14 février 2021

La détection de la désinformation sans coder

Par Sébastien

Lors de la préparation d’un atelier, on s’est demandé s’il fallait absolument savoir coder ou utiliser des outils un peu compliqués à manipuler  pour détecter et visualiser une campagne de désinformation ou misinformation. Ou bien est-il possible de la détecter et cartographier rapidement avec un peu de méthode et quelques clics? Tentative d’oulipo numérique pour lequel on a banni les mots python et Gephi du billet.

Donald Trump Says "Fake News" - Compilation - YouTube
Avouez qu’on ne fait pas meilleur mannequin pour memes viraux

Cadrer l’étude de la campagne avec le AMITT Framework

On aime assez l’approche de COGSEC Collaborative – pour Cognitive Security – une ONG qui s’est donnée pour mission de mettre dans la même pièce des analystes en sécurité informatique, des scientifiques big data et des experts du domaine pour approcher les campagnes de désinformation comme des attaques informatiques et y appliquer la même analyse pour définir des contre-mesures. Ils se sont donc inspirés d’un cadre de modélisation des procédés d’intrusion dans un système informatique – le MITRE ATT&CK framework

Le AMITT Framework pour Adversarial Misinformation and Influence Tactics and Techniques est donc un cadre d’analyse pour décrire et comprendre les “incidents” de désinformation (pour reprendre la terminologie de sécurité informatique).   Il est intéressant de noter que l’analyste va détecter la campagne par les artifices mis en place dans le cadre de la désinformation: comptes Facebook, faux sites, memes pour remonter jusqu’à la détection d’une véritable campagne mise en oeuvre. 

@COGSEC Collaborative

Cette modélisation permet de décrire de manière systématique et organisée une campagne de désinformation ou de contre-mesures mais aussi de cadre sa recherche sur la base de douze catégories décrites ici.

COGSEC Collaborative propose un module interactif en ligne qui permet de rapidement ajouter la technique utilisée dans la campagne étudiée. Utiles les onze premières catégories (la dernière correspond à l’évaluation de la campagne) fonctionnent un peu comme une check-list des grands axes à investiguer. Comme l’observateur détecte la campagne de désinformation d’abord par sa rencontre avec des artéfacts visibles, on débutera par la droite de la matrice.

Go physical – la partie visible et extrême de l’iceberg

La manifestation physique d’une campagne de désinformation est pour le moment assez rare – quoi que – et consiste en un résultat dans le monde physique incité en ligne: organisation de manifestation ou regroupement, vente/achat de produits dérivés ou encore organisation de fausses missions d’observation électorale. Ici l’idée consiste à établir un lien entre l’événement physique et une origine numérique. Un monitoring live des événements sur un Tweetdeck et à une recherche des groupes appelant à aller manifester par exemple permet de spotter des indicateurs d’une campagne potentielle comme un hashtag, des comptes « porte parole« , des communautés et du contenus image et narratifs.

Exposure – le défi du plus grand nombre

Voir et revoir la même histoire sur plusieurs réseaux sociaux fait partie de la phase d’amplification de la campagne de désinformation. Plusieurs outils en ligne permettent d’appréhender le niveau d’amplification d’une campagne potentielle.

GetdayTrend permet de détecter les tendances virales mondialement ou par pays en se basant sur la popularité des hashtags. L’outil permet un coup d’oeil rapide et une recherche par période temporelle.

Hoaxy permet de visualiser les différentes communautés sur Twitter autour d’un hashtag et d’identifier des bots potentiels avec le code couleur proposé par l’outil.

Telegram Analytics offre des beaux graph sur le volume de messages comprenant la mention d’un mot clef.

Et de manière plus simple, voir le nombre de groupes ou pages créés sur Facebook, l’existence de channels Telegram dédiés ou la prévalence d’un hashtag sur instagram ou une simple recherche google avec une mention différenciant donne une bonne indication de l’amplitude de la campagne. Nous n’avons pas connaissance néanmoins d’un outil permettant d’identifier globalement la première mention d’un message servant d’inoculation à la campagne.

Channel selection – faire l’état des lieux de la propagation de la campagne

Manuellement on pourra établir la présence de la campagne sur différentes plateformes et sites internet en recherchant chacune des plateformes. Crowd Tangle propose une extension sur Chrome permettant de suivre la propagation d’une url sur les réseaux sociaux appartenant à Facebook.

Develop content – détecter les messages de la campagne et leurs formes

Rien ne vaut un bon feuillet excel pour cartographier l’ensemble des narratifs – les grands thèmes – d’une campagne de désinformation en fonction des plateformes sur lesquelles la campagne se déroule. Cela permet notamment d’identifier parfois des différences de stratégies entre les thématiques poussées sur un Télégram versus un Facebook. En plus des thématiques, il est intéressant de détecter les images, vidéo, memes utilisés et poussés notamment avec la fonction reverse image.

Develop network où comprendre comment l’information voyage

La difficulté dans l’analyse d’une campagne de désinformation est d’établir des liens entre des plateformes ou des éléments qui donnent l’impression d’être différents. Essayer de trouver des points communs entre plusieurs sites internets passe par l’étude préliminaire de tout un tas d’éléments:

  • l’étude qualitative du design d’un site internet et de son contenu permet d’établir parfois des hypothèses ou rebondir
  • L’étude du nom de domaine via un site comme ici ou
  • un outil comme spyonweb permet de lier les sites internet gérés par une même personne par leur code Google Analytics que l’on trouve dans le code source de la page en faisant un click droit et en cherchant le format « UA-xxxx » .

Develop People – est-ce que cette personne existe?

Les conversations et les messages sont poussés par des comptes qui sont les pivots de la campagne de désinformation: influenceurs conscients ou cyber robots? Ils sont au coeur des nodes de communication identifiés plus haut. Il est de plus en plus difficile de déterminer s’il s’agit de comptes réels, de comptes volés, de faux comptes animés par des humains ou de comptes automatisés.

En plus de l’observation précise de ces comptes d’intérêt quand ils sont sur des plateformes comme Facebook, Linkedin ou VK, des outils aident à la détection des comptes automatisés sur Twitter.

Botsentinel permet de donner un score à un compte pour identifier les bots: attention ce n’est pas infaillible.

Accountanalysis fait une analyse de l’activité du compte en question:

Les objectifs – le temps de l’analyse

Une fois tout ce travail effectué, le meilleur outil à disposition reste votre tête afin de mettre en musique l’ensemble des résultats trouvés lors des recherches pour essayer de comprendre le grand dessein d’une campagne de désinformation et son organisation.

Le temps et la capacité de traiter et représenter manuellement un très large volume de données pour y trouver des informations et des récurrences semblent être les limites franches de cet oulipo numérique. Néanmoins la méthode et les outils proposés permettent de déterminer s’il y a matière à creuser plus et d’informer les décideurs de l’existence d’une campagne. Utilisant les bonnes pratiques de la sécurité informatique, COGSEC propose d’ailleurs un modèle de contre-mesures pour répondre à ces événements.

Rejoignez notre mission.

Adhérez à OpenFacto, et faites de l’OSINT un standard en France.