OSINT : Reflets partage avec la communauté ses « tranforms » Maltego pour Pappers

Une opération rendue possible avec le Fonds pour une presse libre

Et pour mieux vous expliquer de quoi on parle, on vous emmène, pas à pas, dans les coulisses de l'enquête Font Del Rey, qui nous a servi de base pour le développement de l'outil.

Notre "transform" Papper appliqué à Patrick Drahi donne beaucoup de résultats... - © Reflets

Il y a deux ans, Reflets bénéficiait du Fonds pour la presse libre (FPL). Dans le cadre de notre proposition de développement du pôle OSINT, était annoncé la publication pour la communauté journalistique de développements permettant d'enquêter avec Maltego, un logiciel de renseignement en sources ouvertes. Et notamment, de code permettant d'interroger « Pappers.fr » avec Maltego. Pappers recense les données publiques sur les entreprises française et leurs bénéficiaires. Elle est très utile pour étudier les montages entrepreneuriaux en tous genres.

Pour le développement de l'outil, rien de tel qu'un cas concret. Une enquête menée à l'automne dernier nous en a donné la possibilité. Lors d'un procès médiatisé, des associations et des habitants, mettait en accusations les gestionnaires d'un immeuble délabré du quartier populaire de la Mosson à Montpellier, les mots de « marchands de sommeils » fusant dans les médias. Partant de l'acte d'accusation, nous avons fait chauffer les machines et produit cet outil.

Pour l'enquête, c'est à lire par ici, avec un premier volet racontant l'histoire de la découverte de l'affaire par des associations. Le second volet, au coeur de ces investigations numériques, revient sur le montage financier des accusés et leur défense, le jour du procès. Dans le troisième volet, nous avons donné la parole au conseil d'administration de HabiterEnfin! qui a partagé leur vison sur le jugement rendu le 15 novembre.

Mais revenons-en à notre sujet et partons de cet acte d'accusation.

Sur le banc, les deux hommes qui nous intéressent et les deux entreprises qu'ils représentent. À cette étape, il convient de faire quelques recherches manuelles sur le site « Pappers.fr » et trouver la fiche de ces personnes, qu'elles soient morales ou physiques. Ces informations vont permettre de configurer les « Entitées » de Maltego qui vont servir de base à notre recherche. Pour les entreprises, le numéro de SIRET suffit, permettant de servir de « pivot » ou information identifiant précisément l'entité et permettant de construire les liens entre elles. Pour les personnes, il faut remplir les champs « âge », « date de naissance » et où « prenoms » qui permettent de filtrer la recherche pour nos cibles.

Notre tableau blanc du logiciel Maltego est prêt. Le plus dur est fait !

L'outil « Maltego » pour lequel nous avons développé une extension est un outil d'investigation en ligne avec une version gratuite à télécharger à l'adresse suivante : https://www.maltego.com/downloads/

Un « click-droit » sur ces entités permet de lancer des « transforms », des extension du logiciel Maltego qui vont récupérer des informations sur Internet pour afficher les résultats sur le dit « tableau blanc ». À partir du moment où vous avez intégré nos extensions dans votre logiciel, les entités et ces « transform » se présentent d'eux mêmes.

Les lancer déploie devant nos yeux les informations stockées sur la plateforme « pappers.fr ». Dans les cas présent, les différentes entreprises gérées par « Patrick », le gestionnaire de l'entreprise propriétaire « Foncière de rénovation ». Mais aussi les différentes activités de « Didier », le responsable du syndic, société dont la principale bénéficiaire n'est autre que « Isabelle ».

L'enquêteur averti note alors une singularité : l'entreprise propriétaire « Foncière de rénovation » a eu son siège social au « 30 rue de Fleurus » en 2005. Or « Patrick » semble actionnaire d'une entreprise du même nom depuis 2014. On creuse un peu ?

Jusqu'à lors, 4 «transform » ont été appelées, 4 clics souris qui ont consommés 4 minutes de l'enquêteur, temps de lecture y compris

Lancer les « transform » sur la dite société et quelques unes de ses congénères commence à mettre à jour des liens entre les protagonistes de l'affaire.

La SCI « Fleurus Investissement », dont le siège social est également « rue de Fleurus », semble en rapport avec « Didier » par l'intermédiaire de la société « Stone Invest » et avec « Patrick » par l'intermédiaire de la société « Patrick Bolzer Participations ». Quel drôle de nom ! Un troisième compère apparait aussi à l'occasion, « André », qui semble avoir des parts de la boite et le contrôle sur la société liquidatrice « Alcinvest », « Fleurus Investissemnt » étant en effet fermée depuis 2021.

C'est alors que notre esprit d'enquêteur nous rappelle que « Didier » ne gérait pas que le syndic, mais était aussi l'assureur de la résidence. Or, il semble être impliqué dans plusieurs entreprises du même secteur. Il est peut-être temps d'aller creuser de ce côté ?

L'outil « Maltego » se charge de fusionner les entités similaires rapatriées de Pappers dans le graphique etfait apparaître les liens entre elles.

Lors de l'exploration, il peut arriver que certains nœuds ne soient pas reconnus comme uniques et donc pas fusionnés. Ce n'est pas la faute de notre outil ni de la plateforme « Pappers.fr » : parfois les informations des entreprises peuvent être approximatives, les noms orthographiés différemment. Et pas de souci de ce côté-là, le détail des entités permet de voir que les dates de naissance sont similaires. Maltego permet alors de fusionner ces entités pour corriger le graphe à la main.

Lors de cette fusion manuelle, le logiciel « Maltego » demande à l'enquêteur quelle entité doit être prioritaire. Pensez à bien sélectionner la plus complète.

Depuis nos dernières explorations, le graphe s'est déployé et de nouveaux liens entre les protagonistes sont apparus. Nous avons zoomé sur la partie intéressante, mais le petit écran en haut à droite montre que le graphe est bien plus grand.

On constate que « Didier » a été le liquidateur de la société « Les Assureurs associés » qui appartenait à « André ». Et on constate que « MCA Mediterranée Conseil Assurances », l'entreprise de « Didier » à eu son siège social au « 30 rue de Fleurus » entre 2005 et 2008. Ce « 30 rue de Fleurus », central dans une bonne part des entreprises du trio.

Une fois la première phase d'exploration terminée, il suffit de sélectionner les entités centrales, celles qui nous intéressent et les copier sur un « tableau blanc » tout neuf pour simplifier la lecture.

Le logiciel « Maltego » propose plusieurs choix pour l'organisation automatique des entités sur le « tableau blanc » : en cercle, hiérarchique, en fonction de leur poids, ...

Et revoilà cet esprit d'enquêteur qui vient nous titiller. Avant d'appartenir à la SCI « Foncière de rénovation », la résidence « Font Del Rey » appartenait à deux SCI distinctes : « Font Del Rey 1 » et « Font Del Rey 2 ». Et que faire de ces initiales, F.D.R, qui se répètent, ne serait-il pas intéressant de creuser de ce coté là ?

De retour sur le site « Pappers », nous cherchons manuellement les fiches de ces entreprises pour les rajouter sur notre enquête. Lancer les « transform » sur ces nouvelles entités commence à remonter quelques détails intéressants : elles ont, elles aussi, eu pour siège social ce fameux « 30 rue de Fleurus ». Mais les liens s'arrêtent là. La plateforme « Pappers » est efficace pour les informations actuelles, mais ne remonte pas dans le passé. Déjà, lors du procès à l'automne 2023, certains liens supplémentaires apparaissaient, disparus suite à la fermeture des entreprises en questions.

Alors, il faut un peu se remonter les manches et cliquer sur l'entité suspectée. À droite, une fenêtre apparait contenant la liste des actes officiels de la société avec leurs liens de téléchargement. Un clic plus tard, nous sommes plongés dans le pacte d'actionnaire de 2002 où nous trouvons le « Groupe d'Assurances Européenne » au contrôle des SCI.

Le logiciel « Maltego » permet ainsi de combiner recherches automatisées et ajustements manuels permettant de refléter avec pertinence les avancées de l'enquête

Nous avons créé l'entité « Groupe d'Assurances Européenne », rajouté les liens à la main et lancé les « transform » sur celle-ci. Dans un document officiel, nous tombons sur « Patrick » et « André », déjà à la manœuvre, contrôlant le GAE dès 1994 et celui-ci, toujours hébergé rue de Fleurus.

À ce stade, la piste se refroidit, mais notre tableau blanc, lui, s'est bien rempli.

Pour les « transform » « Pappers », l'histoire s'arrête là. Mais l'enquêteur pourrait poursuivre en lançant d'autres « transforms » inclues dans le logiciel « Maltego ». Affaire à suivre.

Le procès se concentrait sur une courte période, de 2016 à 2021. Suite au jugement, la SCI propriétaire et son gérant Patrick Bolzer sont acquittés, un doute subsistant « quant à la nature manifestement délibéré de leur intention », du fait de l'éloignement physique.

En se plongeant dans les sources ouvertes disponibles sur Internet, en quelques clics, nous montrons que lorsqu'on élargit la focale et qu'on remonte jusque dans les années 90, les protagonistes de l'affaire présidaient déjà aux destinées de l'immeuble. Et face à cela, n'ont-ils pas une responsabilité pour son état actuel ?

Si vous aussi avez envie de vous lancer dans l'exploration des montages corporatistes, l'outil est en accès libre, c'est par là :

https://github.com/Reflets-info/maltego-tools

Et en attendant, n'oubliez pas :

Soutenez la phase II de nos développements d'outils d'investigation numérique (OSINT)

Découvrez ce que les outils d'investigation numérique peuvent apporter au journalisme d'investigation traditionnel et comment nous nous apprêtons à les industrialiser. Après les DrahiLeaks, nous avons besoin de vous pour pouvoir vous apporter de nouvelles révélations grâce à ces outils.

Participez à notre cagnotte sur J'aime l'Info.