Les journalistes ont pu échanger avec les formateurs et prendre en main la méthodologie OSINT conçue par OpenFacto.
Ce week-end s’est tenu à Paris la seconde édition de l’atelier d’OSINT entre OpenFacto et SIRAJ mené par Liselotte Mas, présidente d’OpenFacto, et secondée de Sébastien Bourdon, vice-président.Une dizaine de journalistes syriens et libanais en exil en Europe ont répondu présent pour se former aux techniques d’investigation en ligne et à la méthodologie conçue par OpenFaco.
En plus de modules sur la mise en place du poste de travail, la vérification des images, les recherches en ligne, la géolocalisation, ou le tracking des avions et bateaux, les journalistes ont pu échanger autour de leurs travaux respectifs.
Mohammed Bassiki a présenté l’enquête de SIRAJ sur les filières d’exportation de phosphate syrien vers l’Europe, publié sur le site de SIRAJ et contenant notamment toute une partie sur le tracking des bateaux ayant transporté ce matériau.
Les journalistes Mohammed Bassiki, fondateur de SIRAJ, et Loujein Haj Youssef rédactrice-en-chef de Radio Rozana, ont ainsi complété un programme dense pour présenter une enquête collaborative récompensée et les fondamentaux du podcast dans le contexte politique moyen-oriental.
Loujein Haj Youssefa présenté plusieurs podcasts d’investigation et différentes techniques de narration pour les améliorer.
Open Facto espère avoir contribué à affuter méthodologiquement et outiller efficacement les journalistes syriens et libanais qui lui ont fait l’honneur et le plaisir de répondre à cette invitation, nous avons pour notre part beaucoup appris à leur contact durant ces deux journées.
Issus de formations diverses et résidant un peu partout en Europe, les journalistes ont pu apprendre mais aussi échanger autour de leurs pratiques respectives.
Cette collaboration débutée en 2019 continue de grandir, elle promet des fructueuses investigations. Malgré le drame que vit la Syrie, la détermination de ces journalistes pour documenter les exactions du régime de Bachar el-Assad et les complaisances d’acteurs étrangers est intacte.
Ce type de projet, financé et organisé à 100% par l’association, n’est possible que grâce à vos dons, adhésions et participations à nos formations. Si vous en avez l’envie et la possibilité, vous pouvez contribuer à nos activités en cliquant ici. Un grand merci à Fugazi, membre de l’association, pour avoir assuré la logistique et l’organisation de cet événement, ainsi que pour les photos.
Au printemps 2022, OpenFacto avait organisé un workshop sur un week-end sur le thème des crimes de guerre en Ukraine. Une équipe de la Radio Télévision Suisse avait profité de cet atelier pour tourner des images pour un documentaire sur le sujet.
Grâce à un processus d’enquête brillant et à l’accès aux sources pertinentes, le documentaire dépeint de manière vivante la guerre en Ukraine et l’importance de la documentation quotidienne des crimes commis par les troupes russes. Il montre également comment une nouvelle méthodologie est utilisée pour analyser les conflits de guerre, qui combine l’anthropologie avec l’analyse des contenus sur les réseaux sociaux ou la cartographie numérique. Avec ce prix, le jury veut non seulement reconnaître la valeur d’une œuvre de grande qualité, réalisée en un temps record pour raconter une histoire strictement contemporaine, mais aussi revendiquer l’importance du journalisme en période de violence à grande échelle, son rôle dans le dossier des éléments de preuve qui pourraient à l’avenir être utilisés dans un procès pour crimes de guerre ou crimes contre l’humanité.
Le 18 janvier 2022, OpenFacto a publié les premiers résultats de son enquête sur InfoRos, une « agence d’information » suspectée d’agir pour le compte du renseignement militaire russe, le GRU. Notre investigation portait sur un réseau d’un millier de sites Internet russophones créés et maintenus par InfoRos pour diffuser une rhétorique patriotique et anti-occidentale auprès de la population russe. Cette galaxie de portails ciblait des localités situées à travers toute la Russie, mais également des communautés spécifiques, dont des minorités ethniques et religieuses vivant en Crimée.
OpenFacto a poursuivi ses investigations sur lnfoRos, et publie aujourd’hui un second rapport sur les opérations numériques de l’agence russe. En se focalisant sur les anciens noms de domaine liés à InfoRos, des pivots techniques ont permis d’identifier près de 600 nouveaux portails administrés par InfoRos depuis l’an 2000. Cette nouvelle enquête porte donc à 1 945 le nombre total de noms de domaine connus de l’agence. Si la majorité d’entre eux a servi à constituer un ancrage informationnel local en Russie, OpenFacto a découvert plusieurs réseaux de sites ayant cherché à influer sur la politique de pays étrangers, ou à soutenir les intérêts diplomatiques, économiques, et militaires du gouvernement russe.
Comparées aux sites locaux décrits dans notre premier rapport, les techniques d’influence employées par ces réseaux sont radicalement plus pernicieuses : InfoRos a notamment soutenu des partis politiques sécessionnistes dans des pays de l’espace post-soviétique, joué sur des conflits historiques ou ethniques pour maintenir l’emprise de Moscou dans des zones de conflit, et financé des concours et des conférences à l’étranger pour promouvoir la coopération avec la Russie. En parallèle, l’agence n’a eu de cesse de marteler à la population russe et ses nouveaux alliés que « l’Occident » était hypocrite, menaçant, mais en voie de céder sa place à de nouveaux centres de puissance dont la Russie serait l’un des principaux représentants.
Pour ce faire, InfoRos s’est appuyée sur des structures locales et des agents d’influence originaires des pays visés, qui organisaient des événements physiques et faisaient valoir les positions russes auprès d’organisations internationales ou de leurs propres autorités. L’agence a également débauché des ressortissants de pays occidentaux acquis à la cause russe pour créer et diffuser des contenus favorables à la ligne éditoriale prescrite par le gouvernement russe. Des discours volontairement dirigés vers des publics considérées comme facilement influençables, tels que la jeunesse et les victimes de conflits armés.
Dans le contexte de l’invasion de l’Ukraine, lancée par la Russie le 24 février dernier, cette approche historique jette une lumière crue sur la stratégie d’influence numérique du GRU depuis le début des années 2000. En 20 ans, InfoRos a tissé une gigantesque toile de sites destinés à accompagner les intérêts stratégiques du pouvoir russe, faisant régulièrement évoluer ses objectifs, son discours et ses méthodes d’influence. Malgré les nombreuses publications sur ses activités, l’agence russe continue actuellement d’enregistrer des noms de domaine et d’exploiter les réseaux sociaux pour manipuler l’actualité, en tentant notamment de décrédibiliser le gouvernement de Kyiv et l’assistance qui lui est portée par les pays occidentaux.
Avant de présenter ces principaux réseaux historiques, nous retracerons dans une première partie le cours des activités d’InfoRos de fin janvier à mars 2022. Et pour cause, l’agence semble avoir réagi à la parution de notre première enquête, et démantelé depuis cette période une partie importante de son infrastructure. Cette réaction suggère qu’InfoRos a tenté de limiter l’exposition publique de son ciblage de la population russe. Enfin, nous proposons en conclusion de revenir sur deux aspects du travail d’InfoRos abordés dans le rapport de janvier, mais que nos nouvelles investigations ont permis de mieux cerner, à savoir la création de noms de domaine à finalité commerciale, et la répartition géographique des sites locaux en Russie.
Un résumé des principales découvertes d’OpenFacto sur l’évolution de la stratégie et des tactiques d’InfoRos est disponible à la fin de ce rapport, p. 71. La liste complète des 1 945 noms de domaines liés à InfoRos est par ailleurs accessible en cliquant les liens ci-dessous.
Crossover a découvert que les prédictions produites par la fonction d’autocomplétion de Google (Google autocomplete) proposait presque systématiquement le nom d’un média pro-Kremlin dès lors que des citoyens belges francophones recherchaient le terme « Donbass » dans le moteur de recherche. D’autres prédictions de Google proposent par ailleurs les noms d’individus notoirement pro-Kremlin.
Le 24 février 2022, Vladimir Poutine a lancé une « opération militaire spéciale » en Ukraine. Les yeux rivés sur l’Ukraine, l’Europe a regardé la Russie envahir ce pays. De nouveaux termes ont alors commencé à être prononcés par des journalistes, termes que beaucoup de personnes n’avaient jamais entendus auparavant : Kharkiv, Azov, dénazification, Boutcha, Donbass…
Quel est le réflexe désormais reconnu dès lors que quelqu’un entend un mot qu’il ne connaît pas ? Le googler. Selon les données de Google Trends, l’intérêt des utilisateurs belges pour le terme « Donbass » a augmenté de manière extrêmement importante, ceci se reflétant évidemment sur les tendances de recherches de Google.
Lorsqu’un utilisateur tape un certain mot sur le moteur de recherches de Google, la fonction de prédiction de la recherche essaie de deviner ce que l’utilisateur a en tête et propose de compléter le reste de la recherche, via un algorithme. Alors même qu’il tape, l’utilisateur voit s’afficher une boite proposant différentes prédictions, chacune lançant une recherche associée. Ce système est appelé Google Autocomplete Prediction.
Entre Février et Août 2022, quand les utilisateurs belges recherchaient des information sur le Donbass, Google Autocomplete Prediction complétait leur recherche avec des termes particulièrement douteux.
Notre investigation prouve que la recherche « Donbass » a été associé avec « Insider », « Anne Laure Bonnel », « Insider Christelle », parmi d’autres prédictions. En proposant le terme « Insider » comme complément de recherche de l’utilisateur, Google le dirigeait vers Donbass Insider, une source de propagande pro-Kremlin accusée de propager de la désinformation sur la guerre en Ukraine, et plus particulièrement sur le conflit au Donbass. Parfois, certains de ses canaux de communication associés, tels que Youtube ou Odysee, où sont produits le même genre de contenu, étaient également proposés.
Google proposait aussi l’expression « Anne Laure Bonnel », qui fait référence à « une journaliste française dont la visibilité a augmenté dès lors qu’elle eut présenté une analyse pro-russe du conflit au Donbass, y compris des informations trompeuses », selon ISD.
Enfin, la prédiction « Christelle » conduit à Christelle Néant, fondatrice de Donbass Insider qui bénéficie d’un solide réseaux de followers sur divers réseaux sociaux pour diffuser ses contenus et sa rhétorique pro-Kremlin.
Le 17 septembre 2022 s’est tenue l’Assemblée Générale de l’association OpenFacto à partie en présence d’une trentaine de membres de l’asso, en présentiel et en distanciel.
Après un bilan complet sur les activités de l’association ces douze derniers mois, et les projets à venir, le budget de l’association, présenté par notre formidable trésorier a été approuvé à l’unanimité.
Vous pouvez retrouver nos comptes sur la page d’accueil de notre site, ou en cliquant sur ce lien. Vous le constaterez, l’association, toujours auto-financée, se porte très bien grâce au travail de ses bénévoles et à une gestion saine!
Le point le plus important de cette AG était l’élection du bureau. En effet, après plus de trois années passées à la tête d’OpenFacto, Hervé avait indiqué l’an dernier son souhait de se mettre en retrait après un dernier mandat et de ne plus exercer aucun mandat officiel.
Ainsi, donc, habemus novum officium! Et élu à l’unanimité, qui plus est!
Présidente : Liselotte
Vice-présidente : Sébastien
Trésorier : 0skar
Membres du bureau : Eric, AnSo, Poline, Aurore, Adrien, Lolie
Nous souhaitons bon vent à cette nouvelle équipe, qui connaît déjà très bien OpenFacto, est en phase avec son esprit, et avec qui le témoin sera très facile à passer!
Retrouvez le compte-rendu de l’AG en cliquant sur ce lien.
Cet article est le fruit d’une enquête au long cours menée depuis juillet 2021 sur un acteur clef de la désinformation français, par OpenFacto et SourcesOuvertes sur Twitter en collaboration avec le site ConspiracyWatch. Il présente toutefois quelques nouveaux éléments d’identification et dresse un panorama méthodologique d’enquête sur la désinformation sur Internet. Les liens présents dans cet articles sont soit tronqués, soit présentés sous leur forme d’archive afin de ne pas générer de rétroliensde promotion du site.
1.98 millions de vues en juillet 2021…
Signalé en juillet 2021 sur Twitter par Tristan Mendès-France, le site internet de réinformation d’inspiration QAnon Qactus[.]fr présente à l’époque un nombre impressionnant de vues mensuelles selon https://www.similarweb.com/fr/ :
Si, ces trois derniers mois, son audience a quelque peu diminué, elle représente toujours plus d’un million de visiteurs mensuels. D’ailleurs le site lui-même en fait la promotion sur sa page, dans le footer (73.6+M de visites à la date de publication de cet article…).
Techniquement, Qactus est un blog hébergé par WordPress, et son nom de domaine est enregistré depuis le 6 mai 2020. Cette information est cohérente avec les premières traces de pages vues sur l’Internet Archive.
Ligne éditoriale
Si le site est très fréquenté, sa ligne éditoriale du site est prompte à mettre le lecteur dans un état profond (deep state… vous l’avez?) de perplexité :
Un GoogleDork assez basique montre par ailleurs que ce site recommandait également en 2021 des lectures très particulières…
Mais comment définir un peu plus précisément la ligne éditoriale de ce site?
En utilisant le logiciel libre Hyphe, il est possible en partant de ce site de collecter une grande partie des liens hypertextes contenus dans les 8.341 articles qu’il contient. De manière récursive, on applique la même technique sur ces liens découverts afin de vérifier si ceux-ci font également référence à des liens similaires ou à Qactus.
Jolifié à l’aide Gephi, il est dès lors possible de visualiser avec Retina les connexions entre ces liens, c’est à dire les citations communes et de repérer ainsi des sous-communautés d’intérêt.
On constate ici qu’à de très rares exceptions (quelques articles du Monde, du Mediapart ou du Guardian par exemple), l’essentiel des liens remontés sont issus de la sphère complotiste et/ou de réinformation, française ou internationale, et que ces sites, ou profils, se re-citent entre-eux, agissant comme une bulle informationnelle.
Une bulle efficace?
Avec un tel contenu mêlant notamment complot, antivax, antisémitisme, et admiration pro-russe, quel peut être l’impact de ses publications sur un réseau social? Qactus est officiellement absent de Twitter : son compte a été suspendu. Il utilise principalement Gab, Vk, Facebook et Telegram pour diffuser ses articles. Cependant, ses publications y sont régulièrement reprises. Or ce réseau présente plusieurs intérêts : il est assez grand-public pour toucher une audience plus large que les plateformes plus confidentielles telles que Gab, et contribuer ainsi à sa viralité, et il est possible pour nous de récupérer facilement des données par scraping.
En collectant avec snscrape l’intégralité des tweets encore disponibles et contenant l’expression « qactus[.]fr », il est possible d’obtenir une liste de 119.789 tweets depuis le 26 juin 2020 (ce qui représente un peu plus de 170 tweets par jour…). Il est important de prendre en compte à ce stade qu’il ne s’agit que d’une photographie à un instant précis des tweets actuellement visibles : des comptes aujourd’hui fermés ont pu relayer encore plus ce contenu par le passé. Le corpus ainsi remonté est toutefois assez conséquent et permet de tirer quelques enseignements sur cette bulle.
9.016 utilisateurs ont ainsi repris et diffusé ces liens sur la période concernée. Certains sont particulièrement prolixes. Après nettoyage des données brutes sous OpenRefine, et à l’aide du logiciel R, et de Rstudio, il est possible d’établir le palmarès des 50 plus gros promoteurs de qactus s’établit ainsi :
Note : Les identifiants ont été anonymisés et le décompte des tweets ne tient compte que des URLS uniques. A titre d’exemple le premier des promoteurs a posté à lui-seul 3.910 liens uniques qactus sur Twitter: un vrai fan.
Ainsi trois de ces utilisateurs cumulent plus de 9.000 retweets chacun sur leurs tweets embarquant des liens vers un post sur qactus, et d’autres utilisateurs réalisent eux aussi de jolies performances.
L’analyse des likes sur ces tweets est par ailleurs également intéressante :
L’ensemble de ces données permet de cartographier une douzaine de profils particulièrement influents qui diffusent avec beaucoup de succès les posts du blog :
Il pourrait être envisagé de produire d’autres types d’analyses sur l’ensemble de ce jeu de données, mais cette première approche permet de rapidement montrer que même en dehors de sa sphère habituelle d’évolution (les réseaux alternatifs), et par le truchement de comptes influents (inauthentiques ou bien réels), la diffusion de son contenu est bien réelle, régulière, et assez massive.
Plusieurs des comptes observés ici présentent les caractéristiques habituellement observées chez les trolls et désinformateurs :
Plusieurs comptes utilisant des pseudonymes séquentiels;
Des biographies surchargées d’émoji, de descriptions enthousiastes et guerrières, pro-trump, etc;
Des comptes très récents, postant peu de contenus propres et pourtant très suivis;
Du contenu directement relayé depuis Gab et probablement automatisé
etc…
Une hypothèse possible, mais non vérifiée, est que sous un ou plusieurs de ces comptes, se cache en réalité le webmaster du site Qactus.
Mais pourquoi la propagation de ce contenu est-elle une notion importante?
L’argent, le fuel de la désinformation
La désinformation est un ensemble de techniques de communication qui visent à tromper des personnes ou l’opinion publique pour protéger des intérêts, influencer l’opinion publique ou semer la discorde. Dans le cas de qactus, il est d’ailleurs possible de s’interroger ici si l’on est en présence de mésinformation (l’auteur croit que son information est réelle et la diffuse) ou de désinformation (l’auteur sait que l’information est fausse et la diffuse).
Mais une autre motivation est plus probable : l’appât financier.
En effet, si le site est hébergé sur la plateforme WordPress.com (le coût de maintenance est de l’ordre d’une vingtaine d’euros par mois), il n’en oublie pas moins de déclarer un traqueur publicitaire pour générer de l’argent… Il n’y a pas de petits profits.
extrait du code source de la page Qactus
Ce type de traqueurs permet de générer des revenus en revendant les données collectées à Google. S’il est très complexe de déterminer les sommes générées par ce site, il est possible de l’estimer à gros traits de deux manières :
Une simulation opérée sur le site de Google lui-même, pour un site d’information basé en Europe, sur l’estimation basse de 1.3M de visites mensuelles est susceptible de rapporter environ 32.500€ par an, ce qui est déjà, avouons le, plutôt confortable.
Cette estimation, minimale, est à peu près conforme à celles découvertes en recherchant sur Google les articles de blogueurs spécialisés sur le sujet.
Le créateur du site génère donc sans doute et avec l’appui de Google, des revenus complémentaires pour le moins intéressants.
Mais est-il possible de l’identifier?
Qui est Vanec71?
Deux profils de rédacteurs sont référencés sur le site : Laruche71, pseudonyme plutôt récent sur le site et Vanec71, auteur et administrateur historique du site. Le moteur du site étant basé sur WordPress, il est également possible de remonter ces pseudonymes d’auteurs via le dork Google suivant, classique et toujours très puissant :
Par le biais de l’outil Epieos, qui permet de voir comment et sur quels sites est utilisée une adresse e-mail, nous procédons au test de . A la base, la logique intrinsèque de l’outil de Epieos est de procéder à des tests à partir d’une adresse dont on sait qu’elle existe.
Mais rien n’empêche de l’utiliser avec des adresses « potentielles », non?
Commençons donc par tester une adresse Gmail… et le résultat parle de lui-même…
Grâce aux liens fournis par Epieos, nous découvrons que notre exquis webmaster a fait ses courses au Gifi du Creusot :
« Vanec Blue » (le nom renvoyé par Epieos) nous menait également fin 2021 vers une chaîne Youtube, avec deux vidéos peu vues :
Deux vidéos seulement et peu de vues… Ce n’est pourtant pas faute d’en assurer la promotion sur … la chaîne officielle « Qactus – L’Informateur », où on retrouve une des deux vidéos, élément liant un peu plus les deux comptes si besoin en était.
L’étape du mezze
A ce stade, nous avons recueilli quelques éléments intéressants, mais Il convient désormais de les mélanger :
Si le résultat n’est pas fameux sur Google, la même opération menée sur d’autres moteurs de recherches s’avérait beaucoup plus fructueuse en 2021. Ainsi, le moteur Qwant était un peu plus loquace :
Nous retrouvons alors deux de nos pivots, ainsi que plein de pivots supplémentaires :
S’agit il de la personne derrière le site conspirationniste à 1.98 million de vues ?
A ce stade, rien ne permet de l’attester complètement. On peut cependant objecter qu’en terme de probabilités, le pourcentage de personnes qui ont le même pseudonyme (assez signant), habitant dans la même ville de taille très moyenne (population du Creusot : 21887 personnes – 2015) est sans doute assez faible…
Passons la seconde…
Pour résoudre le mystère, on va utiliser l’équivalent du site HaveIBeenPwned. Ce site, qui est ouvert à tous moyennant un abonnement, permet de rechercher des identifiants et mots de passe à l’intérieur d’immenses bases de données ayant préalablement fuité sur internet, suite à des compromissions.
Une recherche sur Vanec71 donne rapidement trois informations clefs : un nom, un prénom et une nouvelle adresse mail chez Microsoft.
« Pat S » aurait-il une adresse au Creusot? Les pages jaunes sont nos amies…
Sacré Patoche…
Golfeur – on peut être QAnon et aimer les sports d’élite – « Pat S » a un profil sur Copains d’Avant indiquant qu’il a certainement vécu un temps à Carcassonne avant de revenir au pays.
Et évidemment, Patoche est bien présent sur VK ou Facebook, ce qui permet de vérifier l’ensemble de ces éléments.
Contacté à de nombreuses reprises, il n’a jamais retourné nos appels.
Pour conclure
A l’aide de quelques outils facilement accessibles, et d’un peu de méthodologie, il est possible d’analyser un de sites moteurs de la désinformation francophone et de constater qu’il est au centre d’un écosystème plus global :
Des liens d’affiliations avec toute la sphère réinformationnelle et complotiste anglophone et francophone
Une propagation virale déborde largement sur les réseaux sociaux conventionnels, avec une communauté forte qui porte et amplifie le message
Une saturation de l’espace médiatique sur les thèmes récurrents de la réinformation et du complot
Un intérêt financier certain, pour un personnage très discret