Sur l’étagère – We are Bellingcat, an intelligence agency for the people

Sur l’étagère – We are Bellingcat, an intelligence agency for the people

A l’occasion de la sortie du livre « We are Bellingcat, an intelligence agency for the people », Eliot Higgins, fondateur du collectif Bellingcat, fait le bilan de plus de dix ans de recherche en sources ouvertes au travers de son expérience personnelle et des enquêtes qui ont fait la réputation du collectif. Pour OpenFacto, il a accepté de répondre à quelques unes de nos questions afin de prolonger la réflexion.

Eliot Higgins livre dans un ouvrage engagé ses débuts dans la recherche en sources ouvertes mêlant engagement personnel et curiosité pour comprendre ce qu’il se passe, scandale des écoutes téléphoniques des tabloids anglais et début des printemps arabes. Vérifier où les événements ont lieu pour attester de leur véracité et suivre les journalistes sur place qui déversent en ligne sur Twitter leur carnet de notes qui ne finiront pas dans l’édition du lendemain. La recherche OSINT de l’époque est finalement simple et souvent autour de la géolocalisation. L’information est abondante et des conflits comme la Syrie ou la révolution en Libye sont documentés comme jamais. Suivre ce qu’il se passe ailleurs en étant en ligne quand on ne peut pas accéder à la ligne de front. Connu pour ses techniques de géolocalisation, Bellingcat a su néanmoins évoluer au fil des enquêtes en utilisant d’autres techniques, notamment l’exploitation de leaks. A la question de savoir si l’utilisation des leaks n’a pas finalement rendu leurs enquêtes moins pertinentes, Higgins nous répond la chose suivante:

« Au cours de notre enquête sur les empoisonnements de Skripal, il est apparu clairement que les informations de l’État policier russe recueillies sur ses propres citoyens étaient pratiquement librement disponibles en ligne par l’intermédiaire de courtiers vendant les informations sur des forums Web publics. Compte tenu de la nature extrême de l’affaire, nous avons discuté de l’utilisation de ces informations dans le cadre de notre enquête car il y avait un manque de preuves open source et les circonstances (empoisonnement dans une ville anglaise à l’aide d’un agent neurotoxique) étaient si extrêmes. Cela nous a conduit à découvrir la véritable identité de ces assassins, nous a conduit à découvrir plus d’empoisonnements par la même unité du GRU en Europe, découvrant finalement le programme d’armes chimiques secrètes de la Russie, et l’équipe du FSB derrière l’empoisonnement d’Alexey Navalny et d’autres assassinats ratés et réussis. en Russie. Nous avons également comparé les informations que nous avons collectées à plusieurs sources indépendantes et à des sources ouvertes dans la mesure du possible, ainsi qu’à l’utilisation de sources ouvertes pour obtenir des informations supplémentaires qui ont contribué à l’enquête. Nous n’utiliserions ces sources que dans les circonstances les plus extrêmes, et étant donné qu’il est probable que nos enquêtes aient empêché de futures tentatives d’assassinat par les mêmes groupes, nous pensons que le jeu en valait la chandelle« 

Ce ton engagé est donné dès le premier chapitre puisqu’il attribue l’essor de la recherche en sources ouvertes à la disponibilité de l’information et des technologies et à la défiance grandissante du citoyen lambda vis à vis des media traditionnels. Cette mise en perspective de la genèse de Bellingcat jette les bases de ce que sera le monde dix ans plus tard entre campagnes de désinformation et documentation citoyenne et numériques des conflits armés et sociaux.

Il résume l’essentiel de la philosophie de l’organisation et en est l’illustration parfaite lui-même: la recherche en sources ouvertes n’a rien à voir avec vos diplômes. Votre réputation est égale à vos résultats. La méthode Bellingcat enseigné dans les ateliers de l’organisation (et via lesquels les fondateurs de OpenFacto se sont rencontrés) est au coeur de la réussite du collectif. A la question de ce qui est au coeur de la recherche en sources ouvertes, Higgins nous répond sans hésiter:

« L’état d’esprit, la méthode sont définitivement au cœur, vous pouvez avoir tous les outils du monde, mais si vous n’êtes pas assez motivé pour vous asseoir devant un écran pendant des heures à la fois en regardant à des milliers de pages Web, de photos ou d’images vidéo, à la recherche de ce petit détail qui parfait votre compréhension, alors vous aurez vraiment du mal. C’est utile d’être passionné pour ce que vous faites, soit par votre sujet, soit par le processus lui-même, mais attention à ce que cela ne remplace pas votre objectivité. Laisser votre passion l’emporter sur votre objectivité est le premier pas dans le monde des complots« .

Higgins revient ensuite sur la constitution de Bellingcat et son mode de fonctionnement autour des enquêtes phares du collectif: MH17, la Syrie et Shripal. Au-delà des anecdotes qui jalonnent ces enquêtes devenues célèbres c’est toute la création d’un écosystème autour de la recherche OSINT que décrit l’auteur et son évolution au fil des années. Il revient notamment sur l’impact des enquêtes du groupe.

« J’ai travaillé avec la CPI et d’autres organes de justice sur la question de l’utilisation de preuves open source dans un contexte juridique. Cela présente des défis uniques, mais aussi des opportunités uniques. L’un des plus grands défis est l’archivage du matériel partagé à partir des zones de conflit. Dans le cas de la Syrie, des organisations telles que les Syrian Archives ont plus d’un million de photographies et de vidéos individuelles du conflit, de sorte que les défis de la gestion des données seuls sont vastes, en particulier lorsque ces données doivent être consultables par les enquêteurs parfois des années, voire des décennies après. Cependant, beaucoup de progrès ont été accomplis, et je pense qu’il ne faudra pas longtemps avant que nous commencions à voir de plus en plus de preuves et d’analyses open source utilisées au tribunal« .

Eliot Higgins décrit aussi au fil des pages la pression exercée par les gouvernements exposés dans les enquêtes du groupe, notamment la Russie: des tentatives de décrédibilisation publique aux actions offensives. OpenFacto lui a demandé comment Bellingcat a su gérer jusqu’à présent les tentatives de leur faire passer de la fausse information

« C’est généralement si flagrant que c’est facile à repérer et que l’effort est généralement très faible. Même lorsque la Russie a commencé à modifier les archives du gouvernement pour nous empêcher d’identifier plus d’espions, cela n’a fait qu’aider, car nous pouvions déterminer quelles données avaient été modifiées à l’aide d’autres sources, et donc montrer que les données étaient modifiées à un niveau élevé, ce qui indique que les services de sécurité russes étaient impliqués. Ils auraient tout aussi bien pu mettre une grande lumière clignotante sur les données en disant « QUELQUE CHOSE DE VRAIMENT INTÉRESSANT SE PASSE ICI« .

Dans les derniers chapitres de son livre, il évoque les mesures de sécurité que certains états ont pu prendre en réaction à certaines enquêtes comme l’a également remarqué OpenFacto.

« Dans le cas de la Russie, notre travail a incité les autorités à adopter des lois pour tenter d’empêcher la publication du type d’informations que nous utilisons, par exemple des photos personnelles de soldats russes que nous avons utilisées pour enquêter sur l’implication de la Russie dans la destruction du MH17 et plus généralement sur le conflit en Ukraine. Nous pensons qu’il est tout à fait naturel que les gouvernements qui n’ont pas de bonnes intentions essaient de couvrir leurs traces, et la seule façon de prouver les arguments que nous essayons de faire valoir, souvent contre des acteurs qui feront de fausses allégations sur nos sources et nos méthodes est d’être aussi transparent que possible« .

Le dernier chapitre du livre offre une réflexion prospective mais aussi évoque quelques projets moins connus du collectif. Higgins revient pour nous un projet qui lui tient particulièrement à coeur.

« Une partie de notre travail sur la justice et la responsabilité légale a été de travailler avec le Global Legal Action Network et d’autres partenaires pour développer un processus d’archivage et d’enquête open source dans le but d’utiliser les informations collectées et analysées dans des affaires juridiques. C’est un processus continu, mais notre travail sur le Yémen qui met en oeuvre cette méthodologie a déjà été utilisé, et nous continuons à affiner et à améliorer le processus. Je pense que pour beaucoup de gens qui s’impliquent dans une enquête open source, la recherche des responsables est un facteur de motivation important, et je suis vraiment heureux que nous puissions contribuer à y parvenir d’un point de vue pratique« .

We Are Bellingcat: An Intelligence Agency for the People écrit par Eliot Higgins est disponible ici

Sur l’étagère – Guérilla 2.0, Guerres irrégulières dans le cyberespace

Sur l’étagère – Guérilla 2.0, Guerres irrégulières dans le cyberespace

OpenFacto a décidé de faire partager les livres qu’il y a sur son étagère. Ça parle de recherches en sources ouvertes mais aussi d’opérations d’influence, de guerres cyber ou de méthodo. Chaque mois ou presque, on présente ici ceux qui nous ont plu ou marqué et pourquoi on les trouve utiles ou importants.

Cette saison s’ouvre avec le seul livre français de notre bibliothèque – Guérilla 2.0, Guerres irrégulières dans le cyberespace. Très dense, il a de quoi devenir un livre de référence sur une vision française de la place du cyber dans l’évolution de la guerre vers une guerre hybride en dix chapitres. D’autant plus intéressant, ce traité qui esquisse une stratégie de contre-guérilla 2.0 est écrit par un théoricien et praticien du domaine, Bertrand Boyer qui a aimablement répondu aux questions d’OpenFacto, à commencer par raconter son parcours. 

“En premier lieu je voudrais remercier Openfacto de consacrer un billet à mon dernier ouvrage « guérilla 2.0 », c’est pour moi un plaisir de pouvoir échanger avec votre communauté sur ces questions. Pour me présenter rapidement, je suis officier de l’armée de terre. Après une première partie de carrière en unité opérationnelle qui m’a conduit à servir dans les départements d’outremer en Afrique et au Moyen-Orient, j’ai souhaité valoriser ma formation d’ingénieur. Après le cursus de l’école de guerre, une formation à télécom Paris tech m’a conduit à mieux comprendre les réseaux et la convergence naturelle entre le monde des télécommunications et celui de l’informatique. Nous étions alors, en France, au début de la structuration de la cyberdéfense et il m’a semblé utile et important de réfléchir aux conséquences pour les armées de l’émergence de ce nouvel espace de confrontation. Ces réflexions ont conduit à la publication d’un premier ouvrage « Cyberstratégie, l’art de la guerre numérique » en 2012, puis de son prolongement « Cybertactique, conduire la guerre numérique » en 2014, d’un « dictionnaire de la cybersécurité et des réseaux » en 2016 et enfin « guérilla 2.0 : guerres irrégulières dans le cyberespace» “.

Bertrand Boyer ancre son propos dans la nouvelle réalité opérationnelle de la guerre: à côté de la guerre mécanisée traditionnelle, il y a l’existence grandissante d’une interdépendance entre les milieux physiques et immatériels couplée aux évolutions techniques. La guerre hybride est donc la combinaison d’actions militaires et non militaires dans la conduite des opérations et où les actions numériques ont un rôle important pour atteindre l’objectif désiré. Nouveau, le cyber est souvent associé à l’hybridité des nouveaux conflits avec deux éléments clefs. D’abord l’information qui est au cœur de la maîtrise du cyberespace et l’apparition de plateformes offrant la possibilité d’une communication de masse non régulée – les réseaux sociaux. Puis la marge de manœuvre qu’offrent les actions numériques quand toutes les conditions du combat ne sont pas réunies et qu’il faut agir en zone grise. Mais loin d’être totalement novatrice, la guérilla 2.0 s’inscrit dans un héritage historique des insurrections. Ce retour sur l’histoire de l’insurrection est utile pour dessiner les trois types de guérillas que l’on rencontre aujourd’hui dans le cyberespace: la guérilla insurrectionnelle pour établir un nouvel ordre, la guérilla en réaction à une agression et la petite guerre en soutien des armées régulières. Pour Bertrand Boyer, il paraît “important de préciser ce que j’entends par Guérilla 2.0. Depuis le début des années 90, on évoque l’émergence du domaine « cyber » dans l’étude des conflits. Les auteurs anglo-saxons ont rapidement placé le terme CyberWar sur le devant de la scène sans que l’on ne sache toujours ce que cette notion recouvrait exactement. « Guérilla 2.0, guerres irrégulières dans le cyberespace», part d’un questionnement simple lié à l’observation des conflits récents : Si les technologies de l’information et de la communication ont bouleversé nos vies, comment sont-elles utilisées par nos adversaires ? Est-ce que ces outils changent la donne ? 

L’interconnexion et la facilité d’accès à certains outils (géolocalisation, données ouvertes, outils de traitement, outils offensifs) modifient la façon dont les conflits se développent. Le « cyber » est devenu en une dizaine d’années, une arme d’emploi, non pas magique mais dont l’efficacité, combinée à d’autres vecteurs plus classiques n’est plus à démontrer.

Dès lors il m’a semblé qu’une forme d’affrontement particulier était à l’œuvre sur les réseaux ou via ces derniers et que cela pouvait constituer une version « mise à jour » de la guérilla classique, combat du faible au fort. Dans l’approche que je propose, la guérilla 2.0 c’est d’une part la transposition des modes d’actions classiques de l’insurrection dans les espaces numériques (à quoi ressemble une embuscade dans le cyberespace ? Comment effectuer un « contrôle de zone » ? quelles sont les nouvelles modalités de la propagande et de la subversion ?) mais également, l’étude de l’appropriation de ces outils par les groupes terroristes, insurgés ou certains États dans le cadre d’une stratégie indirecte”. 

Le guérilleros 2.0 n’est pas si différent de son ancêtre:  diversité des profils, cause transcendante, ralliement des populations pour créer les conditions nécessaires au passage de la lutte armée, recours à la violence, l’utilisation de la ruse / surprise/ opportunisme/ provocation, le refus de l’engagement direct et la capacité à naviguer en terrains numériques fragmentés. 

Evocation des modes d’actions directs et indirects, mais aussi des différents profils des guerilleros 2.0, Boyer revient sur le hacktivisme, le slacktivisme avec la difficulté de traduire une mobilisation numérique en une mobilisation physique, la weaponisation de l’information et l’utilisation du numérique par les groupes terroriste. Quand on le questionne sur 2020, il revient sur ces exemples de guérilla 2.0

L’actualité nous offre quasi quotidiennement des illustrations de la guérilla 2.0 ou de ce à quoi elle pourrait ressembler.  Cette année, qui a été marquée par la crise sanitaire, a vu parallèlement une explosion de l’utilisation malveillante des réseaux. Sans revenir sur des opérations en cours, on peut évoquer l’attaque contre l’agence européenne du médicament en décembre dernier alors qu’elle était en pleine délibération sur les autorisations de mise sur le marché de plusieurs vaccins contre le Covid-19. Des documents liés au vaccin de Pfizer et BioNTech ont été piratés et diffusés quelques jours plus tard. C’est typiquement une opération de « hack and leak » avec le doute sur l’intégrité des données leakées. Ce mode opératoire est aujourd’hui assez répandu et peut être complété par une demande de rançon dans le cadre d’une attaque plus ciblée ou destructrice. Cela a été observé l’an dernier, contre des collectivités territoriales, des hôpitaux ou encore des EHPAD. Le développement des ransomware et la professionnalisation des groupes qui les mettent en place constituent probablement les faits les plus marquants de l’année écoulée.

Le deuxième événement majeur de 2020 accompagne naturellement le déroulement des élections aux États-Unis et la période de transition entre le mois de novembre dernier et le tout début de l’année 2021. L’intégrité du vote remis en question par des groupes de plus en plus structurés au sein desquels les théories complotistes se développent et se répandent présentent là encore une illustration de l’impact très réel des actions informationnelles sur les réseaux. 

Enfin en matière de d’action numérique je voudrais évoquer deux exemples récents aux finalités distinctes: les affaires SolarWinds et GameStop. Dans le premier cas on est en présence d’une exploitation clandestine d’une vulnérabilité informatique à fin d’espionnage (mais potentiellement destructrice) dont le périmètre ne cesse de grandir. Un acteur très certainement étatique disposant de moyens conséquents semble à l’origine de cette opération. On est loin de la guérilla à première vue mais on est face à une mise en lumière remarquable des chaînes de vulnérabilités qui peuvent faire l’objet d’exploitation malveillante. Dans le second cas en revanche, on est totalement dans la lutte du faible au fort puisqu’une « coalition » de petits porteurs a poussé un géant de la finance Melvin Capital au bord de la faillite. Ce hedge fund avait en effet misé sur la dépréciation de la valeur de l’action GameStop, une enseigne de jeu vidéo en difficulté, par un mécanisme de vente à découvert. Or sur le forum WallStreetBets sur Reddit, les petits porteurs se sont coordonnés pour acheter massivement l’action (initialement coté à 2,57 dollars au mois de mars 2020), le cours est alors monté rapidement (pour atteindre près de 360 dollars), et le phénomène est encore amplifié par la communication sur Twitter (Elon Musk). C’est je crois une illustration du phénomène de coalescence lorsque les réseaux permettent de fédérer des éléments isolés pour une cause particulière.”

    Il faut attendre les derniers chapitres de l’ouvrage pour répondre à la question qui presse le lecteur depuis le début de sa lecture: comment lutter contre la guérilla 2.0 et sommes nous organisés comme il faut pour y faire face? Bertrand Boyer est convaincu que les armées occidentales peuvent intégrer cette nouvelle menace et y répondre. Interrogé par OpenFacto, il précise sa pensée: “Nous disposons de peu de recul sur l’analyse de la conflictualité numérique. Les révélations Snowden en 2013 levaient le voile sur l’ampleur de ce que pouvait être la surveillance et l’espionnage informatique mais bien peu sur les capacités d’action offensives que l’on découvre progressivement. Enfin, la manipulation de l’information et l’utilisation des réseaux pour instrumentaliser celle-ci représente un changement important observé depuis 2015. C’est très récent à l’échelle de l’analyse des conflits ! 

Ce manque de recul historique impose donc une démarche différente pour le chercheur et pour le praticien. Guérilla 2.0 tente de faire le lien entre les invariants du combat irrégulier et les modes d’action des groupes ou États qui opèrent aujourd’hui dans le « cyberespace ». A bien y regarder, il y a de nombreuses équivalences qui peuvent nous aider à mieux appréhender les nouvelles menaces. Ainsi, la surprise, l’action décentralisée, le besoin de rallier des partisans, l’utilisation de « proxys », de mercenaires, etc. sont des pratiques connues depuis l’antiquité qui trouvent un écho dans le combat numérique. C’est cette étude que propose Guérilla 2.0. Je ne dis pas que « rien n’a changé » depuis Alexandre le Grand, mais le cyber n’est pas non plus un champ de conflictualité ou « tout est neuf », il faut analyser et comprendre le milieu et les acteurs en présence pour mieux saisir où se situe l’équilibre. De cette analyse découlent des modèles d’organisation pour les armées qui doivent en permanence s’entraîner et s’adapter à la menace.

Il évoque ainsi des impératifs à prendre en compte avant d’élaborer des modes d’actions de contre-guérilla 2.0:

  • le cadre juridique de son engagement
  • la maîtrise des aspects techniques et culturels des nouvelles technologies
  • le développement de nouveaux partenariats notamment avec les entreprises privées et la société civile
  • la préférence pour une organisation en réseau plus flexible et rapide dans ses réponses
  • la compréhension de l’adversaire
  • la compréhension du milieu socio-culturel du combat numérique

Depuis 2015 et l’appropriation active par Daesh de l’ensemble des possibilités liées aux technologies (propagande, désinformation, renseignement, agression), le combat numérique a connu une véritable mutation. Défendre les réseaux face à des intrusions ne suffit plus (mais demeure essentiel) il faut aujourd’hui mieux comprendre nos adversaires (étatiques ou non-étatiques), leurs stratégies dans le domaine numérique, leurs outils et leurs méthodes afin de pouvoir penser des mécanismes de réponses adaptés et se défendre au mieux. Cette compréhension large des acteurs et des systèmes impose, peut-être plus que pour les autres domaines d’affrontement, de prendre en compte et de collaborer avec la société civile et le monde de l’entreprise. Face au terrorisme par exemple, de nombreux collectifs sont apparus pour identifier, signaler, et recueillir des informations en ligne. Pour lutter efficacement, la coopération des plateformes s’est révélée essentielle et doit faire l’objet d’une attention particulière. Enfin, je crois que nous devons encore explorer de nouvelles modalités pour permettre à des citoyens de mettre leurs compétences au profit de l’action collective dans un cadre légal défini et le respect d’une stricte éthique partagée.”

Finalement OpenFacto lui a demandé son point de vue sur l’OSINT et si elle peut être une pierre angulaire des actions numériques. Pour lui, les savoir-faire d’investigation en ligne – terme qu’il préfère – sont essentiels à la contre-guérilla 2.0.

De mon point de vue l’OSINT connaît une évolution spectaculaire depuis quelques années. Elle est, je le crois, une brique essentielle de la guérilla 2.0. Le « cyberespace » signe l’arrêt de mort de ce que nous appelions les « sources ouvertes », cette notion est liée à une vision statique du renseignement où « l’intelligence » c’est d’abord ce qui est secret. Or, aujourd’hui, et en particulier pour conduire des opérations, l’important est de disposer d’une information contextualisée et actualisée. Les systèmes de prise de décision peuvent être rapidement saturés face aux flots continu d’information, il faut donc faire effort sur la qualité plus que la quantité

Dans ce domaine, les outils et les méthodologies d’investigation en ligne (je préfère cette formulation) permettent le croisement et l’exploitation de données accessibles et la production d’information de haute valeur. A ce titre, « l’OSINT » est un savoir-faire essentiel à la guérilla 2.0 et à ceux qui doivent la contrer.”

On recommande donc chaudement cet ouvrage qui offre une vision française rare et intéressante de la nature insurrectionnelle du cyber dans la guerre moderne et offre une esquisse sur comment contrer cette guérilla 2.0. 

Bertrand BOYER, Guérilla 2.0, Guerres irrégulières dans le cyberespace, Décembre 2020, Ligne de Front, Editions de l’école de guerre