n’ont pas pris de voie rapide ou d’autoroute ;
  • un bateau pour quelques minutes ;
  • 500m de chemin en terre avant d’arriver ;
  • elle ne voit que des chevaux et des broussailles ;
  • lors de ses promenades, elle voit une vieille tour à environ 1500m. 

Grâce au site Traveltime, on peut définir une zone approximative avec un trajet de 1h25 :

Une image contenant carte, atlas, texte

Description générée automatiquement

Vers l’Est, on voit que la zone de la Camargue est atteignable… le lieu de vacances favori du trésorier Pluton !

Elle parle d’un bateau juste avant d’arriver, il s’agit sans doute du bac de Barcarin permettant de traverser le Rhône pour aller en Camargue. Les ponts au-dessus du Rhône étant des voies rapides ou autoroutes à cet endroit.

On peut donc définir une zone de quelques kilomètres à l’est du Bac.

Il est possible de chercher des ruines à l’aide de Google Maps, mais en maitrisant un peu l’outil Overpass Turbo, il est possible de faire très rapidement cette recherche.

En utilisant la requête suivante :

[out:json][timeout:25];

nwr[« ruins »= »yes »]({{bbox}});

out body;

>;

out skel qt;

Une seule ruine ressort de notre recherche !

Une image contenant texte, carte, atlas

Description générée automatiquement

Sur Google Maps, une seule maison peut être louée dans ce secteur : le Mas de la Belugue.

On utilisera Google Street View pour confirmer que le chemin d’accès est en terre et fait environ 500m !

Une image contenant carte

Description générée automatiquement
Une image contenant carte, Photographie aérienne, Vue plongeante, aérien

Description générée automatiquement

Réponse : Mas de la Belugue Arles

Things to Do in Denver When You’re Dead

Note : Cette partie n’est pas indispensable pour terminer l’enquête principale pour délivrer les 3 femmes, cependant elle permet de comprendre plus en détail le fonctionnement de la secte et le rôle de ses membres

2 Days in the Valley

Fort de vos découvertes, vous informez la gendarmerie de vos recherches et de vos conclusions.

Ils envoient rapidement une brigade sur place mais malheureusement, l’endroit est déjà vide…

Sur place, ils trouvent une cheminée qui a servi à brûler ce qui semble être des papiers.

Un document n’a pas été détruit et vous aidera peut-être à avancer dans votre enquête sur les membres de la secte.

Quelle commande avez-vous utilisé pour trouver votre prochain support de travail ?

Format de Flag : `SECRET_COMMAND{YEAH}`

Le robot sur l’image vous rappelle quelqu’un…
Mais oui ! Le robot sur le serveur discord d’OSCAR ZULU… Le robot qu’ils ont récupéré est en fait l’ancien bot des Enfants d’Hades et sa reprogrammation n’a pas effacé une partie protégée de sa mémoire…
Vous profitez donc de votre channel de support pour entrer la commande indiquée sur le papier et vous obtenez effectivement une réponse :

Vous pouvez donc consulter les sauvegardes des membres de la secte.

En testant les pseudos un par un, vous trouvez une seule sauvegarde, celle de Rhéa :

HADES_BOT{RHEA}

Vous obtenez un lien qui contient des dossiers MBOX.

Flag : HADES_BOT{RHEA}

Once Were Warriors

Grâce aux documents trouvés, vous devriez être en mesure d’identifier des membres supplémentaires de la secte.

Quel est l’état civil de Zeus et Rhéa (dans cet ordre) ?

En important les dossiers MBOX dans un lecteur de mail (vous pouvez également le faire avec un éditeur de texte, en reconstituant les fichiers joints en BASE64, ou en utilisant Autopsy ou un autre logiciel de forensic), il est possible de consulter les mails sauvegardés.

On trouve un mail de Sarapis indiquant qu’un des membres est décédé, et que les statuts de la société qu’ils vont créer ont été refaits. Ce mail indique également les pseudonymes et le nombre d’actions par membre.

Il indique joindre un fichier… mais il est manquant.

En lisant les autres mails, on constate qu’il l’avait oublié et que le fichier PDF est disponible dans un message suivant.

Les projets de statuts sont rédigés avec les vrais identités des membres de la secte !

En comparant la liste dans le mail et la liste des statuts, il est possible d’identifier nos 2 cadres manquants :

  • Zeus : JODIONIN Zara
  • Rhéa : ARAPIS Zoé

Rhéa serait donc la soeur du gourou de la secte !

Flag : Jodionin Zara – Arapis Zoé

Striking Distance

Un membre de la secte est parti en reconnaissance pour évaluer une safe house où ils pourraient se réfugier après la cérémonie. Trouvez la ville où il a atterri et le numéro du vol qu’il a utilisé.

Format de Flag : `Barcelone PP666`

En recherchant dans les dossiers MBOX avec l’utilitaire mutt (sous Linux) , on trouve un mail envoyé par Rhéa

Il est aussi possible de lire les fichiers Mbox pour ensuite convertir les pieces jointes encodées en base64 dans un fichier lisible.

Il y a aussi une image en pièce jointe

Elle indique être partie le 19/09/2023 de Bruxelles. La photo montre un aéroport de jour avec une visibilité assez réduite. La qualité de l’image ne permet pas de lire l’inscription sur l’avion au fond, mais on reconnaît un sigle sur l’empennage.

Deux chevaux face à face.

Vu l’environnement, il est probable que nous soyons dans un pays d’Afrique.

En recherchant les compagnies aériennes de la région sub saharienne, on trouve :

Air Burkina, qui possède le même design.

Vérifions l’aéroport de la Capitale sur le site officiel :

Nous avons la même configuration de la tour de contrôle que sur l’image.

La photo semble avoir été prise de cette position : 12.353471557715626, -1.5141535875062104

Regardons les vols entre Bruxelles et Ouagadougou

Le Site FlightRadar24 nous renseigne sur les vols du 19/09/2023

Le numéro de vol est le SN255

Flag : Ouagadougou SN255

Wargames

D’après les premières analyses des équipes de criminalistique numérique, l’un des membres de la secte possède son propre serveur informatique. Pourriez-vous vous y connecter ?

Format du flag : `EDH{Ceci_Est_Un_Magnifique_Flag}`

Ce challenge est un petit easter egg pour les fans de SSH.

En envoyant un mail à l’adresse du membre décédé, vous obtenez en réponse un message vous informant de l’existence d’un accès SSH :

Il ne me reste plus beaucoup de temps…

Si tu souhaites vraiment de me contacter, connecte toi ici : SSH zagreus@90.84.171.140 SRm5fowKzC9D6fw9

Je ne sais pas combien de temps ce serveur sera encore disponible.

Zagreus

En vous connectant au serveur ssh à l’aide d’un terminal vous obtenez une page indiquant qu’il est trop tard pour consulter ce serveur… et un flag hommage à nos chers CTF Cyber

flag : EDH{CHilDren_Of_EasTeR_Egg}

He walked by Night

Judgment Night

Ces dernières informations sont cruciales… mais malheureusement ne vous ont pas permis de découvrir le lieu où ont été emmenées nos trois disparues.

Votre dernière chance de retrouver Ellen, Sauvanne et Eabha reste d’arriver avant le début de la prochaine cérémonie…

À quelles date et heure commencera-t-elle (arrondit à la dizaine de minutes) ?

Afin de résoudre cette question, il faut retourner en arrière dans notre enquête.

Le dossier mal caché sur le site des enfants d’Hades contenait une invitation au format PDF.

Dans son article sur les cérémonies, Kronos Titan indique que la secte aime se baser sur les calendriers lunaires.

L’invitation indique Cérémonie de la 12e Lune Noire .

La lune noire est le terme en astrologie pour désigner la nouvelle lune, ce moment du cycle où la terre se situe pile entre le soleil et la lune, et que cette dernière devient invisible.

Ce phénomène se produit logiquement 12 fois par an.

La 12e nouvelle lune de l’année (donc en décembre) est prévue pour le 13 décembre 2023 à 00h33 selon plusieurs sites trouvés en tapant « calendrier lunaire 2023 » dans Google.

Une image contenant texte, capture d’écran, Police, nombre

Description générée automatiquement

Réponse : 13/12/2023 0:30:00

Keys to Tulsa

Pour résoudre la dernière énigme de l’enquête principale (enfin), il faudra encore se souvenir de l’article de Kronos Titan dans lequel il dit :

Suite à mon départ, les modalités ont changées… Tout ce que je sais c’est qu’à l’époque, ils adoraient les calendriers lunaires et cacher les informations dans un document public. Leurs lieux de cérémonies étaient codés avec W3W, mais ils ont arrêté depuis que l’outil est devenu populaire.

Pour les calendriers lunaires, c’est terminé.

Mais le seul document public que vous avez trouvé est cette invitation.

Afin de voir s’il y a des fichiers cachés dans un fichier (la stéganographie), l’outil Binwalk est toujours utile !

En soumettant le fichier PDF de l’invitation à l’outil, on trouve effectivement un fichier Zip caché !

Une image contenant texte, capture d’écran, Police

Description générée automatiquement

Afin de l’extraire, il est possible soit de renommer le fichier en .zip, soit de relancer Binwalk avec la commande :

binwalk -e invit.pdf

Vous aurez alors accès à un fichier texte contenant cette phrase énigmatique :

SELON PLUTARQUE : 1MLO3UT0P·2OAICFDBO·ENLRHOERI·CIUEAXLAN·EEN2TTTVT·RDE0ERAO2·EEN2AO81··

En cherchant sur Google code secret Plutarque, il est possible de découvrir que le code utilisé pourrait être la scytale, ou bâton de Plutarque.

Le site dcode propose un outil en ligne pour décoder ce chiffrement :

12ECEREMONIEDELALUNENOIRE2023CHATEAUFOXTROTDELTA80BRAVO1POINT2

En remettant les espaces cela donne :

12E CEREMONIE DE LA LUNE NOIRE 2023 CHATEAU FOXTROT DELTA 80 BRAVO 1 POINT 2

On reconnaît l’alphabet phonétique de l’OTAN.

Nous chercherions donc un château situé en FD80B1.2

Il s’agirait donc d’un système de coordonnées…

En cherchant système de « coordonnée » lettre et chiffres dans Google toujours, on trouve des références au carroyage militaire. Mais le système ne correspond pas tout à fait.

En précisant la recherche par Carroyage France, Google indique cette fois ci le carroyage DFCI (Défense des Forêt Contre l’Incendie).

En se rendant sur Géoportail, on peut consulter le carroyage DFCI.

Le Mas de la Belugue par exemple, se situe en HD82F35. Lors du passage de coordonnées par radio lors des interventions des forces de secours, cela donnerait « Hotel Delta 82 Foxtrot 3 point 5 ».

En étudiant un peu le carroyage, on comprend que le carreau FOXTROT DELTA est bien plus à l’ouest, dans la région de Bram :

Le carreau FOXTROT DELTA est à Bram, et un Château est visible sur la carte !

Une dernière recherche sur Google nous indique que le nom complet est Château de Valgros Fontenac à Bram

Réponse : Château de Valgros Frontenac Bram

Set if off

Le challenge de conclusion… rien à résoudre ici, si ce n’est votre prochaine enquête.

Vous communiquez immédiatement l’heure et les coordonnées à la Gendarmerie de Bram qui se rend rapidement sur place avec un peloton de l’antenne du GIGN de Toulouse.

Ils trouvent les 3 victimes, prêtes à être jetées en pâture aux membres de la secte. Sur place, les dirigeants des Enfants d’Hades sont arrêtés.

Rapidement, leur avocat fait une déclaration :

« On reproche à mes clients des faits absolument innommables ! Les soi-disant victimes étaient toutes consentantes, et ont signé des contrats avec mes clients qui stipulaient parfaitement les conditions de leur entrée dans cette association qui ne souhaite œuvrer que pour leur bien-être. On pourra discuter des méthodes qui consistent à vouloir soigner de jeunes femmes en perdition en leur permettant de réaliser leurs déviances. Il ne s’agit pas d’une affaire judiciaire, tout le monde étant consentant, mais bien d’un débat philosophique.

Je demanderais donc dès demain la remise en liberté de mes clients qui sont parfaitement innocents. »

Nul doute que les éléments que vous avez récoltés pourront être versés au dossier de la partie civile, mais c’est bien avec le goût d’une victoire amère que vous clôturez ce dossier.

——–

Bravo à vous pour cette enquête.

Nous espérons qu’elle vous a plu !

Soyez toujours prudents, sur internet et ailleurs, à ceux qui vous proposent monts et merveilles, et gardez un œil sur ceux que vous aimez, surtout les plus fragiles !

Entrez **FIN** ce dessous pour terminer ce CTF !

En cas de suspicion de dérive sectaire concernant l’un de vos proches :

Vous pouvez contacter les organismes suivant :

En France

www.unafdi.org

Union nationale des Associations de défense des Familles et de l’Individu victimes de sectes)

www.ccmm.asso.fr

Centre Contre les Manipulations Mentales

www.miviludes.interieur.gouv.fr

Le Site de La Milviludes

ou contacter le 17 en cas de danger imminent ou d’urgence.

En Belgique

www.ciaosn.be

Centre d’information et d’avis sur les organisations sectaires nuisibles

ou contacter le 101 en cas d’urgence

Mindmap OSINTRACKER

Vous trouverez ci dessous un export de la mindmap OSINTRACKER réalisée lors de notre test du CTF.

Vous pouvez télécharger l’export de l’archive ici :

https://www.dropbox.com/scl/fi/h1kbdl4i5u2v4uz8vd1vy/disparues.osintracker?rlkey=8pzry6nr4wpha9gcqtgq5c5b4&dl=0

Index