Publié en janvier 2020, et encore jamais traduit en France, Digital Witness1est un ouvrage collectif rédigé sous la direction de Sam Dubberley, directeur du Laboratoire d’enquêtes numériques de Human Right Watch (Digital Investigations Lab), Daragh Murray, maître de conférences à la faculté de droit de l’université Queen Mary de Londres2 et Alexa Koenig3, à la tête du Human Rights Center (HRC) de Berkeley.
Il n’est pas ici question d’Open Source Intelligence mais bien d’« Open Source Information for human rights, investigation, documentation and accountability 1» Une nuance importante qui permet de faire la distinction avec la communauté du renseignement.
L’ouvrage est le premier du genre à poser les bases académiques de la discipline, et préfigure le protocole de Berkeley2 qui lui-même se veut « un guide pratique sur l’utilisation des sources ouvertes numériques dans les enquêtes ».
On y découvre notamment les premiers procès documentés grâce à Internet et aux réseaux sociaux avec l’exemple du cas Al-Madhi3, reconnu coupable de crime de guerre pour les destructions des bâtiments à caractère religieux et historique à Tombouctou, au Mali, en juin et juillet 2012, ouvrant ainsi la voie au développement d’une stratégie « open source » quelque mois plus tard au procès Mahmoud Mustafa Busayf Al-Werfalli4.
Le protocole de Berkeley, c’est au départ un échec. Celui du bureau du procureur de la Cour Pénale Internationale, en 2012, qui avait dû abandonner les charges dans 4 dossiers instruits. Une chercheuse du Human Rights Center fit ce constat : le bureau du procureur s’était trop appuyé sur les rapports d’enquête d’ONG et les témoignages. Outre la méfiance des juges à l’égard des sources ouvertes, les dossiers ne remplissaient pas le niveau de preuve requis pour être poursuivis selon eux.
De là, sous l’égide du HRC, des travaux réunissant l’ensemble des acteurs impliqués dans la lutte contre l’impunité de ces crimes, planchèrent sur l’usage de l’Open source information dans l’enquête pour en dessiner une véritable architecture.
Car là est bien le propos du livre, définir l’investigation numérique sur la base de critères établis : la méthodologie, la préservation des traces et indices numériques, l’archivage, la garantie de l’authenticité, l’utilisation des ressources mais également l’éthique avec l’évocation du doxxing (NDLR : la collecte et la divulgation d’informations à caractère privé), sans oublier l’humain derrière le clavier qui peut être affecté par le syndrome post-traumatique dont on oublie encore trop qu’il puisse aussi affecter le journaliste, l’enquêteur ou l’analyste.
Mais l’enjeu reste de concilier l’investigation numérique avec les exigences du droit et c’est aussi à ça qu’ambitionnent de répondre Digital Witness et le protocole de Berkeley en s’attachant justement à ce nouveau champ d’investigation là où, comme le rappelle Maxime Audinet, chercheur à l’IRSEM et spécialiste des pratiques d’influence : « les traces numériques se révèlent particulièrement pertinentes pour étudier les « terrains difficiles » ou dangereux par des méthodes alternatives au terrain physique »5.
Enfin, en attendant un Digital Witness 26, on ne manquera pas de recommander la lecture passionnante et complémentaire de « La traque est mon métier » d’Eric Emeraux7, ancien Chef de l’Office central de lutte contre les crimes contre l’humanité, les génocides et les crimes de guerre, illustration éclairante de l’apport de l’OSINT dans les enquêtes contre les crimes perpétrés au Rwanda, en ex-Yougoslavie et en Syrie . Il nous faut mentionner également « La grâce et les ténèbres » par Ann Scott, roman inspiré par le combat de la Katiba des Navalos8contre les activités djihadistes sur les réseaux sociaux et Internet.
Pour en savoir plus sur Alexa Koenig et son formidable parcours, on vous recommande de lire cette interview : https://www.atlaswomen.org/profiles/2020/4/4/alexa-koenig.
1 Informations de source ouverte pour les droits de l’homme, les enquêtes, la documentation et la responsabilité pénale
Entretien avec Alexia Koenig, co-directrice du HCR, Human Rights Center de Berkeley et auteure
Grâce à votre expérience avec le Human Rights Center Investigation Lab, quelle est la meilleure façon de préserver les preuves numériques et les meilleures méthodes, solutions sur le marché ou dans les sources ouvertes ?
Pour les contenus en sources ouvertes, comme les réseaux sociaux, nous utilisons souvent Hunch.ly, qui nous permet de capturer notre parcours d’investigation et de télécharger et hacher1 le matériel que nous trouvons sur les espaces ouverts en ligne (les vidéos devront être capturées par un processus distinct). Comme le souligne le protocole de Berkeley, l’idéal est de capturer un « paquet » complet de contenus en ligne : l’élément que vous cherchez à préserver (comme une photo ou une vidéo), toutes les métadonnées (si elles sont disponibles) et toutes les informations contextuelles entourant cet élément. Idéalement, ce que vous capturez est haché et préservé si vous voulez qu’il serve potentiellement de preuve, et toute marque ou autre modification est effectuée sur une copie. Si vous avez la possibilité de capturer du contenu numérique de source fermée, vous pouvez utiliser une application spécialisée comme l’application eyeWitness to Atrocities2 (Témoins oculaires des atrocités) proposée par l’International Bar Association3. Par exemple, vous pouvez enregistrer ou photographier des informations visuelles liées à un événement ou à une atrocité à l’aide de l’application, et l’application préservera le contenu et l’enverra automatiquement à un dépôt sécurisé, de sorte que vous puissiez facilement démontrer la chaîne de possession si les informations finissent par être présentées au tribunal. Si une source ou un témoin vous envoie des informations par le biais d’une application de messagerie telle que WhatsApp, demandez-lui de suivre les étapes permettant de conserver les métadonnées attachées à tout élément envoyé (comme une vidéo ou une photographie), car ces métadonnées peuvent s’avérer très utiles pour vérifier ou authentifier ultérieurement le matériel.
Quel niveau de vérification est nécessaire pour juger les contenus « amateurs » ou en réseau comme des preuves admissibles devant les tribunaux internationaux ?
Le protocole de Berkeley recommande que toutes les preuves potentielles soient examinées dans le cadre d’un processus en trois parties : une évaluation technique (telle que l’examen de toutes les métadonnées liées à l’élément), une évaluation du contenu (ce que vous pouvez voir dans la photo ou la vidéo correspond-il à ce que l’on vous a dit qu’elle représentait ? Cette personne est-elle une source fiable pour les informations qu’elle a partagées ? Sont-ils ceux qu’ils prétendent être, etc.) La plupart des équipes d’enquêteurs utiliseront l’analyse d’amateurs comme piste ou pour corroborer leur propre enquête. En outre, la plupart des équipes juridiques essaieront d’obtenir le message « original » d’un réseau social, ainsi que les informations supplémentaires que l’entreprise peut fournir sur cet élément, si elle le peut.
Comment les juridictions nationales font-elles face à ce nouveau défi que représente l’analyse d’un tel volume de données ?
Le défi du volume peut être très important. Je pense que nous allons assister à une utilisation croissante de méthodes basées sur le machine-learning pour trouver des contenus pertinents dans un grand volume de données – par exemple, par l’analyse de ces ensembles de données à l’aide de grands modèles de langage, ou par l’analyse visuelle via la reconnaissance d’objets. Bien entendu, ces systèmes sont imparfaits. C’est pourquoi le principe de minimisation des données reste important ; dans l’idéal, les enquêteurs ne collectent pas beaucoup plus de données qu’ils n’en ont besoin. Ce principe est particulièrement important pour les équipes juridiques qui peuvent avoir des obligations de divulgation ; si elles ne savent pas ce qu’elles ont, comment peuvent-elles savoir ce qu’elles doivent divulguer ?
À cet égard, quels conseils et lignes directrices pourriez-vous leur donner ? Y a-t-il de nouvelles avancées dans la jurisprudence de la Cour pénale internationale ou des tribunaux nationaux concernant l’utilisation des sources ouvertes dans les enquêtes et les poursuites ?
Un nombre croissant d’affaires s’appuient sur des informations numériques de sources ouvertes, y compris dans des juridictions internationales et nationales. Deux ouvrages paraîtront en 2024, qui résument très bien les développements récents et la jurisprudence applicable : l’un de Jonathan Hak4, l’autre d’Yvonne McDermott Rees5.
Les initiatives menées par des ONG telles que OpenFacto avec All Eyes on Wagner ou Center for Information Resilience avec l’Ukraine peuvent-elles réellement contribuer aux enquêtes et aux poursuites ? Dans quelle mesure et sous quelles conditions l’OSINT peut-il faciliter et même accélérer les enquêtes sur les crimes internationaux ?
Les ONG ont plusieurs rôles importants à jouer. Tout d’abord, elles peuvent contribuer à stimuler la volonté politique des acteurs juridiques de prêter attention à des événements et à des atrocités particuliers. Deuxièmement, elles peuvent fournir des informations importantes aux enquêteurs juridiques, telles que des pistes sur les témoins qui ont pu être présents et qui pourraient éventuellement fournir des témoignages, ou des indications sur les informations de source ouverte qui pourraient exister et que les enquêteurs judiciaires pourraient également découvrir et vérifier. Troisièmement, ils peuvent préserver le contenu qui risque de disparaître des espaces en ligne ; ils peuvent devenir des conservateurs essentiels de données pertinentes. Quatrièmement, ils peuvent jouer le rôle d’un « examen par les pairs », avec une analyse indépendante des faits sous-jacents à un événement. Ils disposent souvent d’une expertise contextuelle, culturelle, linguistique ou thématique qui peut éclairer des questions ou des faits importants.
L’accent est-il mis sur la « formation » des témoins et des victimes afin qu’ils puissent filmer et documenter plus « clairement » les crimes de guerre ?
Oui ! Des groupes tels que Witness6 et Videre est Credere7 ont joué un rôle essentiel en aidant les témoins et les victimes à comprendre les stratégies d’enregistrement des informations de manière à accroître la valeur de ces informations à des fins judiciaires. Il s’agit notamment de tactiques pour tenir son téléphone ou son appareil photo d’une certaine manière afin de stabiliser les images ou de maximiser ce qui est capturé, de techniques pour obtenir une perspective à 360 degrés de ce que vous filmez afin de situer cet événement ou cet objet dans l’espace géographique, de suggestions sur les types d’informations qu’il est particulièrement utile de capturer, etc. Witness propose une série de guides sur la vidéo en tant que preuve, qui sont extrêmement utiles.
Lors de la présentation du livre à l’atelier Emerging Technologies in Peacebuilding and Prevention8 (2 décembre 2021), vous avez évoqué la publication de Digital witness 2. Pourriez-vous nous en dire un peu plus sur ce volume 2 ?
Oui ! Malheureusement, le livre a été retardé en raison de la pandémie et d’autres interruptions. Au lieu d’un deuxième volume, nous envisageons plutôt une deuxième édition, qui sera beaucoup plus étoffée que la première. Cette nouvelle édition guidera le lecteur dans tous les domaines, de l’établissement des bases d’une enquête à la construction d’un dossier ou d’une histoire, en passant par l’enquête elle-même, et jusqu’à l’avenir de ce domaine. Il y a beaucoup de choses à couvrir. Nous avons défini les grandes lignes de l’ouvrage et espérons lancer bientôt un appel à contributions !
Alexa Koenig vient de sortir un nouvel ouvrage avec Andrea Lampros, directrice de la communication à la Graduate School of Journalism de l’UC Berkeley, « Graphic : Trauma and Meaning in our Online Lives » (Cambrige University Press). Dans cet ouvrage, elle tirent des leçons de l’expérience d’experts qui travaillent chaque jour avec des contenus violents en ligne9.
1Lors d’une analyse forensic, il est primordial de calculer une empreinte (hash) qui identifiera le fichier à l’aide d’une fonction de hachage. Cette empreinte doit être unique, car elle permet de valider que le fichier n’a pas été altéré durant l’investigation. Le calcul des hash permettra ainsi de garantir l’intégrité des fichiers analysés. Il existe plusieurs algorithmes de hachage, tels que MD5, SHA1, SHA2, SHA5… À noter que les algorithmes MD5 et SHA1 comportent des faiblesses de collision (c’est-à-dire le même hash pour deux fichiers différents), et sont de moins en moins utilisés.« Menez une investigation d’incident numérique forensic » par Openclassrooms
4 Ancien avocat et procureur de la Couronne au Canada, spécialiste de la preuve par l’image dans le cadre de poursuites pénales.Son ouvrageImage-Based Evidence in International Criminal Prosecutions: Charting a Path Forword, sortira en mars 2024, chez Oxford University Press. Retrouvez son blog à : https://www.jonathanhak.com/
5 Yvonne McDermott Rees est professeure en droit à la Hillary Rodham Clinton School of Law de l’Université de Swansea (Pays-de-Galles) et spécialiste du droit pénal international, des droits de l’homme et des droits des procès équitables. En 2023, elle a coécrit avec Dearbhla Minogue, Siobhán Allen, et Charlotte Andrews-Briscoe, Putting Principles into Practice : Reflections on a Mock Admissibility Hearing on Open Source Evidencetéléchargeable à https://cronfa.swan.ac.uk/Record/cronfa63763/Download/63763__28055__34ad7a3f4a4747b69ae0bedcab99fbfe.pdf
9 Un podcast (en anglais) à écouter à https://open.spotify.com/episode/3h0BY07OpBnaRcxxNIhV04 où les autrices évoquent en particulier la prévalence croissante de ces contenus et de ce que nous pouvons tous faire pour préserver notre santé mentale tout en étant conscient de la manière dont nous nous y connectons
A l’occasion de la sortie du livre « We are Bellingcat, an intelligence agency for the people », Eliot Higgins, fondateur du collectif Bellingcat, fait le bilan de plus de dix ans de recherche en sources ouvertes au travers de son expérience personnelle et des enquêtes qui ont fait la réputation du collectif. Pour OpenFacto, il a accepté de répondre à quelques unes de nos questions afin de prolonger la réflexion.
Eliot Higgins livre dans un ouvrage engagé ses débuts dans la recherche en sources ouvertes mêlant engagement personnel et curiosité pour comprendre ce qu’il se passe, scandale des écoutes téléphoniques des tabloids anglais et début des printemps arabes. Vérifier où les événements ont lieu pour attester de leur véracité et suivre les journalistes sur place qui déversent en ligne sur Twitter leur carnet de notes qui ne finiront pas dans l’édition du lendemain. La recherche OSINT de l’époque est finalement simple et souvent autour de la géolocalisation. L’information est abondante et des conflits comme la Syrie ou la révolution en Libye sont documentés comme jamais. Suivre ce qu’il se passe ailleurs en étant en ligne quand on ne peut pas accéder à la ligne de front. Connu pour ses techniques de géolocalisation, Bellingcat a su néanmoins évoluer au fil des enquêtes en utilisant d’autres techniques, notamment l’exploitation de leaks. A la question de savoir si l’utilisation des leaks n’a pas finalement rendu leurs enquêtes moins pertinentes, Higgins nous répond la chose suivante:
« Au cours de notre enquête sur les empoisonnements de Skripal, il est apparu clairement que les informations de l’État policier russe recueillies sur ses propres citoyens étaient pratiquement librement disponibles en ligne par l’intermédiaire de courtiers vendant les informations sur des forums Web publics. Compte tenu de la nature extrême de l’affaire, nous avons discuté de l’utilisation de ces informations dans le cadre de notre enquête car il y avait un manque de preuves open source et les circonstances (empoisonnement dans une ville anglaise à l’aide d’un agent neurotoxique) étaient si extrêmes. Cela nous a conduit à découvrir la véritable identité de ces assassins, nous a conduit à découvrir plus d’empoisonnements par la même unité du GRU en Europe, découvrant finalement le programme d’armes chimiques secrètes de la Russie, et l’équipe du FSB derrière l’empoisonnement d’Alexey Navalny et d’autres assassinats ratés et réussis. en Russie. Nous avons également comparé les informations que nous avons collectées à plusieurs sources indépendantes et à des sources ouvertes dans la mesure du possible, ainsi qu’à l’utilisation de sources ouvertes pour obtenir des informations supplémentaires qui ont contribué à l’enquête. Nous n’utiliserions ces sources que dans les circonstances les plus extrêmes, et étant donné qu’il est probable que nos enquêtes aient empêché de futures tentatives d’assassinat par les mêmes groupes, nous pensons que le jeu en valait la chandelle«
Ce ton engagé est donné dès le premier chapitre puisqu’il attribue l’essor de la recherche en sources ouvertes à la disponibilité de l’information et des technologies et à la défiance grandissante du citoyen lambda vis à vis des media traditionnels. Cette mise en perspective de la genèse de Bellingcat jette les bases de ce que sera le monde dix ans plus tard entre campagnes de désinformation et documentation citoyenne et numériques des conflits armés et sociaux.
Il résume l’essentiel de la philosophie de l’organisation et en est l’illustration parfaite lui-même: la recherche en sources ouvertes n’a rien à voir avec vos diplômes. Votre réputation est égale à vos résultats. La méthode Bellingcat enseigné dans les ateliers de l’organisation (et via lesquels les fondateurs de OpenFacto se sont rencontrés) est au coeur de la réussite du collectif. A la question de ce qui est au coeur de la recherche en sources ouvertes, Higgins nous répond sans hésiter:
« L’état d’esprit, la méthode sont définitivement au cœur, vous pouvez avoir tous les outils du monde, mais si vous n’êtes pas assez motivé pour vous asseoir devant un écran pendant des heures à la fois en regardant à des milliers de pages Web, de photos ou d’images vidéo, à la recherche de ce petit détail qui parfait votre compréhension, alors vous aurez vraiment du mal. C’est utile d’être passionné pour ce que vous faites, soit par votre sujet, soit par le processus lui-même, mais attention à ce que cela ne remplace pas votre objectivité. Laisser votre passion l’emporter sur votre objectivité est le premier pas dans le monde des complots« .
Higgins revient ensuite sur la constitution de Bellingcat et son mode de fonctionnement autour des enquêtes phares du collectif: MH17, la Syrie et Shripal. Au-delà des anecdotes qui jalonnent ces enquêtes devenues célèbres c’est toute la création d’un écosystème autour de la recherche OSINT que décrit l’auteur et son évolution au fil des années. Il revient notamment sur l’impact des enquêtes du groupe.
« J’ai travaillé avec la CPI et d’autres organes de justice sur la question de l’utilisation de preuves open source dans un contexte juridique. Cela présente des défis uniques, mais aussi des opportunités uniques. L’un des plus grands défis est l’archivage du matériel partagé à partir des zones de conflit. Dans le cas de la Syrie, des organisations telles que les Syrian Archives ont plus d’un million de photographies et de vidéos individuelles du conflit, de sorte que les défis de la gestion des données seuls sont vastes, en particulier lorsque ces données doivent être consultables par les enquêteurs parfois des années, voire des décennies après. Cependant, beaucoup de progrès ont été accomplis, et je pense qu’il ne faudra pas longtemps avant que nous commencions à voir de plus en plus de preuves et d’analyses open source utilisées au tribunal« .
Eliot Higgins décrit aussi au fil des pages la pression exercée par les gouvernements exposés dans les enquêtes du groupe, notamment la Russie: des tentatives de décrédibilisation publique aux actions offensives. OpenFacto lui a demandé comment Bellingcat a su gérer jusqu’à présent les tentatives de leur faire passer de la fausse information
« C’est généralement si flagrant que c’est facile à repérer et que l’effort est généralement très faible. Même lorsque la Russie a commencé à modifier les archives du gouvernement pour nous empêcher d’identifier plus d’espions, cela n’a fait qu’aider, car nous pouvions déterminer quelles données avaient été modifiées à l’aide d’autres sources, et donc montrer que les données étaient modifiées à un niveau élevé, ce qui indique que les services de sécurité russes étaient impliqués. Ils auraient tout aussi bien pu mettre une grande lumière clignotante sur les données en disant « QUELQUE CHOSE DE VRAIMENT INTÉRESSANT SE PASSE ICI« .
Dans les derniers chapitres de son livre, il évoque les mesures de sécurité que certains états ont pu prendre en réaction à certaines enquêtes comme l’a également remarqué OpenFacto.
« Dans le cas de la Russie, notre travail a incité les autorités à adopter des lois pour tenter d’empêcher la publication du type d’informations que nous utilisons, par exemple des photos personnelles de soldats russes que nous avons utilisées pour enquêter sur l’implication de la Russie dans la destruction du MH17 et plus généralement sur le conflit en Ukraine. Nous pensons qu’il est tout à fait naturel que les gouvernements qui n’ont pas de bonnes intentions essaient de couvrir leurs traces, et la seule façon de prouver les arguments que nous essayons de faire valoir, souvent contre des acteurs qui feront de fausses allégations sur nos sources et nos méthodes est d’être aussi transparent que possible« .
Le dernier chapitre du livre offre une réflexion prospective mais aussi évoque quelques projets moins connus du collectif. Higgins revient pour nous un projet qui lui tient particulièrement à coeur.
« Une partie de notre travail sur la justice et la responsabilité légale a été de travailler avec le Global Legal Action Network et d’autres partenaires pour développer un processus d’archivage et d’enquête open source dans le but d’utiliser les informations collectées et analysées dans des affaires juridiques. C’est un processus continu, mais notre travail sur le Yémen qui met en oeuvre cette méthodologie a déjà été utilisé, et nous continuons à affiner et à améliorer le processus. Je pense que pour beaucoup de gens qui s’impliquent dans une enquête open source, la recherche des responsables est un facteur de motivation important, et je suis vraiment heureux que nous puissions contribuer à y parvenir d’un point de vue pratique« .
We Are Bellingcat: An Intelligence Agency for the People écrit par Eliot Higgins est disponible ici
OpenFacto a décidé de faire partager les livres qu’il y a sur son étagère. Ça parle de recherches en sources ouvertes mais aussi d’opérations d’influence, de guerres cyber ou de méthodo. Chaque mois ou presque, on présente ici ceux qui nous ont plu ou marqué et pourquoi on les trouve utiles ou importants.
Cette saison s’ouvre avec le seul livre français de notre bibliothèque –Guérilla 2.0, Guerres irrégulières dans le cyberespace. Très dense, il a de quoi devenir un livre de référence sur une vision française de la place du cyber dans l’évolution de la guerre vers une guerre hybride en dix chapitres. D’autant plus intéressant, ce traité qui esquisse une stratégie de contre-guérilla 2.0 est écrit par un théoricien et praticien du domaine, Bertrand Boyer qui a aimablement répondu aux questions d’OpenFacto, à commencer par raconter son parcours.
“En premier lieu je voudrais remercier Openfacto de consacrer un billet à mon dernier ouvrage « guérilla 2.0 », c’est pour moi un plaisir de pouvoir échanger avec votre communauté sur ces questions. Pour me présenter rapidement, je suis officier de l’armée de terre. Après une première partie de carrière en unité opérationnelle qui m’a conduit à servir dans les départements d’outremer en Afrique et au Moyen-Orient, j’ai souhaité valoriser ma formation d’ingénieur. Après le cursus de l’école de guerre, une formation à télécom Paris tech m’a conduit à mieux comprendre les réseaux et la convergence naturelle entre le monde des télécommunications et celui de l’informatique. Nous étions alors, en France, au début de la structuration de la cyberdéfense et il m’a semblé utile et important de réfléchir aux conséquences pour les armées de l’émergence de ce nouvel espace de confrontation. Ces réflexions ont conduit à la publication d’un premier ouvrage « Cyberstratégie, l’art de la guerre numérique » en 2012, puis de son prolongement « Cybertactique, conduire la guerre numérique » en 2014, d’un « dictionnaire de la cybersécurité et des réseaux » en 2016 et enfin « guérilla 2.0 : guerres irrégulières dans le cyberespace» “.
Bertrand Boyer ancre son propos dans la nouvelle réalité opérationnelle de la guerre: à côté de la guerre mécanisée traditionnelle, il y a l’existence grandissante d’une interdépendance entre les milieux physiques et immatériels couplée aux évolutions techniques. La guerre hybride est donc la combinaison d’actions militaires et non militaires dans la conduite des opérations et où les actions numériques ont un rôle important pour atteindre l’objectif désiré. Nouveau, le cyber est souvent associé à l’hybridité des nouveaux conflits avec deux éléments clefs. D’abord l’information qui est au cœur de la maîtrise du cyberespace et l’apparition de plateformes offrant la possibilité d’une communication de masse non régulée – les réseaux sociaux. Puis la marge de manœuvre qu’offrent les actions numériques quand toutes les conditions du combat ne sont pas réunies et qu’il faut agir en zone grise. Mais loin d’être totalement novatrice, la guérilla 2.0 s’inscrit dans un héritage historique des insurrections. Ce retour sur l’histoire de l’insurrection est utile pour dessiner les trois types de guérillas que l’on rencontre aujourd’hui dans le cyberespace: la guérilla insurrectionnelle pour établir un nouvel ordre, la guérilla en réaction à une agression et la petite guerre en soutien des armées régulières. Pour Bertrand Boyer, il paraît “important de préciser ce que j’entends par Guérilla 2.0. Depuis le début des années 90, on évoque l’émergence du domaine « cyber » dans l’étude des conflits. Les auteurs anglo-saxons ont rapidement placé le terme CyberWar sur le devant de la scène sans que l’on ne sache toujours ce que cette notion recouvrait exactement. « Guérilla 2.0, guerres irrégulières dans le cyberespace», part d’un questionnement simple lié à l’observation des conflits récents : Si les technologies de l’information et de la communication ont bouleversé nos vies, comment sont-elles utilisées par nos adversaires ? Est-ce que ces outils changent la donne ?
L’interconnexion et la facilité d’accès à certains outils (géolocalisation, données ouvertes, outils de traitement, outils offensifs) modifient la façon dont les conflits se développent. Le « cyber » est devenu en une dizaine d’années, une arme d’emploi, non pas magique mais dont l’efficacité, combinée à d’autres vecteurs plus classiques n’est plus à démontrer.
Dès lors il m’a semblé qu’une forme d’affrontement particulier était à l’œuvre sur les réseaux ou via ces derniers et que cela pouvait constituer une version « mise à jour » de la guérilla classique, combat du faible au fort. Dans l’approche que je propose, la guérilla 2.0 c’est d’une part la transposition des modes d’actions classiques de l’insurrection dans les espaces numériques (à quoi ressemble une embuscade dans le cyberespace ? Comment effectuer un « contrôle de zone » ? quelles sont les nouvelles modalités de la propagande et de la subversion ?) mais également, l’étude de l’appropriation de ces outils par les groupes terroristes, insurgés ou certains États dans le cadre d’une stratégie indirecte”.
Le guérilleros 2.0 n’est pas si différent de son ancêtre: diversité des profils, cause transcendante, ralliement des populations pour créer les conditions nécessaires au passage de la lutte armée, recours à la violence, l’utilisation de la ruse / surprise/ opportunisme/ provocation, le refus de l’engagement direct et la capacité à naviguer en terrains numériques fragmentés.
Evocation des modes d’actions directs et indirects, mais aussi des différents profils des guerilleros 2.0, Boyer revient sur le hacktivisme, le slacktivisme avec la difficulté de traduire une mobilisation numérique en une mobilisation physique, la weaponisation de l’information et l’utilisation du numérique par les groupes terroriste. Quand on le questionne sur 2020, il revient sur ces exemples de guérilla 2.0
“L’actualité nous offre quasi quotidiennement des illustrations de la guérilla 2.0 ou de ce à quoi elle pourrait ressembler. Cette année, qui a été marquée par la crise sanitaire, a vu parallèlement une explosion de l’utilisation malveillante des réseaux. Sans revenir sur des opérations en cours, on peut évoquer l’attaque contre l’agence européenne du médicament en décembre dernier alors qu’elle était en pleine délibération sur les autorisations de mise sur le marché de plusieurs vaccins contre le Covid-19. Des documents liés au vaccin de Pfizer et BioNTech ont été piratés et diffusés quelques jours plus tard. C’est typiquement une opération de « hack and leak » avec le doute sur l’intégrité des données leakées. Ce mode opératoire est aujourd’hui assez répandu et peut être complété par une demande de rançon dans le cadre d’une attaque plus ciblée ou destructrice. Cela a été observé l’an dernier, contre des collectivités territoriales, des hôpitaux ou encore des EHPAD. Le développement des ransomware et la professionnalisation des groupes qui les mettent en place constituent probablement les faits les plus marquants de l’année écoulée.
Le deuxième événement majeur de 2020 accompagne naturellement le déroulement des élections aux États-Unis et la période de transition entre le mois de novembre dernier et le tout début de l’année 2021. L’intégrité du vote remis en question par des groupes de plus en plus structurés au sein desquels les théories complotistes se développent et se répandent présentent là encore une illustration de l’impact très réel des actions informationnelles sur les réseaux.
Enfin en matière de d’action numérique je voudrais évoquer deux exemples récents aux finalités distinctes: les affaires SolarWinds et GameStop. Dans le premier cas on est en présence d’une exploitation clandestine d’une vulnérabilité informatique à fin d’espionnage (mais potentiellement destructrice) dont le périmètre ne cesse de grandir. Un acteur très certainement étatique disposant de moyens conséquents semble à l’origine de cette opération. On est loin de la guérilla à première vue mais on est face à une mise en lumière remarquable des chaînes de vulnérabilités qui peuvent faire l’objet d’exploitation malveillante. Dans le second cas en revanche, on est totalement dans la lutte du faible au fort puisqu’une « coalition » de petits porteurs a poussé un géant de la finance Melvin Capital au bord de la faillite. Ce hedge fund avait en effet misé sur la dépréciation de la valeur de l’action GameStop, une enseigne de jeu vidéo en difficulté, par un mécanisme de vente à découvert. Or sur le forum WallStreetBets sur Reddit, les petits porteurs se sont coordonnés pour acheter massivement l’action (initialement coté à 2,57 dollars au mois de mars 2020), le cours est alors monté rapidement (pour atteindre près de 360 dollars), et le phénomène est encore amplifié par la communication sur Twitter (Elon Musk). C’est je crois une illustration du phénomène de coalescence lorsque les réseaux permettent de fédérer des éléments isolés pour une cause particulière.”
Il faut attendre les derniers chapitres de l’ouvrage pour répondre à la question qui presse le lecteur depuis le début de sa lecture: comment lutter contre la guérilla 2.0 et sommes nous organisés comme il faut pour y faire face? Bertrand Boyer est convaincu que les armées occidentales peuvent intégrer cette nouvelle menace et y répondre. Interrogé par OpenFacto, il précise sa pensée: “Nous disposons de peu de recul sur l’analyse de la conflictualité numérique. Les révélations Snowden en 2013 levaient le voile sur l’ampleur de ce que pouvait être la surveillance et l’espionnage informatique mais bien peu sur les capacités d’action offensives que l’on découvre progressivement. Enfin, la manipulation de l’information et l’utilisation des réseaux pour instrumentaliser celle-ci représente un changement important observé depuis 2015. C’est très récent à l’échelle de l’analyse des conflits !
Ce manque de recul historique impose donc une démarche différente pour le chercheur et pour le praticien. Guérilla 2.0 tente de faire le lien entre les invariants du combat irrégulier et les modes d’action des groupes ou États qui opèrent aujourd’hui dans le « cyberespace ». A bien y regarder, il y a de nombreuses équivalences qui peuvent nous aider à mieux appréhender les nouvelles menaces. Ainsi, la surprise, l’action décentralisée, le besoin de rallier des partisans, l’utilisation de « proxys », de mercenaires, etc. sont des pratiques connues depuis l’antiquité qui trouvent un écho dans le combat numérique. C’est cette étude que propose Guérilla 2.0. Je ne dis pas que « rien n’a changé » depuis Alexandre le Grand, mais le cyber n’est pas non plus un champ de conflictualité ou « tout est neuf », il faut analyser et comprendre le milieu et les acteurs en présence pour mieux saisir où se situe l’équilibre. De cette analyse découlent des modèles d’organisation pour les armées qui doivent en permanence s’entraîner et s’adapter à la menace.
Il évoque ainsi des impératifs à prendre en compte avant d’élaborer des modes d’actions de contre-guérilla 2.0:
le cadre juridique de son engagement
la maîtrise des aspects techniques et culturels des nouvelles technologies
le développement de nouveaux partenariats notamment avec les entreprises privées et la société civile
la préférence pour une organisation en réseau plus flexible et rapide dans ses réponses
la compréhension de l’adversaire
la compréhension du milieu socio-culturel du combat numérique
“Depuis 2015 et l’appropriation active par Daesh de l’ensemble des possibilités liées aux technologies (propagande, désinformation, renseignement, agression), le combat numérique a connu une véritable mutation. Défendre les réseaux face à des intrusions ne suffit plus (mais demeure essentiel) il faut aujourd’hui mieux comprendre nos adversaires (étatiques ou non-étatiques), leurs stratégies dans le domaine numérique, leurs outils et leurs méthodes afin de pouvoir penser des mécanismes de réponses adaptés et se défendre au mieux. Cette compréhension large des acteurs et des systèmes impose, peut-être plus que pour les autres domaines d’affrontement, de prendre en compte et de collaborer avec la société civile et le monde de l’entreprise. Face au terrorisme par exemple, de nombreux collectifs sont apparus pour identifier, signaler, et recueillir des informations en ligne. Pour lutter efficacement, la coopération des plateformes s’est révélée essentielle et doit faire l’objet d’une attention particulière. Enfin, je crois que nous devons encore explorer de nouvelles modalités pour permettre à des citoyens de mettre leurs compétences au profit de l’action collective dans un cadre légal défini et le respect d’une stricte éthique partagée.”
Finalement OpenFacto lui a demandé son point de vue sur l’OSINT et si elle peut être une pierre angulaire des actions numériques. Pour lui, les savoir-faire d’investigation en ligne – terme qu’il préfère – sont essentiels à la contre-guérilla 2.0.
“De mon point de vue l’OSINT connaît une évolution spectaculaire depuis quelques années. Elle est, je le crois, une brique essentielle de la guérilla 2.0. Le « cyberespace » signe l’arrêt de mort de ce que nous appelions les « sources ouvertes », cette notion est liée à une vision statique du renseignement où « l’intelligence » c’est d’abord ce qui est secret. Or, aujourd’hui, et en particulier pour conduire des opérations, l’important est de disposer d’une information contextualisée et actualisée. Les systèmes de prise de décision peuvent être rapidement saturés face aux flots continu d’information, il faut donc faire effort sur la qualité plus que la quantité.
Dans ce domaine, les outils et les méthodologies d’investigation en ligne (je préfère cette formulation) permettent le croisement et l’exploitation de données accessibles et la production d’information de haute valeur. A ce titre, « l’OSINT » est un savoir-faire essentiel à la guérilla 2.0 et à ceux qui doivent la contrer.”
On recommande donc chaudement cet ouvrage qui offre une vision française rare et intéressante de la nature insurrectionnelle du cyber dans la guerre moderne et offre une esquisse sur comment contrer cette guérilla 2.0.
