InfoRos : Les réseaux historiques d’influence

InfoRos : Les réseaux historiques d’influence

Le 18 janvier 2022, OpenFacto a publié les premiers résultats de son enquête sur InfoRos, une « agence d’information » suspectée d’agir pour le compte du renseignement militaire russe, le GRU. Notre investigation portait sur un réseau d’un millier de sites Internet russophones créés et maintenus par InfoRos pour diffuser une rhétorique patriotique et anti-occidentale auprès de la population russe. Cette galaxie de portails ciblait des localités situées à travers toute la Russie, mais également des communautés spécifiques, dont des minorités ethniques et religieuses vivant en Crimée.

OpenFacto a poursuivi ses investigations sur lnfoRos, et publie aujourd’hui un second rapport sur les opérations numériques de l’agence russe. En se focalisant sur les anciens noms de domaine liés à InfoRos, des pivots techniques ont permis d’identifier près de 600 nouveaux portails administrés par InfoRos depuis l’an 2000. Cette nouvelle enquête porte donc à 1 945 le nombre total de noms de domaine connus de l’agence. Si la majorité d’entre eux a servi à constituer un ancrage informationnel local en Russie, OpenFacto a découvert plusieurs réseaux de sites ayant cherché à influer sur la politique de pays étrangers, ou à soutenir les intérêts diplomatiques, économiques, et militaires du gouvernement russe.

Comparées aux sites locaux décrits dans notre premier rapport, les techniques d’influence employées par ces réseaux sont radicalement plus pernicieuses : InfoRos a notamment soutenu des partis politiques sécessionnistes dans des pays de l’espace post-soviétique, joué sur des conflits historiques ou ethniques pour maintenir l’emprise de Moscou dans des zones de conflit, et financé des concours et des conférences à l’étranger pour promouvoir la coopération avec la Russie. En parallèle, l’agence n’a eu de cesse de marteler à la population russe et ses nouveaux alliés que « l’Occident » était hypocrite, menaçant, mais en voie de céder sa place à de nouveaux centres de puissance dont la Russie serait l’un des principaux représentants.

Pour ce faire, InfoRos s’est appuyée sur des structures locales et des agents d’influence originaires des pays visés, qui organisaient des événements physiques et faisaient valoir les positions russes auprès d’organisations internationales ou de leurs propres autorités. L’agence a également débauché des ressortissants de pays occidentaux acquis à la cause russe pour créer et diffuser des contenus favorables à la ligne éditoriale prescrite par le gouvernement russe. Des discours volontairement dirigés vers des publics considérées comme facilement influençables, tels que la jeunesse et les victimes de conflits armés.

Dans le contexte de l’invasion de l’Ukraine, lancée par la Russie le 24 février dernier, cette approche historique jette une lumière crue sur la stratégie d’influence numérique du GRU depuis le début des années 2000. En 20 ans, InfoRos a tissé une gigantesque toile de sites destinés à accompagner les intérêts stratégiques du pouvoir russe, faisant régulièrement évoluer ses objectifs, son discours et ses méthodes d’influence. Malgré les nombreuses publications sur ses activités, l’agence russe continue actuellement d’enregistrer des noms de domaine et d’exploiter les réseaux sociaux pour manipuler l’actualité, en tentant notamment de décrédibiliser le gouvernement de Kyiv et l’assistance qui lui est portée par les pays occidentaux.

Avant de présenter ces principaux réseaux historiques, nous retracerons dans une première partie le cours des activités d’InfoRos de fin janvier à mars 2022. Et pour cause, l’agence semble avoir réagi à la parution de notre première enquête, et démantelé depuis cette période une partie importante de son infrastructure. Cette réaction suggère qu’InfoRos a tenté de limiter l’exposition publique de son ciblage de la population russe. Enfin, nous proposons en conclusion de revenir sur deux aspects du travail d’InfoRos abordés dans le rapport de janvier, mais que nos nouvelles investigations ont permis de mieux cerner, à savoir la création de noms de domaine à finalité commerciale, et la répartition géographique des sites locaux en Russie.

Un résumé des principales découvertes d’OpenFacto sur l’évolution de la stratégie et des tactiques d’InfoRos est disponible à la fin de ce rapport, p. 71. La liste complète des 1 945 noms de domaines liés à InfoRos est par ailleurs accessible en cliquant les liens ci-dessous.

Télécharger le rapport.

Télécharger la liste des domaines.

Comment la fonction d’autocomplétion de Google aide à la diffusion de désinformation sur le Donbass

Comment la fonction d’autocomplétion de Google aide à la diffusion de désinformation sur le Donbass

Crossover a découvert que les prédictions produites par la fonction d’autocomplétion de Google (Google autocomplete) proposait presque systématiquement le nom d’un média pro-Kremlin dès lors que des citoyens belges francophones recherchaient le terme « Donbass » dans le moteur de recherche. D’autres prédictions de Google proposent par ailleurs les noms d’individus notoirement pro-Kremlin.

Le 24 février 2022, Vladimir Poutine a lancé une « opération militaire spéciale » en Ukraine. Les yeux rivés sur l’Ukraine, l’Europe a regardé la Russie envahir ce pays. De nouveaux termes ont alors commencé à être prononcés par des journalistes, termes que beaucoup de personnes n’avaient jamais entendus auparavant : Kharkiv, Azov, dénazification, Boutcha, Donbass…

Quel est le réflexe désormais reconnu dès lors que quelqu’un entend un mot qu’il ne connaît pas ? Le googler. Selon les données de Google Trends, l’intérêt des utilisateurs belges pour le terme « Donbass » a augmenté de manière extrêmement importante, ceci se reflétant évidemment sur les tendances de recherches de Google.

Lorsqu’un utilisateur tape un certain mot sur le moteur de recherches de Google, la fonction de prédiction de la recherche essaie de deviner ce que l’utilisateur a en tête et propose de compléter le reste de la recherche, via un algorithme. Alors même qu’il tape, l’utilisateur voit s’afficher une boite proposant différentes prédictions, chacune lançant une recherche associée. Ce système est appelé Google Autocomplete Prediction.

Entre Février et Août 2022, quand les utilisateurs belges recherchaient des information sur le Donbass, Google Autocomplete Prediction complétait leur recherche avec des termes particulièrement douteux.

Notre investigation prouve que la recherche « Donbass » a été associé avec « Insider », « Anne Laure Bonnel », « Insider Christelle », parmi d’autres prédictions. En proposant le terme « Insider » comme complément de recherche de l’utilisateur, Google le dirigeait vers Donbass Insider, une source de propagande pro-Kremlin accusée de propager de la désinformation sur la guerre en Ukraine, et plus particulièrement sur le conflit au Donbass. Parfois, certains de ses canaux de communication associés, tels que Youtube ou Odysee, où sont produits le même genre de contenu, étaient également proposés.

Google proposait aussi l’expression « Anne Laure Bonnel », qui fait référence à « une journaliste française dont la visibilité a augmenté dès lors qu’elle eut présenté une analyse pro-russe du conflit au Donbass, y compris des informations trompeuses », selon ISD.

Enfin, la prédiction « Christelle » conduit à Christelle Néant, fondatrice de Donbass Insider qui bénéficie d’un solide réseaux de followers sur divers réseaux sociaux pour diffuser ses contenus et sa rhétorique pro-Kremlin.

Retrouvez cette enquête menée par CheckFirst, OpenFacto et Apache, pour le projet CrossOver en cliquant sur ce lien ou sur l’image ci-dessous..

Conférence : La nouvelle politique russe en Afrique

Conférence : La nouvelle politique russe en Afrique

Ces dernières semaines, la présence d’instructeurs et mercenaires russes au Mali a été l’objet d’une médiatisation soutenue, en France et en Europe. Si certains y voient le signe du “grand retour” de la Russie en Afrique, d’autres rappellent qu’il s’agit avant tout d’une communication maîtrisée.

Nous parlons beaucoup trop de Wagner et nous avons tort”. Arnaud Kalika, directeur de la sûreté chez Meridiam, a préféré prendre du recul ce jeudi 20 janvier. L’auteur de la publication Le “grand retour” de la Russie en Afrique ? s’est exprimé lors d’une visioconférence sur la nouvelle politique russe en Afrique, organisée par les étudiants du Master géopolitique et relations internationales de l’Institut Catholique de Paris (ICP). À ses côtés, un autre spécialiste des réseaux d’influences russes : Maxime Audinet, chercheur détaché à l’Institut de recherche stratégique de l’Ecole militaire (IRSEM) et auteur de Russia Today (RT) : Un média d’influence au service de l’État russe.

Le groupe Wagner – Source : Wikipedia

Wagner : armée secrète du Kremlin ?

La “Force Wagner” est une organisation de sécurité privée présentée par les médias occidentaux comme “l’armée secrète de Moscou”. Composée d’anciens militaires devenus mercenaires, elle opérerait depuis une dizaine d’années sur le territoire africain. Ses origines et son mode opératoire en Afrique ont été décryptés par Le Monde en avril 2021. On y apprend notamment que la société est dirigée par Evgeni Prigojine, oligarque et grand patron de restaurant proche du président russe Vladimir Poutine.

Je ne pense pas que ce soit une société occulte ou l’armée secrète du Kremlin”, a indiqué Arnaud Kalika sur ce sujet. “ En réalité, Prigojine est le patron de ce que serait Sodexo ici en France. Car il gère un marché colossal”. Pour Maxime Audinet, la force Wagner s’intègre complètement dans le concept de “guerre hybride”, qui allie les concepts de guerre informationnelle, asymétrique et la cyberguerre. “Il y a très certainement un soutien en sous-main de l’armée russe au groupe Wagner. Mais ce mélange d’opérations militaires entretient une zone grise qui ne relève pas précisément de l’engagement régulier et officiel de la Russie”.

Une stratégie opportuniste et pragmatique

En Afrique, l’offre de Wagner est simple : protection et formation militaire contre exploitation de ressources. Une stratégie offensive également appliquée par Vladimir Poutine. En 2006 par exemple, le président russe propose à l’Algérie d’effacer sa dette de près de 4,7 milliards de dollars, contre la signature d’un contrat d’armement de 7,5 milliards de dollars. “Dès qu’il y a une faille dans un pays, les russes vont essayer de s’y insérer”, a affirmé Arnaud Kalika. En répondant au déficit sécuritaire des pays africains, la Russie obtient de nombreux contrats et confirme son statut de grande puissance même si elle reste loin derrière ses principaux concurrents comme la Chine, les Etats-Unis ou encore la France.

L’Afrique est un angle mort de l’espace mondial qu’il faut investir. Tout est bon pour profiter du moindre affaiblissement des positions occidentales.”, a détaillé l’intervenant. Selon lui, la Russie souffre du : “complexe de la Citadelle assiégée”. Un sentiment que Vladimir Poutine justifie notamment par l’élargissement à l’Est, de la zone d’action de l’Organisation du traité de l’Atlantique nord (OTAN) qui se rapproche des frontières Russes, la militarisation de l’Arctique par les américains et enfin l’instabilité dans le Grand Sud du Caucase et l’Asie centrale. À cela s’ajoutent des sanctions imposées par l’Occident après l’annexion de la Crimée en 2014, qui pousse la Russie à rechercher de nouveaux marchés,

Séduire grâce au soft-power

Se sentant humiliée par les occidentaux depuis la chute de l’URSS, la Russie n’hésite pas à le faire savoir en Afrique. Dans les médias, elle déploie une communication agressive contre l’Occident. “Les acteurs russes conçoivent l’espace informationnel, virtuel ou réel, comme un espace de conflit”, explique Maxime Audinet. Grâce aux médias Russia Today et Sputnik, le soft-power s’opère via : “une ligne éditoriale, sarcastique et polémique, qui n’a jamais cessé de soutenir l’agenda et le discours officiel de la Russie”, décrit le chercheur.

Yevgeny_Prigozhin – source Wikipedia

Et même si ces médias trouvent la majorité de leur audience en Europe et notamment en France, ils laissent volontairement leurs contenus accessibles au public et ce gratuitement. Un moyen pour certains médias africains de diffuser l’information sans effort. “Afrique Média par exemple, qui est implanté au Cameroun, récupère ses contenus et donne une place très large aux russes et surtout un discours de légitimation de leur arrivée en Afrique, en particulier au Mali”, précise Maxime Audinet. Comme aux temps de la guerre froide, l’industrie cinématographique est mise à contribution pour diffuser de la propagande, avec par exemple le film “Touriste”, qui glorifie la mission des mercenaires russes en République centrafricaine (RCA). Les exactions dont est accusé le groupe Wagner par les Nations Unies sont quant à elles : “complètement mises en sourdine”.

Un acteur économique de plus

Mais alors que représente la Russie pour les africains ? “Simplement un nouvel entrant et même une aubaine pour le “client” africain”, a répondu Arnaud Kalika. “Elle permet de nouvelles négociations et du challenge pour tous les acteurs. Mais les pays africains sont très au courant des tensions entre l’Occident et la Russie. Négocier avec les russes leur permet d’obtenir des concessions avec leurs anciens partenaires”. Même avec ses nouveaux contrats en Afrique, la Russie reste loin derrière ses concurrents, avec un volume des exportations totales sur le continent enregistré à 17,5 milliards d’euros en 2018, contre 51,3 milliards pour la France et 204 milliards pour la Chine, selon le Monde Diplomatique.

The GRU’s galaxy of Russian-speaking websites

The GRU’s galaxy of Russian-speaking websites

Since 2016, numerous studies have shown Russian intelligence services’ involvement in online information operations. Case studies on the Internet Research Agency (IRA), Secondary Infektion , and the Ghostwriter campaigns shed light on the methods allegedly employed by the Russian government to influence and discredit beyond its borders.
However, little research has focused on Russian Intelligence’s control over the domestic information space. OpenFacto discovered and mapped more than one thousand Russian-speaking websites linked to the GRU, Russian military intelligence, to reconstruct their strategy and objectives, in a landscape already saturated with media loyal to the Kremlin.


OpenFacto’s study revealed that InfoRos, a news agency run by the GRU, began expanding into local news around 2012 throughout Russia. By registering no fewer than 1,341 digital « news portals » attached to cities, towns, districts, or even villages, InfoRos has created a network of amplifiers that surreptitiously broadcast the Russian government’s preferred narrative. The websites are primarily empty shells that regularly copy and paste innocuous content. These sites publish InfoRos content at regular intervals, which has a pro-government or anti-Western tone. The sites appear to relay an editorial line, which appearances suggest would be defined by the GRU, whose mandate is theoretically limited to outside the Russian Federation.


The report below presents OpenFacto’s methodology for discovering the websites and the hypotheses drawn from our analysis of the registered domain names, the Russian localities they target, and the chronology of their creation date. The main objective is to understand the objectives pursued by the GRU through InfoRos – especially in the digital space. To do so, we will first analyse InfoRos’ identity and its unique position within the Russian online « informational control » ecosystem.

This study will also introduce some tools and services to explore the « Ru.net  », a Russian and Russian-speaking segment of the Internet still little researched.

Download the report.

Download the domains’ list (csv file).

Update : 01-28-2022, correction of typos.

Rapport – La galaxie des sites russophones du GRU

Rapport – La galaxie des sites russophones du GRU





Depuis 2016, de nombreuses études suggèrent l’implication des services de renseignement russes dans des opérations en ligne de manipulation de l’information. De l’Internet Research Agency (IRA) aux campagnes Secondary Infektion et Ghostwriter, les méthodes supposément employées par le gouvernement russe pour influencer et décrédibiliser en-dehors de ses frontières ont été largement documentées. Toutefois, peu semblent encore avoir eu l’occasion d’alerter sur les efforts du renseignement extérieur russe pour contrôler l’audience intérieure de la Russie. Après avoir découvert plus d’un millier de sites Internet russophones liés au GRU, le renseignement militaire russe, OpenFacto les a cartographié pour reconstituer leur stratégie et objectifs réels, dans un paysage déjà saturé par les médias fidèles au Kremlin.





L’étude de ces sites révèle qu’InfoRos, une agence de presse servant de société-écran au GRU, est employée depuis au moins 2012 pour tenter de maîtriser les sources d’information locales dans l’ensemble de la Russie. En enregistrant au moins 1.341 « portails d’information » numériques rattachés à des villes, agglomérations, districts ou même villages, InfoRos a créé un réseau centralisé de porte-voix diffusant subrepticement la rhétorique du gouvernement russe. Si ce réseau de coquilles vides se contente majoritairement de copier-coller des contenus anodins, il distille en effet à échéance régulière des articles pro-gouvernementaux ou anti-occidentaux provenant d’une même source, InfoRos. Les sites étudiés ne seraient donc que des caisses de résonance relayant une ligne éditoriale définie par le GRU, dont le mandat se limite théoriquement à l’extérieur de la Fédération de Russie.





Le rapport ci-dessous présente la méthode de découverte de ces sites et les hypothèses qui peuvent être tirées de l’analyse des noms de domaines enregistrés, des localités russes qu’ils ciblent, et de la chronologie de leur création. L’objectif principal est de pouvoir en inférer les objectifs poursuivis par le GRU InfoRos – en particulier dans l’espace numérique. Cette étude sera également l’occasion de présenter certains outils et services permettant d’explorer le « Ru.net », ce segment russe et russophone d’Internet encore peu connu. Pour ce faire, nous reviendrons tout d’abord sur l’identité d’InfoRos, ainsi que sur sa place singulière dans l’écosystème russe de « contrôle informationnel » en ligne.

Edition du 19/01/2022 :
Ajout du fichier csv contenant la liste des domaines :

Colloque OSINT et Sciences Sociales (avec beaucoup de géopolitique dedans)

Colloque OSINT et Sciences Sociales (avec beaucoup de géopolitique dedans)

Le lundi 29 novembre, le landerneau de l’OSINT français s’était donné rendez-vous au rutilant Campus Condorcet, à Aubervilliers, autour du colloque « Où nous mènent les traces numériques ? Pratiques et apports de l’OSINT aux sciences sociales » organisé par le centre de recherche et de formation GEODE (Géopolitique de la Datasphère) et l’IRSEM (Institut de Recherche Stratégique de l’Ecole Militaire) en partenariat avec Paris 8, la Fabrique Défense (NDLR : Ministère des armées) et l’IFG (Institut Français de Géopolitique). Spoil Alert : si l’OSINT français était au cœur des discussions, forcément vu les acteurs de la journée, la Russie, la Chine et autres terrains politiquement sensibles ont été abordés.

Affiche de l’évènement

250 places ouvertes à tous (gratuites), billetterie sold out avant la date, l’événement promettait une belle réunion. Le déroulé de la journée et la composition des panels ont fait la part belle aux disciplines variées qui font appel à l’OSINT :  géopolitique, recherche, forces de l’ordre et de la défense, journalisme, cybersécurité, métiers de la data…

Après quelques propos introductifs de Kevin Limonier (GEODE) et Paul Charon (ISERM), la journée a démarré avec la présentation de Viginum. Le service tout-nouveau-tout-beau rattaché au cabinet du Premier ministre et placé auprès du SGDSN (secrétariat général de la défense et de la sécurité nationale) est chargé de la vigilance ainsi que de la protection contre les ingérences étrangères. L’équipe pluridisciplinaire de Viginum compte 21 agents, et à terme, fin 2022, 50 postes. 

La première table ronde, « l’OSINT comme pratique opératoire », invite Roman Adamczyk (EU Disinfo Lab), Hugo Benoist (OSINT-FR), Mathieu Gaucheler (Maltego), Romain Mielcarek (Journaliste) et Clément Audebert (Preligens) à présenter leurs structures (présentations teintées de marketing, nécessairement, pour Maltego ou Preligens) puis à répondre aux questions du public. Roman Adamczyk retrace le travail accompli contre la désinformation avec EU Disinfo Lab. L’ONG basée à Bruxelles a bouclé 10 enquêtes en un peu plus de 2 ans, l’occasion de revenir sur quelques déconvenues dans l’accueil de leur travail : entre les mises en demeures d’avocat et les erreurs dans la perception des enquêtes, les difficultés se situent parfois dans l’accueil de leur travail davantage que sur les investigations en elles-mêmes. L’intervention de Romain Mielcarek, journaliste, fait mouche (notamment si l’on compte les questions du public qui lui seront adressées). D’emblée, il souligne que l’OSINT est un vocable venu du monde du renseignement et ne s’applique pas au journalisme d’investigation. Que chaque discipline utilisant les recherches en ressources ouvertes doit trouver son cadre éthique   Et contrairement à cet effet de mode qui veut consacrer l’OSINT comme moyen unique de recherche, pour lui, ce n’est qu’un moyen parmi d’autres, venant en complément du travail sur le terrain que le praticien qu’il soit journaliste ou enquêteur, doit accomplir.

L’après-midi, la deuxième session offre l’espace à 4 chercheurs d’exposer leur expérience de l’OSINT. Léa Ronzaud (Graphika), narre l’investigation – finalement infructueuse – de son équipe pour retrouver le distributeur de PQ à l’effigie de Joe Biden sur Times Square. Hugo Estecahandy (GEODE) a offert à l’amphithéâtre un cours introductif au fonctionnement du bitcoin en partant d’une trouvaille sur le site d’Egalité et Réconciliation. Marie-Gabrielle Bertran (GEODE) mène avec brio une démonstration à deux têtes sur l’OSINT russe relativement ouvert puis sur les données grises (leaks) en prenant exemple  sur 2 affaires : le vol de 7,5 TB de données à SyTech, sous traitant de plusieurs organes officiels russes et l’attaque du groupe Sands à Las Vegas par un groupe de hacktivistes iraniens (support de présentation à disposition des membres OF). Enfin, dans une vidéo d’une quinzaine de minutes, Ksenia Ermoshina (CNRS) présente ses travaux de recherche sur les conséquences de l’annexion de la Crimée pour les infrastructures Internet dans la région. 

@nicolasquenel

Le dernier panel a rendu la délégation Open Facto un peu chauvine car notre président Hervé a posé les jalons d’un OSINT responsable par une définition épistémologique qui en dessine le champ et ses limites en rappelant la définition incontournable d’une information récupérée « sans ruse et sans stratagème », formule reprise ensuite par d’autres intervenants. A ses côtés, Rayya Roumanos, (IJBA), Kevin Limonier (GEODE), Paul Charon (IRSEM) et Fabien Laurençon (IRSEM) ont débattu autour du thème « Epistémologie de l’OSINT : apports et limites du renseignement d’origine sources ouvertes aux sciences sociales ». Une façon de rappeler que les investigations sur le « terrain numérique », techniques relativement récentes, permettent beaucoup de possibilités, mais doivent être aussi encadrées et organisées. 

La journée s’est donc terminée sur une touche « meta-osint », avec l’évocation des enjeux de demain. Quand les acteurs français de l’OSINT pensent l’OSINT, la boucle est bouclée.