Depuis 2016, de nombreuses études suggèrent l’implication des services de renseignement russes dans des opérations en ligne de manipulation de l’information. De l’Internet Research Agency (IRA) aux campagnes Secondary Infektion et Ghostwriter, les méthodes supposément employées par le gouvernement russe pour influencer et décrédibiliser en-dehors de ses frontières ont été largement documentées. Toutefois, peu semblent encore avoir eu l’occasion d’alerter sur les efforts du renseignement extérieur russe pour contrôler l’audience intérieure de la Russie. Après avoir découvert plus d’un millier de sites Internet russophones liés au GRU, le renseignement militaire russe, OpenFacto les a cartographié pour reconstituer leur stratégie et objectifs réels, dans un paysage déjà saturé par les médias fidèles au Kremlin.
L’étude de ces sites révèle qu’InfoRos, une agence de presse servant de société-écran au GRU, est employée depuis au moins 2012 pour tenter de maîtriser les sources d’information locales dans l’ensemble de la Russie. En enregistrant au moins 1.341 « portails d’information » numériques rattachés à des villes, agglomérations, districts ou même villages, InfoRos a créé un réseau centralisé de porte-voix diffusant subrepticement la rhétorique du gouvernement russe. Si ce réseau de coquilles vides se contente majoritairement de copier-coller des contenus anodins, il distille en effet à échéance régulière des articles pro-gouvernementaux ou anti-occidentaux provenant d’une même source, InfoRos. Les sites étudiés ne seraient donc que des caisses de résonance relayant une ligne éditoriale définie par le GRU, dont le mandat se limite théoriquement à l’extérieur de la Fédération de Russie.
Le rapport ci-dessous présente la méthode de découverte de ces sites et les hypothèses qui peuvent être tirées de l’analyse des noms de domaines enregistrés, des localités russes qu’ils ciblent, et de la chronologie de leur création. L’objectif principal est de pouvoir en inférer les objectifs poursuivis par le GRU InfoRos – en particulier dans l’espace numérique. Cette étude sera également l’occasion de présenter certains outils et services permettant d’explorer le « Ru.net », ce segment russe et russophone d’Internet encore peu connu. Pour ce faire, nous reviendrons tout d’abord sur l’identité d’InfoRos, ainsi que sur sa place singulière dans l’écosystème russe de « contrôle informationnel » en ligne.
OpenFacto était représentée à la Conférence EUDisinfolab, qui s’est tenue à Bruxelles 26-27 octobre 2021 et vous propose ce compte-rendu agrémenté de quelques reflexions.
Conférence EUDisinfolab, 26-27 octobre 2021 Bruxelles
Paysage de la désinformation aujourd’hui
Paysage européen de la désinformation
La conférence EUDisinfolab a permis de faire le tour de nombreuses campagnes de désinformation qui ont touché les pays européens. Toutes avaient un but commun : déstabiliser les instances décisionnaires et polariser le débat public. De plus, il a été souligné que les écosystèmes de la désinformation devenaient de plus en plus complexes et que de nouveaux acteurs y entraient tous les jours.
La Lituanie ainsi que les Balkans sont ciblés par des campagnes de désinformations russes (et biélorusse) notamment sur les questions migratoires. Et, en Europe de l’Est, Daniel Fazekas (fondateur de Bamako.Social) relève quatre tendances majeures. Tout d’abord, l’institutionnalisation de la désinformation (en Hongrie, les médias proches du pouvoir ont propagé des infox faisant un lien entre immigration et arrive de l’épidémie) ; la dénonciation d’un ennemi intérieur (ONG, libéraux ou encore communautés LGBTQ+ en Hongrie) ; pourtant, en Hongrie encore, la propagande semble s’essouffler. À titre d’exemple, les médias pro-Orban engagent 20 fois moins que les médias anti-Orban. Enfin, des défis asymétriques apparaissent, en effet, de nouveaux médias issus du crowdfunding naissent, notamment sur YouTube en proposant des standards journalistiques de haut niveau.
Raquel Miguel Serrano, chercheuse au EUDisinfolab a également souligné que la désinformation qui a touché les élections fédérales allemandes a particulièrement ciblé les candidats verts, sachant que la candidate A. Baerbock a notamment subi une vague de désinformation sexiste ; ce type de campagne de désinformation genrée étant très employée en ce moment.
Économie de la désinformation
Suivre les enjeux financiers afin de caractériser une campagne de désinformation a autant d’importance dans la partie recrutement, à l’instar de l’exemple repris par Charlie Haynes, journaliste à la BBC, du Fazzegate où la Russie a offert de l’argent a des influenceurs pour répandre de la désinformation sur le vaccin produit par Pfizer ; que dans le business model des plateformes elles-mêmes. En effet, on se rend compte que lorsque la question financière entre en jeu, les plateformes ne gèrent plus la désinformation et n’offrent plus la transparence que les sociétés civiles seraient à même de leur réclamer.
Les campagnes de désinformation, à l’instar des campagnes cyber sont protéiformes. Il faut donc prendre en compte simultanément les différentes couches qui les caractérisent. La question financière en recouvre plusieurs, mais la question du financement des campagnes et des publicités ciblées présentent sur les réseaux sociaux sont particulièrement prégnantes.
Prévalence de l’anglais
Emerson T. Brooking (chercheur affilié au DFRLAb) revient sur le fait que plateformes étant en grande majorité américaines, leur travail de modération et leurs algorithmes sont surtout gérés en anglais. Ce qui crée une asymétrie dans la gestion de la désinformation dans les différents pays, biaise les instances de modération et crée d’importantes failles de sécurité.
So what?
Un besoin de normes et de standards
De nombreux interlocuteurs de la conférence ont souligné l’importance de travailler en collaboration avec les citoyens, les administrations publiques, le secteur privé car, pour répondre à la désinformation en tant qu’élément essentiel d’une activité d’ingérence structurellement hybride, la réponse elle-même doit être hybride. Cela demande tout d’abord une exigence de transparence, aussi bien des politiques que des méthodes journalistes, des algorithmes des plateformes ou du travail de débunkage des instances qui en ont la charge. Mais cela demande aussi de mettre en place des stratégies nationales et transnationales et, enfin, de travailler à la dimension normative de la description des campagnes de désinformation ainsi que le souligne Lutz Guellner, chef de la division des communications stratégiques au SEAE.
Il s’agit donc, à terme, de voir s’il est possible de créer une approche commune pour avoir des éléments de comparaison et pouvoir mettre en place des standards méthodologiques. Concernant la caractérisation des campagnes de désinformation, il importe de construire des ponts entre les différentes institutions pour éclairer les preuves. C’est-à-dire que les éléments investigués doivent pouvoir être partagés, mais il faut pouvoir également réfléchir à l’articulation des preuves qualitatives, quantitatives dans la description des campagnes de désinformation. Sous quelles formes, dans quelles normes, et de quelle manière seront-elles archivées ? A l’instar des pratiques OSINT, la qualité de la preuve facilitera sa validité ainsi qu’à terme le travail d’attribution de ces campagnes.
Stephen Turner, directeur des affaires publiques européennes sur Twitter est intervenu notamment pour expliquer comment le compte de D. Trump avait été supprimé de la plateforme, sachant que cette décision était intervenue après la mise en place de tout un ensemble de mesures prise à son encontre. Cependant, de nombreux éléments restent trop obscurs dans la définition d’éléments de modération sur les plateformes de réseaux. Sans transparence et sans norme, on peut tout à fait douter de la bonne foi de ce travail de modération.
Enfin, l’importance donnée à une campagne de désinformation peut-être éminemment politique et subjective. On a besoin de normes et de créer des standards pour mesurer l’impact de la désinformation, sortir de cette subjectivité et permettre une réponse ou une action face à une campagne de désinformation. (cf. les échelles de mesure proposées respectivement par Ben Nimmo et Ruurd Oosterwoud).
Figure 1. The Breakout Scale de Ben Nimmo
Catégorie 1 = aucune interaction avec l’extérieur
Catégorie 2 = amplification sur plusieurs plateformes par le biais de comptes inauthentiques
Catégorie 3 = urgence ! Multiples points de sortie sur multiples plateformes.
Catégorie 4 = les profils inauthentiques performent plus que les profils officiels
Catégorie 5 = une personnalité relaie l’information
Dans la lutte contre la désinformation, on cherche à savoir comment ramener les personnes à la réalité. Or à l’instar de la lutte contre la radicalisation, l’éducation à la désinformation prend du temps ainsi que le souligne Eliot Higgins, fondateur de Bellingcat. On ne peut pas se contenter d’un travail de débunkage qui a finalement une portée très limitée. Tout d’abord parce qu‘il se déroule sur des instances où ses conclusions ont moins de portée que la désinformation elle-même ensuite, parce qu’il est important que les gens y soient eux-mêmes sensibilisés et éduqués. Plusieurs intervenants et notamment le Dr Mathias Wargon, sont revenus sur la responsabilité des médias plus que des réseaux sociaux, dans la désinformation. Parce que les journalistes, par exemple, manquent de culture scientifique, parce qu’ils ne s’obligent pas à un débat réellement contradictoire. Car, en effet, s’il l’on s’écharpe sur les réseaux sociaux, les conséquences réelles finalement sont liées à ce qui est diffusés dans les médias eux-mêmes.
Digital service Act
La fin de la conférence a été l’occasion d’une présentation par Thomas Granjouan (EuDisinfolab), du Digital service Act (DSA), c’est-à-dire une proposition de lois pour la régularisation des plateformes.
Les points positifs soulignés sont les suivants : ce système peut être utilisé pour mettre en place un système de traitement des plaintes, pour demander la transparence sur les systèmes de recommandation, permet la mise en place d’audits sur les algorithmes ou bien encore d’imposer des sanctions ou de lourdes amendes en cas de non-conformité. Cependant, cette loi sur les services numériques ne prévoit aucune sanction contre l’inaction des plateformes, n’applique aucun code de conduite sur les publicités ou la désinformation présentent sur celles-ci. Enfin, elle n’élargit pas suffisamment l’accès aux données (manque de transparence en cause, encore un fois) et pose un problème sur lequel EuDisinfolab ainsi que Věra Jourová (vice-présidente de la commission européenne) sont revenus : la problématique de l’exemption des médias. Si la loi européenne propose de régulariser la modération de contenu sur les sites de grandes compagnies comme Google ou Facebook, l’exemption de cette modération appliquée aux médias est la porte ouverte à une désinformation sans précédent.
Pour conclure sur ces différentes interventions, il a été maintes fois répété que la construction d’une société résiliente aux campagnes de désinformation se construit sur l’éducation à long terme de la société civile sur ses méthodes aussi bien que sur une collaboration des différentes instances (civiles, administratives, privés…) qui la constitue. Les notions de transparence : des médias, des plateformes tout autant que dans le monitoring de la désinformation par une entité gouvernementale ainsi que la création d’un cadre réglementaire et la mise en place de normes ont été régulièrement invoqués comme éléments structurants dans la lutte contre la désinformation. Cette lutte se joue sur tous les fronts simultanément.
Lors de la préparation d’un atelier, on s’est demandé s’il fallait absolument savoir coder ou utiliser des outils un peu compliqués à manipuler pour détecter et visualiser une campagne de désinformation ou misinformation. Ou bien est-il possible de la détecter et cartographier rapidement avec un peu de méthode et quelques clics? Tentative d’oulipo numérique pour lequel on a banni les mots python et Gephi du billet.
Avouez qu’on ne fait pas meilleur mannequin pour memes viraux
Cadrer l’étude de la campagne avec le AMITT Framework
On aime assez l’approche de COGSEC Collaborative – pour Cognitive Security – une ONG qui s’est donnée pour mission de mettre dans la même pièce des analystes en sécurité informatique, des scientifiques big data et des experts du domaine pour approcher les campagnes de désinformation comme des attaques informatiques et y appliquer la même analyse pour définir des contre-mesures. Ils se sont donc inspirés d’un cadre de modélisation des procédés d’intrusion dans un système informatique – le MITRE ATT&CK framework .
Le AMITT Framework pour Adversarial Misinformation and Influence Tactics and Techniques est donc un cadre d’analyse pour décrire et comprendre les “incidents” de désinformation (pour reprendre la terminologie de sécurité informatique). Il est intéressant de noter que l’analyste va détecter la campagne par les artifices mis en place dans le cadre de la désinformation: comptes Facebook, faux sites, memes pour remonter jusqu’à la détection d’une véritable campagne mise en oeuvre.
@COGSEC Collaborative
Cette modélisation permet de décrire de manière systématique et organisée une campagne de désinformation ou de contre-mesures mais aussi de cadre sa recherche sur la base de douze catégories décrites ici.
COGSEC Collaborative propose un module interactif en ligne qui permet de rapidement ajouter la technique utilisée dans la campagne étudiée. Utiles les onze premières catégories (la dernière correspond à l’évaluation de la campagne) fonctionnent un peu comme une check-list des grands axes à investiguer. Comme l’observateur détecte la campagne de désinformation d’abord par sa rencontre avec des artéfacts visibles, on débutera par la droite de la matrice.
Go physical – la partie visible et extrême de l’iceberg
La manifestation physique d’une campagne de désinformation est pour le moment assez rare – quoi que – et consiste en un résultat dans le monde physique incité en ligne: organisation de manifestation ou regroupement, vente/achat de produits dérivés ou encore organisation de fausses missions d’observation électorale. Ici l’idée consiste à établir un lien entre l’événement physique et une origine numérique. Un monitoring live des événements sur un Tweetdeck et à une recherche des groupes appelant à aller manifester par exemple permet de spotter des indicateurs d’une campagne potentielle comme un hashtag, des comptes « porte parole« , des communautés et du contenus image et narratifs.
Exposure – le défi du plus grand nombre
Voir et revoir la même histoire sur plusieurs réseaux sociaux fait partie de la phase d’amplification de la campagne de désinformation. Plusieurs outils en ligne permettent d’appréhender le niveau d’amplification d’une campagne potentielle.
GetdayTrend permet de détecter les tendances virales mondialement ou par pays en se basant sur la popularité des hashtags. L’outil permet un coup d’oeil rapide et une recherche par période temporelle.
Hoaxy permet de visualiser les différentes communautés sur Twitter autour d’un hashtag et d’identifier des bots potentiels avec le code couleur proposé par l’outil.
Telegram Analytics offre des beaux graph sur le volume de messages comprenant la mention d’un mot clef.
Et de manière plus simple, voir le nombre de groupes ou pages créés sur Facebook, l’existence de channels Telegram dédiés ou la prévalence d’un hashtag sur instagram ou une simple recherche google avec une mention différenciant donne une bonne indication de l’amplitude de la campagne. Nous n’avons pas connaissance néanmoins d’un outil permettant d’identifier globalement la première mention d’un message servant d’inoculation à la campagne.
Channel selection – faire l’état des lieux de la propagation de la campagne
Manuellement on pourra établir la présence de la campagne sur différentes plateformes et sites internet en recherchant chacune des plateformes. Crowd Tangle propose une extension sur Chrome permettant de suivre la propagation d’une url sur les réseaux sociaux appartenant à Facebook.
Develop content – détecter les messages de la campagne et leurs formes
Rien ne vaut un bon feuillet excel pour cartographier l’ensemble des narratifs – les grands thèmes – d’une campagne de désinformation en fonction des plateformes sur lesquelles la campagne se déroule. Cela permet notamment d’identifier parfois des différences de stratégies entre les thématiques poussées sur un Télégram versus un Facebook. En plus des thématiques, il est intéressant de détecter les images, vidéo, memes utilisés et poussés notamment avec la fonction reverse image.
Develop network où comprendre comment l’information voyage
La difficulté dans l’analyse d’une campagne de désinformation est d’établir des liens entre des plateformes ou des éléments qui donnent l’impression d’être différents. Essayer de trouver des points communs entre plusieurs sites internets passe par l’étude préliminaire de tout un tas d’éléments:
l’étude qualitative du design d’un site internet et de son contenu permet d’établir parfois des hypothèses ou rebondir
Des designs similaires
Des pistes pour établir un lien entre ces trois sites
L’étude du nom de domaine via un site comme ici ou là
Des dates de création et localisation presque similaires
un outil comme spyonweb permet de lier les sites internet gérés par une même personne par leur code Google Analytics que l’on trouve dans le code source de la page en faisant un click droit et en cherchant le format « UA-xxxx » .
Develop People – est-ce que cette personne existe?
Les conversations et les messages sont poussés par des comptes qui sont les pivots de la campagne de désinformation: influenceurs conscients ou cyber robots? Ils sont au coeur des nodes de communication identifiés plus haut. Il est de plus en plus difficile de déterminer s’il s’agit de comptes réels, de comptes volés, de faux comptes animés par des humains ou de comptes automatisés.
En plus de l’observation précise de ces comptes d’intérêt quand ils sont sur des plateformes comme Facebook, Linkedin ou VK, des outils aident à la détection des comptes automatisés sur Twitter.
Botsentinel permet de donner un score à un compte pour identifier les bots: attention ce n’est pas infaillible.
Accountanalysis fait une analyse de l’activité du compte en question:
Les objectifs – le temps de l’analyse
Une fois tout ce travail effectué, le meilleur outil à disposition reste votre tête afin de mettre en musique l’ensemble des résultats trouvés lors des recherches pour essayer de comprendre le grand dessein d’une campagne de désinformation et son organisation.
Le temps et la capacité de traiter et représenter manuellement un très large volume de données pour y trouver des informations et des récurrences semblent être les limites franches de cet oulipo numérique. Néanmoins la méthode et les outils proposés permettent de déterminer s’il y a matière à creuser plus et d’informer les décideurs de l’existence d’une campagne. Utilisant les bonnes pratiques de la sécurité informatique, COGSEC propose d’ailleurs un modèle de contre-mesures pour répondre à ces événements.
