Des réductions alléchantes pour des cartes de voyage à 1,95 euro fleurissent sur Facebook et Instagram sous forme de publicités sponsorisées. En suivant les traces numériques de ces publications, nous pouvons mettre à jour un vaste réseau d’arnaques à l’international. Une enquête réalisée par des participants à la formation OpenFacto Niveau 1 durant le mois de juin 2023.
Célia Mercier, Stéphanie Ladel et Poline Tchoubar
NB: Certains sites web mentionnés dans cette enquête servent à mettre en œuvre des arnaques en ligne. Pour des raisons de sécurité, il est recommandé de ne pas les visiter.
« La SNСF fait une promotion et propose une cаrtе de vоyаgе illimités pendant un an, pour seulement €1,95 !» : des messages comme celui-ci ont été publiés par dizaines au début de l’été sur Facebook. Ils sont apparus sous forme de publicités sponsorisées dans notre fil d’actualités, accompagnés d’une photo d’un train SNCF prêt à partir, avec une carte de réductions Max Actif+ au premier plan. Dans les commentaires, des utilisateurs se veulent rassurants : « Pour être honnête, je ne m’attendais pas à obtenir une carte d’abonnement, mais cinq jours plus tard, j’en avais une !».
Publication sur Facebook proposant une carte de réduction SNCF à 1,95 euro.
Si la photo attire l’œil, le prix interpelle les internautes. Une carte SNCF coûte en moyenne une cinquantaine d’euros. Mais un simple coup d’œil permet de remarquer que quelque chose cloche : la page qui poste l’annonce, du nom de « Cartes de voyage à prix réduit », ne ressemble en rien à la page officielle de la SNCF. Une rapide recherche sur Google permet de voir qu’une offre frauduleuse similaire avait été mise à jour par la presse en février 2023. La SNCF affirme n’avoir aucun lien avec ces offres, et indique en mai dernier avoir déposé plainte.
Entre-temps, la page Facebook qui a publié l’offre ci-dessus a été supprimée. Néanmoins, ces offres continuent de pulluler sur les réseaux sociaux. En collectant des informations à partir de cette publication Facebook, nous avons pu mettre à jour un vaste réseau d’arnaques, reliées entre elles par une galaxie de faux profils Facebook. Cet article décrit notre méthodologie pour reconnaître des arnaques en ligne, et savoir qui se cache derrière.
Des profils montés de toutes pièces
En regardant de plus près la publication suspecte sur Facebook, on peut repérer facilement plusieurs signes qui suggèrent une arnaque. Tout d’abord, nous nous sommes intéressés à la photo de l’annonce. Une recherche d’image inversée sur Google, Bing, Yandex ou TinEye permet de voir qu’il s’agit d’un photomontage : l’image originale du train en gare avec une foule de voyageurs avait déjà été publiée auparavant dans le journal L’Aisne nouvelle en janvier 2023, tandis que la main tenant la carte de réduction ont été ajoutées a posteriori.
À gauche, une photo publiée dans L’Aisne nouvelle en janvier 2023. À droite, l’image modifiée publiée dans l’annonce frauduleuse sur Facebook.
Les commentaires sous l’annonce frauduleuse semblent crédibles à première vue. Les commentateurs interagissent entre eux : certains demandent s’il s’agit d’une vraie promotion, d’autres expliquent qu’ils ont d’abord cru à une arnaque, mais qu’ils ont finalement bien reçu le lot en question, ou bien qu’ils ont vérifié auprès de la SNCF. Certaines réponses sont même accompagnées de photos de billets de train, que les utilisateurs auraient reçu gratuitement grâce à la carte de réduction. Pourtant, nous remarquons rapidement qu’il y a toujours à peu près le même nombre de likes sous chaque commentaire. Les mêmes profils reviennent sans cesse : Annie Mato, Auriane Besiade, Pierre Morice…
Les commentaires sous la publication d’arnaque sont toujours likés par les mêmes profils.
Ces profils ont tout pour être crédibles : de nombreuses photos, selfies, photos de groupes, des centaines de followers, des publications historiques qui remontent à plusieurs années. Ce n’est pourtant qu’une illusion : lorsque l’on regarde les publications les plus anciennes, on remarque une petite horloge à côté de la date de publication. Cela signifie que le post a été antidaté. Il suffit de passer la souris sur l’horloge pour voir la vraie date de publication apparaître : sur le profil d’Auriane Besiade, par exemple, son premier post qui semble dater du 3 septembre 2022 a en fait été publié le 15 mars 2023.
Ces photos sur le profil d’Auriane Besiade semblent avoir été publiées le 3 septembre 2022. En passant la souris sur l’horloge, on peut voir qu’en réalité, elles ont été publiées le 15 mars 2023 et ont été antidatées.
Non seulement des publications d’Auriane Besiade ont été antidatées pour donner l’impression d’un profil facebook ancien et authentique, mais certaines de ses photos ont même été volées. On peut s’en rendre compte en effectuant une recherche d’image inversée à partir de sa photo de profil. Sur Google Images, on trouve la même photo dans un article du journal italien New Entry Magazine sur la photographe Giada Pernechele.
La photo du profil d’Auriane Besiade (à gauche) vient en fait d’un article sur la photographe italienne Giada Pernechele (à droite).
À y regarder de plus près, la page Facebook « Cartes de voyage à prix réduit », qui a publié l’annonce frauduleuse, présente aussi plusieurs signes suspects. Le post d’arnaque est sa seule publication. En guise de description, un simple lien hypertexte vers un site qui ne ressemble en rien au site de la SNCF. Dans l’onglet « Page transparency », on apprend que la page a été créée très récemment, le 1er juin 2023, et que ses administrateurs ne sont pas localisés en France mais… en Ukraine ! Selon Facebook, le pays de résidence des administrateurs est déterminé par « les informations et l’activité d’une personne sur les produits Facebook, y compris l’emplacement indiqué sur son profil Facebook, et les informations relatives à l’appareil et à la connexion. ». Ces multiples pages semblent donc être alimentées depuis l’Ukraine.
Capture de la page Facebook qui a posté l’offre frauduleuse.
Dans l’onglet « Page transparency » de la page Facebook « Cartes de voyage à prix réduit », on peut voir que la page a été créée le 1er juin 2023 et qu’elle est administrée depuis l’Ukraine.
L’onglet “Page transparency” permet également de voir les anciens noms d’une page Facebook. Grâce à celà, nous avons remarqué que plusieurs pages qui faisaient la promotion du faux pass SNCF ont changé de nom quelques semaines après le début de notre enquête. Ainsi, une page qui portait le nom de “Cartes de voyage en France” est devenue “Tickets for travel” en anglais le 29 juin 2023, et a commencé à faire la publicité d’une carte de réduction pour des trains au Canada.
Sur l’onglet “Page Transparency”, on peut voir que la page “Cartes de voyage en France” a changé de nom pour devenir “Tickets for travel”.
Une multitude de pages qui publient des publicités sponsorisées
La page Facebook « Cartes de voyage à prix réduit » est loin d’être la seule à proposer des cartes de réduction à 1,95 euro. En cherchant le nom de la page dans la barre de recherche de Facebook, on tombe sur des dizaines de pages au nom similaire, dont certaines diffusent la même offre frauduleuse. En-dessous, on retrouve les mêmes commentaires que sous le post d’origine, parfois postés par les mêmes faux profils. Ces pages ont toutes été créées à partir de février 2023, et 16 d’entre elles sont administrées depuis l’Ukraine.
Au total, nous avons recensé 15 pages qui relaient l’offre frauduleuse (voir liste en Annexe 1). Nous avons aussi repéré 12 autres pages qui n’ont encore rien posté pour le moment, mais qui ressemblent en tous points aux pages d’arnaque : un nom générique, une image de train SNCF en photo de couverture, et une unique url en guise de description. Ces pages pourraient être utilisées à l’avenir pour diffuser des arnaques.
Certaines de ces pages diffusent l’offre frauduleuse sous forme de publicité sponsorisée. Cette fonctionnalité permet à un administrateur de payer l’entreprise Meta (maison-mère de Facebook et Instagram) pour promouvoir une de ses publications dans les fils d’actualité d’un maximum d’utilisateurs. Si l’on cherche dans la bibliothèque publicitaire de Meta les mots-clés « SNCF 1.95 euro », on trouve par exemple une page du nom de « Billets de train à prix réduit », qui diffuse la même annonce sous forme de publicité sponsorisée. Nous avons effectué cette recherche le 6 juillet 2023. Si vous reproduisez l’expérience, vous aurez sans doute affaire à une autre page, car ces campagnes sont éphémères : les pages qui les promeuvent varient, et de nouvelles pages viennent instantanément remplacer celles qui auraient été supprimées suite à un signalement.
Descriptif de la campagne de publicité sponsorisée sur Meta Ad Library, consultée le 6 juillet 2023.
L’annuaire liste les plateformes où la publicité est promue : on reconnaît les logos de Facebook, Instagram, et Messenger, ainsi qu’un quatrième insigne moins connu – il s’agit de « Meta Audience Network ». Cette mention indique que la publicité est également promue sur les autres applications et sites où surfent les utilisateurs de Facebook et Instagram, grâce aux cookies qui pistent leur navigation. Autrement dit, après être passé sur Facebook, vous pourrez voir une publicité pour la fausse carte Max Actif+ sur les autres sites que vous consultez.
Sur Instagram, on retrouve ainsi la même publicité, avec la mention « sponsorisé », indiquant que l’administrateur de la page a payé pour que sa publication soit mise en valeur.
L’offre frauduleuse de carte de réduction Max Actif+ est diffusée sous forme de publicité sponsorisée sur Facebook et Instagram, le 5 juillet 2023.
Un vaste réseau d’arnaques reliées par une galaxie de faux comptes
Les faux profils qui interagissent avec différentes offres frauduleuses ne se contentent pas de vanter les mérites de la carte SNCF à 1,95 euro. Parmi les pages qu’ils suivent, on retrouve d’autres possibles pages d’arnaque : parmi les likes d’Auriane Besiade, par exemple, on voit une autre page « Billets de train à prix réduits », ainsi qu’une page en Allemand proposant une réduction pour un pass annuel de la Deutsche Bahn à 1 euro.
Grâce au logiciel Gephi, nous avons cartographié les faux profils qui interagissent avec les offres de cartes SNCF à 1,95 euro, ainsi que les autres pages qu’ils suivent. Nous sommes partis de dix publications proposant de fausses cartes SNCF (en vert sur le graphique). Nous avons listé tous les profils qui ont commenté ces publications (en orange), ainsi que les autres pages que ces profils ont likées (en violet). Nous avons ainsi identifié des dizaines d’autres pages de possibles arnaques, proposant tour à tour des appareils électroménagers, des réductions dans des supermarchés, ou des appareils électroniques. Cette infographie montre les publications Facebook de fausses promotions SNCF (en vert), les profils qui ont commenté ces publications (en orange) et les autres pages d’arnaques auxquelles ils sont abonnés (en violet).
En continuant les recherches, nous avons identifié des dizaines de pages Facebook usurpant l’identité et les logos de marques connues : SNCF, Amazon, TotalEnergies, Samsonite, Monsieur Cuisine Connect, Dyson, iPhone, La Poste… et disant proposer toutes sortes de produits à 1,95 euro : pass Navigo, objets high tech, électroménager, cartes de carburant, places pour des parcs d’attraction…
Ce réseau déploie ses pages en plusieurs langues (anglais, français, espagnol, hongrois, tchèque, finlandais, hébreu, portugais…), ciblant divers pays européens, Israël, les Etats-Unis et le Canada. L’arnaque SNCF a été par exemple déclinée au Canada avec Via Rail, en Espagne avec Renfe, en Allemagne avec Deutsche Bahn.
Par exemple, en plus de l’arnaque SNCF, le faux profil d’Auriane Besiade a aussi commenté une page en hébreu sur une promotion pour un aspirateur de la marque Dyson :
Le faux profil « Auriane Besiade » a aussi commenté en hébreu une offre pour un aspirateur Dyson.
Une société portugaise au sein d’une nébuleuse de sites signalés pour fraude
Qui sont les bénéficiaires de ce vaste réseau d’arnaques sur les réseaux sociaux ? Pour répondre à cette question, notre point de départ a été une information cruciale donnée par le journal Le Monde dans un article du 16 mai 2023 intitulé «Arnaque de la carte de train à 1,95 euro : la SNCF dépose plainte ».
Pour en savoir plus sur cette arnaque, une journaliste du Monde a choisi de commander une carte Max Actif+. Elle a été invitée à participer à un jeu concours en cliquant sur des icônes de cadeaux. Une fausse loterie, où la fausse carte SNCF surgit de la troisième icône. Elle décrit ce qu’il s’est passé ensuite : «Nous avons donné nos coordonnées et payé en ligne. La somme de 1,95 euro a été débitée de notre compte, au profit de “SWETIDES.COM +3513 à Lisbonne”. Quelques jours plus tard, c’est la somme de 49,80 euros qui a été débitée au profit de cette société. » Mais la carte ne sera bien sûr jamais reçue.
Nous avons voulu en savoir plus sur « swetides.com », destinataire du prélèvement bancaire. Il s’agit d’un site web proposant des “services de gestion simplifiée d’abonnements”. Sur la page d’accueil, on peut voir un numéro de téléphone, commençant par +351 3 (+351 étant l’indicatif téléphonique du Portugal), ce qui correspond aux chiffres indiqués par le destinataire du prélèvement bancaire. La page “FAQ” liste des questions comme “Comment annuler mon abonnement ?”, “Pourquoi un prélèvement “swetides.com” figure dans mon relevé bancaire ?”. En bas de page est noté le nom d’une entreprise portugaise : Paginas Louvaveis, et son numéro d’enregistrement : 516676423.
Captures d’écran du site swetides.com.
Nous retrouvons la société Paginas Louvaveis dans le registre du commerce du Portugal. Son activité est la vente par correspondance. À sa création, elle était entièrement détenue par un certain Alexandru Borsci. Sur Linkedin, un utilisateur du nom d’Alexandru Borsci indique diriger Paginas Louvaveis depuis décembre 2021 : “J’ai participé dans tous les aspects du développement des affaires depuis l’analyse de marché et les finances jusqu’aux opérations et au marketing,” écrit-il sur sa page. Nous retrouvons son profil Facebook, où il dit vivre à Lisbonne et venir de Chisinau en Moldavie. A-t-il joué un rôle dans l’arnaque à la fausse carte SNCF ? L’enquête en sources ouvertes ne nous permet pas de le savoir.
Capture de la page Linkedin d’Alexandru Borsci, consultée le 5 juillet 2023.
Swetides.com n’est pas le seul site lié à l’entreprise portugaise. Une nébuleuse de sites mentionnent Paginas Louvaveis en bas de leur page d’accueil. En tapant le numéro d’enregistrement de Paginas Louvaveis entre guillemets dans Google, le moteur de recherche fait apparaître de nombreux sites ayant la même structure, la même mise en page avec les mêmes couleurs, et le même bas de page comportant le numéro d’enregistrement de Paginas Louvaveis. Certains utilisent même le même favicon, petite image personnalisable qui apparaît à gauche du nom du site dans les résultats de recherche.
Sur cette capture des résultats de recherche Google, on voit que plusieurs sites mentionnent le numéro d’enregistrement de Paginas Louvaveis. De plus, certains utilisent la même image en guise de favicon.
Le numéro d’enregistrement de Paginas Louvaveis revient dans les mentions légales de dizaines de sites internet : des sites de rencontre, d’abonnement à des livres numériques… Sur 41 sites repérés, 13 font l’objet de signalements d’arnaques : des utilisateurs se plaignent de prélèvements bancaires mensuels dont ils ne connaissent pas l’origine et qu’ils ne parviennent pas à arrêter. Croyant payer 1,95 euro pour une promotion, les victimes sont en réalité abonnées à leur insu à des livres numériques, du coaching, des sites de rencontre.Les signalements d’arnaques nous indiquent la réelle fonction des sites liés à Paginas Louvaveis : il s’agit de fausses loteriespour gagner un téléphone, un bon d’achat pour des vêtements, ou encore … un pass SNCF à 1,95 euro. Cette fois-ci, il est proposé par un autre site : beinstop.com, avec exactement la même mise en page que swetides.com.
Capture d’écran d’un signalement d’arnaque sur le signal-arnaques.com concernant le site beinstop.com. Un utilisateur affirme que ce site propose de fausses promotions SNCF.
A gauche, le site swetides.com, indiqué dans le libellé du prélèvement bancaire pour la fausse carte SNCF commandée par Le Monde. A droite, le site beinstop.com, qui ne diffère que par ses informations de contact.
En continuant nos recherches, nous remarquons un curieux schéma de facturation croisée. En cherchant le nom du site “beinstop.com” sur Google, nous trouvons qu’il a été mentionné sur un autre site du nom de beinstatop. Il se présente en tant que site d’abonnement à une plateforme et à des livres numériques de conseils pour améliorer sa popularité et son marketing sur Instagram, pour 85,80 euros par mois, avec une période d’essai de 5 jours à 1,95 euro. Le mot-clé “beinstop.com” apparaît dans les conditions de vente de l’abonnement : il est indiqué que les frais pourront apparaître sur la facture comme “lengfee.com +35924930126 beinstatop.com pxbeinstatop.com beinstop.com geekfez.com beistop.com+33974591492”. Une ribambelle de sites, tous semblables, peuvent donc apparaître sur la facture du prétendu abonnement.
Capture du site beinstatop.com, qui liste tous les autres sites Internet dont le nom peut figurer dans la facture de l’abonnement.
Le système d’abonnement avec renouvellement par accord tacite dont sont victimes les internautes apparaît sur cette page de conditions générales de vente (CGV). Après une “période d’essai de 5 jours à 1,95 euros”, une clause de reconduction tacite prévoit des prélèvements de 49,80 euros par mois si l’utilisateur ne s’est pas désabonné. Ces conditions de vente sont souvent dissimulées aux victimes au moment du paiement. Ce type de fraudes aux abonnements cachés a explosé au cours des derniers mois, comme alertait le site Signal-Arnaques en janvier 2023.
La page indique également que ces sites sont exploités par une nouvelle entreprise : “Bookstorm Limited , un marchand de e-commerce situé en Bulgarie“. En cliquant sur les conditions générales de vente, on trouve son numéro d’enregistrement, son adresse, et le nom de son directeur : Sergey Telpis.
Un réseau de facturation croisée apparaît, qui révèle les interconnexions entre Paginas Louvaveis et de nombreuses autres sociétés. Nous reproduisons les mêmes recherches concernant d’autres sites liés à Paginas Louvaveis, et identifions ainsi deux autres entreprises : Ideas Market International KFT, basée en Hongrie, et Enigma Frenetico, basée au Portugal. Comme Paginas Louvaveis, ces trois nouvelles sociétés en Bulgarie, Hongrie et Portugal sont aussi mentionnées en bas de page de nombreux sites web identiques. Et elles aussi sont l’objet de signalements d’arnaques.
Un réseau tentaculaire lié à de multiples escroqueries
Une adresse mail est régulièrement signalée dans les plaintes liées aux sites de Paginas Louvaveis et des trois sociétés qui lui sont liées : « ». C’était le cas dans le signalement du site beinstop que nous avions observé plus haut :
Capture d’écran d’un signalement d’arnaque sur signal-arnaques.com concernant le site beinstop.com, avec l’adresse mail « ».
Selon le site Domaintools, ce nom de domaine a été créé le 20 juin 2018. Les informations sur la personne qui a enregistré le nom de domaine (le registrant) ont été anonymisées par l’utilisation d’intermédiaires : WhoisGuard INC, basé au Panama, entre 2018 et 2020, et Privacy service provided by Withheld for Privacy ehf, basé en Islande, depuis 2021. L’historique des enregistrements, obtenu par WhoisXMLAPI, montre que les informations sur le propriétaire du nom de domaine ont été modifiées 11 fois depuis 2018, dont déjà trois fois en 2023 : le 21 mai, le 21 juin et le 12 juillet.
Selon une information du site d’intelligence financière Fintelegram, que nous n’avons pas été en mesure de corroborer, un réseau letton serait à l’origine des escroqueries liées à greatoffers.email.
En recherchant des escroqueries signalées avec le mot clé « », notamment sur le site « Signal Arnaques », il est possible de réaliser un mapping plus vaste d’autres sociétés connectées au réseau initialement identifié autour de Paginas Louvaveis. Des sociétés qui se trouvent à Chypre, en Pologne, en Angleterre, en Espagne, au Portugal, en Slovénie… La recherche effectuée pour l’enquête n’est cependant pas exhaustive et au-delà de la vingtaine de sociétés identifiées, d’autres sont certainement liées à ce réseau.
Malgré les signalements, les offres frauduleuses de cartes SNCF à 1,95 euro continuent à être diffusées par le biais de publicités sponsorisées sur Facebook et Instagram. En mars 2023, l’entreprise Meta, maison-mère de ces deux réseaux sociaux, a publié une nouvelle méthode de lutte transversale contre les principales menaces en ligne, des campagnes de manipulation à l’espionnage en passant par les arnaques et la pédopornographie. Basée sur la collaboration avec différentes plateformes, cette stratégie vise à identifier des points communs dans les modes opératoires des arnaqueurs en ligne. L’étude de cas sur l’arnaque aux fausses offres de pass SNCF en constitue un exemple.
L’article a fait l’objet d’une modification le 17/09/2023 : la cartographie des entreprises (annexe 2) a été mise à jour.
On January 18, 2022, OpenFacto published the first results of its investigation into InfoRos, an « information agency » suspected of acting on behalf of Russian military intelligence, the GRU. Our investigation focused on a network of a thousand Russian-speaking websites created and maintained by InfoRos to spread patriotic and anti-Western rhetoric among the Russian population. This galaxy of portals targeted localities throughout Russia, but also specific communities, including ethnic and religious minorities living in Crimea.
OpenFacto has continued its investigations into lnfoRos, and today releases a second report on the Russian agency’s digital operations. Focusing on old InfoRos related domain names, basic heuristics helped us identify nearly 600 new portals administered by InfoRos since the year 2000. This new investigation brings the total number of domain names linked to the agency to 1 945.
While most of them were used to establish a local informational anchor in Russia, OpenFacto discovered several networks of sites that sought to influence the politics of foreign countries or support the diplomatic, economic, and military interests of the Russian government. Compared to the local websites described in our first report, the techniques of influence employed by these networks are radically more pernicious: InfoRos has, among other things, supported secessionist political parties in countries of the post-Soviet space, taken advantage of historical or ethnic conflicts to maintain Moscow’s hold in conflict zones, and financed competitions and conferences abroad to promote cooperation with Russia. At the same time, the agency has repeatedly hammered home to the Russian population and its new allies that the « West » is hypocritical, threatening, but in the process of giving way to new centers of power, of which Russia would be one of the main representatives.
To do so, InfoRos relied on local structures and agents of influence from the targeted countries, who organized physical events and promoted Russian positions to international organizations or their own authorities. The agency also hired Western nationals who sympathized to the Russian cause to create and disseminate content that was favorable to the editorial line prescribed by the Russian government. The speeches were deliberately directed towards audiences considered easily influenced, such as young people and victims of armed conflicts.
In the context of the invasion of Ukraine launched by Russia on February 24, 2022, this historical approach sheds a harsh light on the digital influence strategy of the GRU since the early 2000s. Over 20 years, InfoRos has woven a gigantic web of sites designed to support the Russian government’s strategic interests, regularly evolved its objectives, its discourse, and its methods of influence. Despite the numerous publications on its malicious activities, the Russian agency currently continues to register domain names and to exploit social networks to manipulate the narrative in the media, more particularly by trying to discredit the Kyiv government and the assistance it receives from Western countries.
Before presenting the main historical networks, we will first retrace the course of InfoRos’ activities from the end of January to March 2022, and with good reason. The agency seems to have reacted to the publication of our first investigation, and since then has dismantled a significant part of its infrastructure. This reaction suggests that InfoRos has attempted to limit the public exposure of its targeting of the Russian population. To conclude, we intend to return to two aspects of InfoRos’ work that were discussed in the January report, but on which our new investigations have shed a new light: the creation of domain names for commercial purposes, and the geographical distribution of local web-sites in Russia.
Les plateformes telles que Flightradar24 et ADSB Exchange sont une référence pour suivre les trajets des avions commerciaux et des jets privés. En revanche, peu sont ceux qui savent qu’il est aussi possible de traquer soi-même les avions qui passent à proximité en installant sa propre antenne ADSB.
En octobre 2021, OpenFacto a organisé une masterclass sur le suivi des avions, animée par Emmanuel Freudenthal. À l’issue de la formation, Mudsor Masood (@mudpak) a rédigé un guide détaillé pour collecter des données de localisation des avions depuis chez soi.
Les plateformes de suivi d’avions comme Flightradar24, ADSB exchange ou Flightaware obtiennent leurs données via des milliers d’antennes installées partout dans le monde, souvent par des particuliers. Grâce à des antennes pas plus grandes qu’un stylo, ces passionnés d’aviation captent les données AIS des avions qui passent près de chez eux, et les envoient automatiquement aux plateformes de suivi d’avions. En échange, les plateformes proposent souvent un accès privilégié à leurs données (davantage d’informations historiques, etc). Installer sa propre antenne ADSB permet d’améliorer la couverture mondiale du ciel, et contribue à rendre les avions plus faciles à suivre.
Ce tutoriel vous guidera pas à pas dans l’installation de votre antenne ADSB, depuis la configuration du Raspberry Pi jusqu’à la validation du compte sur les plateformes de flight tracking.
Le 18 janvier 2022, OpenFacto a publié les premiers résultats de son enquête sur InfoRos, une « agence d’information » suspectée d’agir pour le compte du renseignement militaire russe, le GRU. Notre investigation portait sur un réseau d’un millier de sites Internet russophones créés et maintenus par InfoRos pour diffuser une rhétorique patriotique et anti-occidentale auprès de la population russe. Cette galaxie de portails ciblait des localités situées à travers toute la Russie, mais également des communautés spécifiques, dont des minorités ethniques et religieuses vivant en Crimée.
OpenFacto a poursuivi ses investigations sur lnfoRos, et publie aujourd’hui un second rapport sur les opérations numériques de l’agence russe. En se focalisant sur les anciens noms de domaine liés à InfoRos, des pivots techniques ont permis d’identifier près de 600 nouveaux portails administrés par InfoRos depuis l’an 2000. Cette nouvelle enquête porte donc à 1 945 le nombre total de noms de domaine connus de l’agence. Si la majorité d’entre eux a servi à constituer un ancrage informationnel local en Russie, OpenFacto a découvert plusieurs réseaux de sites ayant cherché à influer sur la politique de pays étrangers, ou à soutenir les intérêts diplomatiques, économiques, et militaires du gouvernement russe.
Comparées aux sites locaux décrits dans notre premier rapport, les techniques d’influence employées par ces réseaux sont radicalement plus pernicieuses : InfoRos a notamment soutenu des partis politiques sécessionnistes dans des pays de l’espace post-soviétique, joué sur des conflits historiques ou ethniques pour maintenir l’emprise de Moscou dans des zones de conflit, et financé des concours et des conférences à l’étranger pour promouvoir la coopération avec la Russie. En parallèle, l’agence n’a eu de cesse de marteler à la population russe et ses nouveaux alliés que « l’Occident » était hypocrite, menaçant, mais en voie de céder sa place à de nouveaux centres de puissance dont la Russie serait l’un des principaux représentants.
Pour ce faire, InfoRos s’est appuyée sur des structures locales et des agents d’influence originaires des pays visés, qui organisaient des événements physiques et faisaient valoir les positions russes auprès d’organisations internationales ou de leurs propres autorités. L’agence a également débauché des ressortissants de pays occidentaux acquis à la cause russe pour créer et diffuser des contenus favorables à la ligne éditoriale prescrite par le gouvernement russe. Des discours volontairement dirigés vers des publics considérées comme facilement influençables, tels que la jeunesse et les victimes de conflits armés.
Dans le contexte de l’invasion de l’Ukraine, lancée par la Russie le 24 février dernier, cette approche historique jette une lumière crue sur la stratégie d’influence numérique du GRU depuis le début des années 2000. En 20 ans, InfoRos a tissé une gigantesque toile de sites destinés à accompagner les intérêts stratégiques du pouvoir russe, faisant régulièrement évoluer ses objectifs, son discours et ses méthodes d’influence. Malgré les nombreuses publications sur ses activités, l’agence russe continue actuellement d’enregistrer des noms de domaine et d’exploiter les réseaux sociaux pour manipuler l’actualité, en tentant notamment de décrédibiliser le gouvernement de Kyiv et l’assistance qui lui est portée par les pays occidentaux.
Avant de présenter ces principaux réseaux historiques, nous retracerons dans une première partie le cours des activités d’InfoRos de fin janvier à mars 2022. Et pour cause, l’agence semble avoir réagi à la parution de notre première enquête, et démantelé depuis cette période une partie importante de son infrastructure. Cette réaction suggère qu’InfoRos a tenté de limiter l’exposition publique de son ciblage de la population russe. Enfin, nous proposons en conclusion de revenir sur deux aspects du travail d’InfoRos abordés dans le rapport de janvier, mais que nos nouvelles investigations ont permis de mieux cerner, à savoir la création de noms de domaine à finalité commerciale, et la répartition géographique des sites locaux en Russie.
Un résumé des principales découvertes d’OpenFacto sur l’évolution de la stratégie et des tactiques d’InfoRos est disponible à la fin de ce rapport, p. 71. La liste complète des 1 945 noms de domaines liés à InfoRos est par ailleurs accessible en cliquant les liens ci-dessous.
Crossover a découvert que les prédictions produites par la fonction d’autocomplétion de Google (Google autocomplete) proposait presque systématiquement le nom d’un média pro-Kremlin dès lors que des citoyens belges francophones recherchaient le terme « Donbass » dans le moteur de recherche. D’autres prédictions de Google proposent par ailleurs les noms d’individus notoirement pro-Kremlin.
Le 24 février 2022, Vladimir Poutine a lancé une « opération militaire spéciale » en Ukraine. Les yeux rivés sur l’Ukraine, l’Europe a regardé la Russie envahir ce pays. De nouveaux termes ont alors commencé à être prononcés par des journalistes, termes que beaucoup de personnes n’avaient jamais entendus auparavant : Kharkiv, Azov, dénazification, Boutcha, Donbass…
Quel est le réflexe désormais reconnu dès lors que quelqu’un entend un mot qu’il ne connaît pas ? Le googler. Selon les données de Google Trends, l’intérêt des utilisateurs belges pour le terme « Donbass » a augmenté de manière extrêmement importante, ceci se reflétant évidemment sur les tendances de recherches de Google.
Lorsqu’un utilisateur tape un certain mot sur le moteur de recherches de Google, la fonction de prédiction de la recherche essaie de deviner ce que l’utilisateur a en tête et propose de compléter le reste de la recherche, via un algorithme. Alors même qu’il tape, l’utilisateur voit s’afficher une boite proposant différentes prédictions, chacune lançant une recherche associée. Ce système est appelé Google Autocomplete Prediction.
Entre Février et Août 2022, quand les utilisateurs belges recherchaient des information sur le Donbass, Google Autocomplete Prediction complétait leur recherche avec des termes particulièrement douteux.
Notre investigation prouve que la recherche « Donbass » a été associé avec « Insider », « Anne Laure Bonnel », « Insider Christelle », parmi d’autres prédictions. En proposant le terme « Insider » comme complément de recherche de l’utilisateur, Google le dirigeait vers Donbass Insider, une source de propagande pro-Kremlin accusée de propager de la désinformation sur la guerre en Ukraine, et plus particulièrement sur le conflit au Donbass. Parfois, certains de ses canaux de communication associés, tels que Youtube ou Odysee, où sont produits le même genre de contenu, étaient également proposés.
Google proposait aussi l’expression « Anne Laure Bonnel », qui fait référence à « une journaliste française dont la visibilité a augmenté dès lors qu’elle eut présenté une analyse pro-russe du conflit au Donbass, y compris des informations trompeuses », selon ISD.
Enfin, la prédiction « Christelle » conduit à Christelle Néant, fondatrice de Donbass Insider qui bénéficie d’un solide réseaux de followers sur divers réseaux sociaux pour diffuser ses contenus et sa rhétorique pro-Kremlin.
Cet article est le fruit d’une enquête au long cours menée depuis juillet 2021 sur un acteur clef de la désinformation français, par OpenFacto et SourcesOuvertes sur Twitter en collaboration avec le site ConspiracyWatch. Il présente toutefois quelques nouveaux éléments d’identification et dresse un panorama méthodologique d’enquête sur la désinformation sur Internet. Les liens présents dans cet articles sont soit tronqués, soit présentés sous leur forme d’archive afin de ne pas générer de rétroliensde promotion du site.
1.98 millions de vues en juillet 2021…
Signalé en juillet 2021 sur Twitter par Tristan Mendès-France, le site internet de réinformation d’inspiration QAnon Qactus[.]fr présente à l’époque un nombre impressionnant de vues mensuelles selon https://www.similarweb.com/fr/ :
Si, ces trois derniers mois, son audience a quelque peu diminué, elle représente toujours plus d’un million de visiteurs mensuels. D’ailleurs le site lui-même en fait la promotion sur sa page, dans le footer (73.6+M de visites à la date de publication de cet article…).
Techniquement, Qactus est un blog hébergé par WordPress, et son nom de domaine est enregistré depuis le 6 mai 2020. Cette information est cohérente avec les premières traces de pages vues sur l’Internet Archive.
Ligne éditoriale
Si le site est très fréquenté, sa ligne éditoriale du site est prompte à mettre le lecteur dans un état profond (deep state… vous l’avez?) de perplexité :
Un GoogleDork assez basique montre par ailleurs que ce site recommandait également en 2021 des lectures très particulières…
Mais comment définir un peu plus précisément la ligne éditoriale de ce site?
En utilisant le logiciel libre Hyphe, il est possible en partant de ce site de collecter une grande partie des liens hypertextes contenus dans les 8.341 articles qu’il contient. De manière récursive, on applique la même technique sur ces liens découverts afin de vérifier si ceux-ci font également référence à des liens similaires ou à Qactus.
Jolifié à l’aide Gephi, il est dès lors possible de visualiser avec Retina les connexions entre ces liens, c’est à dire les citations communes et de repérer ainsi des sous-communautés d’intérêt.
On constate ici qu’à de très rares exceptions (quelques articles du Monde, du Mediapart ou du Guardian par exemple), l’essentiel des liens remontés sont issus de la sphère complotiste et/ou de réinformation, française ou internationale, et que ces sites, ou profils, se re-citent entre-eux, agissant comme une bulle informationnelle.
Une bulle efficace?
Avec un tel contenu mêlant notamment complot, antivax, antisémitisme, et admiration pro-russe, quel peut être l’impact de ses publications sur un réseau social? Qactus est officiellement absent de Twitter : son compte a été suspendu. Il utilise principalement Gab, Vk, Facebook et Telegram pour diffuser ses articles. Cependant, ses publications y sont régulièrement reprises. Or ce réseau présente plusieurs intérêts : il est assez grand-public pour toucher une audience plus large que les plateformes plus confidentielles telles que Gab, et contribuer ainsi à sa viralité, et il est possible pour nous de récupérer facilement des données par scraping.
En collectant avec snscrape l’intégralité des tweets encore disponibles et contenant l’expression « qactus[.]fr », il est possible d’obtenir une liste de 119.789 tweets depuis le 26 juin 2020 (ce qui représente un peu plus de 170 tweets par jour…). Il est important de prendre en compte à ce stade qu’il ne s’agit que d’une photographie à un instant précis des tweets actuellement visibles : des comptes aujourd’hui fermés ont pu relayer encore plus ce contenu par le passé. Le corpus ainsi remonté est toutefois assez conséquent et permet de tirer quelques enseignements sur cette bulle.
9.016 utilisateurs ont ainsi repris et diffusé ces liens sur la période concernée. Certains sont particulièrement prolixes. Après nettoyage des données brutes sous OpenRefine, et à l’aide du logiciel R, et de Rstudio, il est possible d’établir le palmarès des 50 plus gros promoteurs de qactus s’établit ainsi :
Note : Les identifiants ont été anonymisés et le décompte des tweets ne tient compte que des URLS uniques. A titre d’exemple le premier des promoteurs a posté à lui-seul 3.910 liens uniques qactus sur Twitter: un vrai fan.
Ainsi trois de ces utilisateurs cumulent plus de 9.000 retweets chacun sur leurs tweets embarquant des liens vers un post sur qactus, et d’autres utilisateurs réalisent eux aussi de jolies performances.
L’analyse des likes sur ces tweets est par ailleurs également intéressante :
L’ensemble de ces données permet de cartographier une douzaine de profils particulièrement influents qui diffusent avec beaucoup de succès les posts du blog :
Il pourrait être envisagé de produire d’autres types d’analyses sur l’ensemble de ce jeu de données, mais cette première approche permet de rapidement montrer que même en dehors de sa sphère habituelle d’évolution (les réseaux alternatifs), et par le truchement de comptes influents (inauthentiques ou bien réels), la diffusion de son contenu est bien réelle, régulière, et assez massive.
Plusieurs des comptes observés ici présentent les caractéristiques habituellement observées chez les trolls et désinformateurs :
Plusieurs comptes utilisant des pseudonymes séquentiels;
Des biographies surchargées d’émoji, de descriptions enthousiastes et guerrières, pro-trump, etc;
Des comptes très récents, postant peu de contenus propres et pourtant très suivis;
Du contenu directement relayé depuis Gab et probablement automatisé
etc…
Une hypothèse possible, mais non vérifiée, est que sous un ou plusieurs de ces comptes, se cache en réalité le webmaster du site Qactus.
Mais pourquoi la propagation de ce contenu est-elle une notion importante?
L’argent, le fuel de la désinformation
La désinformation est un ensemble de techniques de communication qui visent à tromper des personnes ou l’opinion publique pour protéger des intérêts, influencer l’opinion publique ou semer la discorde. Dans le cas de qactus, il est d’ailleurs possible de s’interroger ici si l’on est en présence de mésinformation (l’auteur croit que son information est réelle et la diffuse) ou de désinformation (l’auteur sait que l’information est fausse et la diffuse).
Mais une autre motivation est plus probable : l’appât financier.
En effet, si le site est hébergé sur la plateforme WordPress.com (le coût de maintenance est de l’ordre d’une vingtaine d’euros par mois), il n’en oublie pas moins de déclarer un traqueur publicitaire pour générer de l’argent… Il n’y a pas de petits profits.
extrait du code source de la page Qactus
Ce type de traqueurs permet de générer des revenus en revendant les données collectées à Google. S’il est très complexe de déterminer les sommes générées par ce site, il est possible de l’estimer à gros traits de deux manières :
Une simulation opérée sur le site de Google lui-même, pour un site d’information basé en Europe, sur l’estimation basse de 1.3M de visites mensuelles est susceptible de rapporter environ 32.500€ par an, ce qui est déjà, avouons le, plutôt confortable.
Cette estimation, minimale, est à peu près conforme à celles découvertes en recherchant sur Google les articles de blogueurs spécialisés sur le sujet.
Le créateur du site génère donc sans doute et avec l’appui de Google, des revenus complémentaires pour le moins intéressants.
Mais est-il possible de l’identifier?
Qui est Vanec71?
Deux profils de rédacteurs sont référencés sur le site : Laruche71, pseudonyme plutôt récent sur le site et Vanec71, auteur et administrateur historique du site. Le moteur du site étant basé sur WordPress, il est également possible de remonter ces pseudonymes d’auteurs via le dork Google suivant, classique et toujours très puissant :
Par le biais de l’outil Epieos, qui permet de voir comment et sur quels sites est utilisée une adresse e-mail, nous procédons au test de . A la base, la logique intrinsèque de l’outil de Epieos est de procéder à des tests à partir d’une adresse dont on sait qu’elle existe.
Mais rien n’empêche de l’utiliser avec des adresses « potentielles », non?
Commençons donc par tester une adresse Gmail… et le résultat parle de lui-même…
Grâce aux liens fournis par Epieos, nous découvrons que notre exquis webmaster a fait ses courses au Gifi du Creusot :
« Vanec Blue » (le nom renvoyé par Epieos) nous menait également fin 2021 vers une chaîne Youtube, avec deux vidéos peu vues :
Deux vidéos seulement et peu de vues… Ce n’est pourtant pas faute d’en assurer la promotion sur … la chaîne officielle « Qactus – L’Informateur », où on retrouve une des deux vidéos, élément liant un peu plus les deux comptes si besoin en était.
L’étape du mezze
A ce stade, nous avons recueilli quelques éléments intéressants, mais Il convient désormais de les mélanger :
Si le résultat n’est pas fameux sur Google, la même opération menée sur d’autres moteurs de recherches s’avérait beaucoup plus fructueuse en 2021. Ainsi, le moteur Qwant était un peu plus loquace :
Nous retrouvons alors deux de nos pivots, ainsi que plein de pivots supplémentaires :
S’agit il de la personne derrière le site conspirationniste à 1.98 million de vues ?
A ce stade, rien ne permet de l’attester complètement. On peut cependant objecter qu’en terme de probabilités, le pourcentage de personnes qui ont le même pseudonyme (assez signant), habitant dans la même ville de taille très moyenne (population du Creusot : 21887 personnes – 2015) est sans doute assez faible…
Passons la seconde…
Pour résoudre le mystère, on va utiliser l’équivalent du site HaveIBeenPwned. Ce site, qui est ouvert à tous moyennant un abonnement, permet de rechercher des identifiants et mots de passe à l’intérieur d’immenses bases de données ayant préalablement fuité sur internet, suite à des compromissions.
Une recherche sur Vanec71 donne rapidement trois informations clefs : un nom, un prénom et une nouvelle adresse mail chez Microsoft.
« Pat S » aurait-il une adresse au Creusot? Les pages jaunes sont nos amies…
Sacré Patoche…
Golfeur – on peut être QAnon et aimer les sports d’élite – « Pat S » a un profil sur Copains d’Avant indiquant qu’il a certainement vécu un temps à Carcassonne avant de revenir au pays.
Et évidemment, Patoche est bien présent sur VK ou Facebook, ce qui permet de vérifier l’ensemble de ces éléments.
Contacté à de nombreuses reprises, il n’a jamais retourné nos appels.
Pour conclure
A l’aide de quelques outils facilement accessibles, et d’un peu de méthodologie, il est possible d’analyser un de sites moteurs de la désinformation francophone et de constater qu’il est au centre d’un écosystème plus global :
Des liens d’affiliations avec toute la sphère réinformationnelle et complotiste anglophone et francophone
Une propagation virale déborde largement sur les réseaux sociaux conventionnels, avec une communauté forte qui porte et amplifie le message
Une saturation de l’espace médiatique sur les thèmes récurrents de la réinformation et du complot
Un intérêt financier certain, pour un personnage très discret
