Case Study – Forensique – Analyse d’un faux screenshot

Dans le cadre du concours de référencement smartphone pliable organisé par Nextlevel, dans lequel j’ai participé en sous-marin, de nombreuses pénalités manuelles ont été distribuées et nombreuses sont les personnes à avoir posté des captures d’écrans de leurs pénalités.

Une équipe m’a intrigué plus que les autres, l’équipe de Pascal Barrière & Damkrea. En effet, malgré leur capture d’écran de pénalité : ils étaient encore en tête du classement.

J’ai donc décidé d’enquêter sur ce screen pour voir si il était réel ou fake.

Leurs stratégies était en faites de simuler une pénalité aux yeux des autres participants pour éviter de se faire dénoncer. Très malin.

Screen de la pénalité

La qualité du texte de pénalité m’avait déjà mis la puce à l’oreille.

Mais j’ai une vision très scientifique, pour moi, cette information ne me permettait pas de prouver à 100% que le screen était faux. J’ai donc décidé de creuser. J’ai commencé par regarder les données EXIF de l’image. Les données EXIF contiennent souvent des informations et Photoshop aurait pu laisser une trace.

Vérification des données EXIF

Manque de chance, le screen avait été envoyé sur Skype. J’ai donc appris que Skype nettoyait sûrement les données EXIF des images qu’il reçoit.

Tant pis, je passe à l’étape suivante. Quelque chose sur le screenshot avait attiré mon attention.

Cette image est issu de la capture d’écran de Damkrea, on voit que l’URL est coupé à moitié mais on peut deviner quelques caractères. Je décide de vérifier si l’URL correspond bel et bien à ce que l’on devrait avoir. Pour se faire, je vais dans la Search Console et je me rend sur une page annonçant une pénalité manuelle. Je devrais avoir la même URL qu’eux en théorie.

https://search.google.com/search-console/manual-actions?resource_id=https%3A%2F%2Fwww.monsite.fr%2F&hl=fr

L’URL de la page annonçant la pénalité ressemble à ça, j’ai ajouté des couleurs pour expliquer les parties.

  • Texte qui ne bougera pas
  • %3A%2F%2F = :// encodé au format URL
  • %2F = / encodé au format URL
  • Texte qui va varier en fonction de l’URL du site pénalisé

J’ai donc décidé de reconstituer l’URL qu’ils devaient avoir.

https://search.google.com/search-console/manual-actions?resource_id=https%3A%2F%2Fwww.smartphones-pliables.fr%2F&hl=fr

J’ai écrit cette URL dans mon navigateur et j’ai effectué une capture d’écran pour comparer le haut de mon URL avec le bas de leurs URL. Si les 2 URLs sont identiques, je le verrai. Mon hypothèse étant que si ils avaient pensé à ce détails, l’URL complète serait complètement visible et non juste la moitié.

J’ai ouvert GIMP et j’ai ajusté l’échelle pour obtenir des lettres de la même taille qu’eux. J’ai ensuite superposé le haut de mon URL avec le bas de la leurs pour vérifier que ça matchait bien.

Comme on le voit sur mon montage, la première partie de mon URL match correctement avec la leurs. Par contre, tout s’emmêle sur la partie de l’URL du site. Étrange non ?

Voilà comment j’ai pu détecter le faux screen. Après avoir discuté avec Pascal, il m’a avoué qu’effectivement, le screen était faux. Le but était tout simplement de tromper les autres participants (rien de malsain on est sur un jeu).

Suite à cette découverte, j’ai décidé de passer un petit message subliminal dans le groupe Skype en expliquant que mon plus gros MS venait de se faire pénaliser par Google avec cette capture d’écran (vous pouvez analyser ce screen si bon vous semble, mais il n’a pas de failles je pense).

Encore bravo à tous les participants, j’éspère que vous avez apprécié cet article. Les pénalités peuvent aussi arriver lorsqu’un site wordpress est piraté.

Laisser un commentaire

Notre site internet

SecureMyData.fr

Numéro de téléphone

(+33) 06 13 49 80 22

Horaires d'ouvertures

Lundi - Vendredi - 8:00 - 18:00, Samedi - 14:00 - 18:00

Newsletter

SecureMyData © 2017 Tous droits réservés.