OpenFacto forme 20 journalistes du réseau Cenozo au Burkina Faso

OpenFacto forme 20 journalistes du réseau Cenozo au Burkina Faso

OpenFacto s’est rendu à Ouagadougou (Burkina Faso) du 19 au 24 mars 2021 pour former vingt journalistes d’investigation burkinabé, maliens et nigériens membres du réseau CeNoZo.

Le principal objectif de la CENOZO, est de contribuer au renforcement des capacités des journalistes d’investigation ouest-africains à travers des formations, du soutien financier et technique à l’investigation dans divers domaines tels que la corruption, le crime organisé, la mauvaise gouvernance, les violations des droits humains et l’environnement.

La CENOZO, a également pour objectif d’éditer des enquêtes, de faire du mentoring et du réseautage aux journalistes d’investigation ainsi que de porter une assistance juridique à ceux poursuivis pour leur travail. Pour atteindre ses objectifs, la CENOZO s’est entourée de plusieurs partenaires de divers horizons.

Cette formation d’une durée de 4 jours, montée en un temps record par CeNoZo (un mois et demi, en temps de pandémie…) visait à couvrir les bases techniques et juridiques de la recherche en sources ouvertes et d’initier et perfectionner les participants à l’usage des principaux moteurs de recherches et aux réseaux sociaux

Évidemment, une large part était consacrée à la géolocalisation et à la chronolocalisation sous toutes ces formes, le tout sur la base d’exemples très pratiques.

Outre le contenu de la formation, dense, ce type de manifestation reste également pour chaque journaliste, un excellent moyen de développer et cultiver son réseau de connaissance et de travailler en mode collaboratif.

Nous espérons que cet atelier est le premier d’une longue série de collaborations avec CeNoZo!

Merci donc à Arnaud et toute son équipe (Isabelle, Zalissa et Odette, notamment!!!) à Ouagadougou, ainsi qu’à Marthe Rubio de GIJN, pour avoir permis l’organisation de cet évènement!

Sur l’étagère – We are Bellingcat, an intelligence agency for the people

Sur l’étagère – We are Bellingcat, an intelligence agency for the people

A l’occasion de la sortie du livre « We are Bellingcat, an intelligence agency for the people », Eliot Higgins, fondateur du collectif Bellingcat, fait le bilan de plus de dix ans de recherche en sources ouvertes au travers de son expérience personnelle et des enquêtes qui ont fait la réputation du collectif. Pour OpenFacto, il a accepté de répondre à quelques unes de nos questions afin de prolonger la réflexion.

Eliot Higgins livre dans un ouvrage engagé ses débuts dans la recherche en sources ouvertes mêlant engagement personnel et curiosité pour comprendre ce qu’il se passe, scandale des écoutes téléphoniques des tabloids anglais et début des printemps arabes. Vérifier où les événements ont lieu pour attester de leur véracité et suivre les journalistes sur place qui déversent en ligne sur Twitter leur carnet de notes qui ne finiront pas dans l’édition du lendemain. La recherche OSINT de l’époque est finalement simple et souvent autour de la géolocalisation. L’information est abondante et des conflits comme la Syrie ou la révolution en Libye sont documentés comme jamais. Suivre ce qu’il se passe ailleurs en étant en ligne quand on ne peut pas accéder à la ligne de front. Connu pour ses techniques de géolocalisation, Bellingcat a su néanmoins évoluer au fil des enquêtes en utilisant d’autres techniques, notamment l’exploitation de leaks. A la question de savoir si l’utilisation des leaks n’a pas finalement rendu leurs enquêtes moins pertinentes, Higgins nous répond la chose suivante:

« Au cours de notre enquête sur les empoisonnements de Skripal, il est apparu clairement que les informations de l’État policier russe recueillies sur ses propres citoyens étaient pratiquement librement disponibles en ligne par l’intermédiaire de courtiers vendant les informations sur des forums Web publics. Compte tenu de la nature extrême de l’affaire, nous avons discuté de l’utilisation de ces informations dans le cadre de notre enquête car il y avait un manque de preuves open source et les circonstances (empoisonnement dans une ville anglaise à l’aide d’un agent neurotoxique) étaient si extrêmes. Cela nous a conduit à découvrir la véritable identité de ces assassins, nous a conduit à découvrir plus d’empoisonnements par la même unité du GRU en Europe, découvrant finalement le programme d’armes chimiques secrètes de la Russie, et l’équipe du FSB derrière l’empoisonnement d’Alexey Navalny et d’autres assassinats ratés et réussis. en Russie. Nous avons également comparé les informations que nous avons collectées à plusieurs sources indépendantes et à des sources ouvertes dans la mesure du possible, ainsi qu’à l’utilisation de sources ouvertes pour obtenir des informations supplémentaires qui ont contribué à l’enquête. Nous n’utiliserions ces sources que dans les circonstances les plus extrêmes, et étant donné qu’il est probable que nos enquêtes aient empêché de futures tentatives d’assassinat par les mêmes groupes, nous pensons que le jeu en valait la chandelle« 

Ce ton engagé est donné dès le premier chapitre puisqu’il attribue l’essor de la recherche en sources ouvertes à la disponibilité de l’information et des technologies et à la défiance grandissante du citoyen lambda vis à vis des media traditionnels. Cette mise en perspective de la genèse de Bellingcat jette les bases de ce que sera le monde dix ans plus tard entre campagnes de désinformation et documentation citoyenne et numériques des conflits armés et sociaux.

Il résume l’essentiel de la philosophie de l’organisation et en est l’illustration parfaite lui-même: la recherche en sources ouvertes n’a rien à voir avec vos diplômes. Votre réputation est égale à vos résultats. La méthode Bellingcat enseigné dans les ateliers de l’organisation (et via lesquels les fondateurs de OpenFacto se sont rencontrés) est au coeur de la réussite du collectif. A la question de ce qui est au coeur de la recherche en sources ouvertes, Higgins nous répond sans hésiter:

« L’état d’esprit, la méthode sont définitivement au cœur, vous pouvez avoir tous les outils du monde, mais si vous n’êtes pas assez motivé pour vous asseoir devant un écran pendant des heures à la fois en regardant à des milliers de pages Web, de photos ou d’images vidéo, à la recherche de ce petit détail qui parfait votre compréhension, alors vous aurez vraiment du mal. C’est utile d’être passionné pour ce que vous faites, soit par votre sujet, soit par le processus lui-même, mais attention à ce que cela ne remplace pas votre objectivité. Laisser votre passion l’emporter sur votre objectivité est le premier pas dans le monde des complots« .

Higgins revient ensuite sur la constitution de Bellingcat et son mode de fonctionnement autour des enquêtes phares du collectif: MH17, la Syrie et Shripal. Au-delà des anecdotes qui jalonnent ces enquêtes devenues célèbres c’est toute la création d’un écosystème autour de la recherche OSINT que décrit l’auteur et son évolution au fil des années. Il revient notamment sur l’impact des enquêtes du groupe.

« J’ai travaillé avec la CPI et d’autres organes de justice sur la question de l’utilisation de preuves open source dans un contexte juridique. Cela présente des défis uniques, mais aussi des opportunités uniques. L’un des plus grands défis est l’archivage du matériel partagé à partir des zones de conflit. Dans le cas de la Syrie, des organisations telles que les Syrian Archives ont plus d’un million de photographies et de vidéos individuelles du conflit, de sorte que les défis de la gestion des données seuls sont vastes, en particulier lorsque ces données doivent être consultables par les enquêteurs parfois des années, voire des décennies après. Cependant, beaucoup de progrès ont été accomplis, et je pense qu’il ne faudra pas longtemps avant que nous commencions à voir de plus en plus de preuves et d’analyses open source utilisées au tribunal« .

Eliot Higgins décrit aussi au fil des pages la pression exercée par les gouvernements exposés dans les enquêtes du groupe, notamment la Russie: des tentatives de décrédibilisation publique aux actions offensives. OpenFacto lui a demandé comment Bellingcat a su gérer jusqu’à présent les tentatives de leur faire passer de la fausse information

« C’est généralement si flagrant que c’est facile à repérer et que l’effort est généralement très faible. Même lorsque la Russie a commencé à modifier les archives du gouvernement pour nous empêcher d’identifier plus d’espions, cela n’a fait qu’aider, car nous pouvions déterminer quelles données avaient été modifiées à l’aide d’autres sources, et donc montrer que les données étaient modifiées à un niveau élevé, ce qui indique que les services de sécurité russes étaient impliqués. Ils auraient tout aussi bien pu mettre une grande lumière clignotante sur les données en disant « QUELQUE CHOSE DE VRAIMENT INTÉRESSANT SE PASSE ICI« .

Dans les derniers chapitres de son livre, il évoque les mesures de sécurité que certains états ont pu prendre en réaction à certaines enquêtes comme l’a également remarqué OpenFacto.

« Dans le cas de la Russie, notre travail a incité les autorités à adopter des lois pour tenter d’empêcher la publication du type d’informations que nous utilisons, par exemple des photos personnelles de soldats russes que nous avons utilisées pour enquêter sur l’implication de la Russie dans la destruction du MH17 et plus généralement sur le conflit en Ukraine. Nous pensons qu’il est tout à fait naturel que les gouvernements qui n’ont pas de bonnes intentions essaient de couvrir leurs traces, et la seule façon de prouver les arguments que nous essayons de faire valoir, souvent contre des acteurs qui feront de fausses allégations sur nos sources et nos méthodes est d’être aussi transparent que possible« .

Le dernier chapitre du livre offre une réflexion prospective mais aussi évoque quelques projets moins connus du collectif. Higgins revient pour nous un projet qui lui tient particulièrement à coeur.

« Une partie de notre travail sur la justice et la responsabilité légale a été de travailler avec le Global Legal Action Network et d’autres partenaires pour développer un processus d’archivage et d’enquête open source dans le but d’utiliser les informations collectées et analysées dans des affaires juridiques. C’est un processus continu, mais notre travail sur le Yémen qui met en oeuvre cette méthodologie a déjà été utilisé, et nous continuons à affiner et à améliorer le processus. Je pense que pour beaucoup de gens qui s’impliquent dans une enquête open source, la recherche des responsables est un facteur de motivation important, et je suis vraiment heureux que nous puissions contribuer à y parvenir d’un point de vue pratique« .

We Are Bellingcat: An Intelligence Agency for the People écrit par Eliot Higgins est disponible ici

La détection de la désinformation sans coder

La détection de la désinformation sans coder

Lors de la préparation d’un atelier, on s’est demandé s’il fallait absolument savoir coder ou utiliser des outils un peu compliqués à manipuler  pour détecter et visualiser une campagne de désinformation ou misinformation. Ou bien est-il possible de la détecter et cartographier rapidement avec un peu de méthode et quelques clics? Tentative d’oulipo numérique pour lequel on a banni les mots python et Gephi du billet.

Donald Trump Says "Fake News" - Compilation - YouTube
Avouez qu’on ne fait pas meilleur mannequin pour memes viraux

Cadrer l’étude de la campagne avec le AMITT Framework

On aime assez l’approche de COGSEC Collaborative – pour Cognitive Security – une ONG qui s’est donnée pour mission de mettre dans la même pièce des analystes en sécurité informatique, des scientifiques big data et des experts du domaine pour approcher les campagnes de désinformation comme des attaques informatiques et y appliquer la même analyse pour définir des contre-mesures. Ils se sont donc inspirés d’un cadre de modélisation des procédés d’intrusion dans un système informatique – le MITRE ATT&CK framework

Le AMITT Framework pour Adversarial Misinformation and Influence Tactics and Techniques est donc un cadre d’analyse pour décrire et comprendre les “incidents” de désinformation (pour reprendre la terminologie de sécurité informatique).   Il est intéressant de noter que l’analyste va détecter la campagne par les artifices mis en place dans le cadre de la désinformation: comptes Facebook, faux sites, memes pour remonter jusqu’à la détection d’une véritable campagne mise en oeuvre. 

@COGSEC Collaborative

Cette modélisation permet de décrire de manière systématique et organisée une campagne de désinformation ou de contre-mesures mais aussi de cadre sa recherche sur la base de douze catégories décrites ici.

COGSEC Collaborative propose un module interactif en ligne qui permet de rapidement ajouter la technique utilisée dans la campagne étudiée. Utiles les onze premières catégories (la dernière correspond à l’évaluation de la campagne) fonctionnent un peu comme une check-list des grands axes à investiguer. Comme l’observateur détecte la campagne de désinformation d’abord par sa rencontre avec des artéfacts visibles, on débutera par la droite de la matrice.

Go physical – la partie visible et extrême de l’iceberg

La manifestation physique d’une campagne de désinformation est pour le moment assez rare – quoi que – et consiste en un résultat dans le monde physique incité en ligne: organisation de manifestation ou regroupement, vente/achat de produits dérivés ou encore organisation de fausses missions d’observation électorale. Ici l’idée consiste à établir un lien entre l’événement physique et une origine numérique. Un monitoring live des événements sur un Tweetdeck et à une recherche des groupes appelant à aller manifester par exemple permet de spotter des indicateurs d’une campagne potentielle comme un hashtag, des comptes « porte parole« , des communautés et du contenus image et narratifs.

Exposure – le défi du plus grand nombre

Voir et revoir la même histoire sur plusieurs réseaux sociaux fait partie de la phase d’amplification de la campagne de désinformation. Plusieurs outils en ligne permettent d’appréhender le niveau d’amplification d’une campagne potentielle.

GetdayTrend permet de détecter les tendances virales mondialement ou par pays en se basant sur la popularité des hashtags. L’outil permet un coup d’oeil rapide et une recherche par période temporelle.

Hoaxy permet de visualiser les différentes communautés sur Twitter autour d’un hashtag et d’identifier des bots potentiels avec le code couleur proposé par l’outil.

Telegram Analytics offre des beaux graph sur le volume de messages comprenant la mention d’un mot clef.

Et de manière plus simple, voir le nombre de groupes ou pages créés sur Facebook, l’existence de channels Telegram dédiés ou la prévalence d’un hashtag sur instagram ou une simple recherche google avec une mention différenciant donne une bonne indication de l’amplitude de la campagne. Nous n’avons pas connaissance néanmoins d’un outil permettant d’identifier globalement la première mention d’un message servant d’inoculation à la campagne.

Channel selection – faire l’état des lieux de la propagation de la campagne

Manuellement on pourra établir la présence de la campagne sur différentes plateformes et sites internet en recherchant chacune des plateformes. Crowd Tangle propose une extension sur Chrome permettant de suivre la propagation d’une url sur les réseaux sociaux appartenant à Facebook.

Develop content – détecter les messages de la campagne et leurs formes

Rien ne vaut un bon feuillet excel pour cartographier l’ensemble des narratifs – les grands thèmes – d’une campagne de désinformation en fonction des plateformes sur lesquelles la campagne se déroule. Cela permet notamment d’identifier parfois des différences de stratégies entre les thématiques poussées sur un Télégram versus un Facebook. En plus des thématiques, il est intéressant de détecter les images, vidéo, memes utilisés et poussés notamment avec la fonction reverse image.

Develop network où comprendre comment l’information voyage

La difficulté dans l’analyse d’une campagne de désinformation est d’établir des liens entre des plateformes ou des éléments qui donnent l’impression d’être différents. Essayer de trouver des points communs entre plusieurs sites internets passe par l’étude préliminaire de tout un tas d’éléments:

  • l’étude qualitative du design d’un site internet et de son contenu permet d’établir parfois des hypothèses ou rebondir
  • L’étude du nom de domaine via un site comme ici ou
  • un outil comme spyonweb permet de lier les sites internet gérés par une même personne par leur code Google Analytics que l’on trouve dans le code source de la page en faisant un click droit et en cherchant le format « UA-xxxx » .

Develop People – est-ce que cette personne existe?

Les conversations et les messages sont poussés par des comptes qui sont les pivots de la campagne de désinformation: influenceurs conscients ou cyber robots? Ils sont au coeur des nodes de communication identifiés plus haut. Il est de plus en plus difficile de déterminer s’il s’agit de comptes réels, de comptes volés, de faux comptes animés par des humains ou de comptes automatisés.

En plus de l’observation précise de ces comptes d’intérêt quand ils sont sur des plateformes comme Facebook, Linkedin ou VK, des outils aident à la détection des comptes automatisés sur Twitter.

Botsentinel permet de donner un score à un compte pour identifier les bots: attention ce n’est pas infaillible.

Accountanalysis fait une analyse de l’activité du compte en question:

Les objectifs – le temps de l’analyse

Une fois tout ce travail effectué, le meilleur outil à disposition reste votre tête afin de mettre en musique l’ensemble des résultats trouvés lors des recherches pour essayer de comprendre le grand dessein d’une campagne de désinformation et son organisation.

Le temps et la capacité de traiter et représenter manuellement un très large volume de données pour y trouver des informations et des récurrences semblent être les limites franches de cet oulipo numérique. Néanmoins la méthode et les outils proposés permettent de déterminer s’il y a matière à creuser plus et d’informer les décideurs de l’existence d’une campagne. Utilisant les bonnes pratiques de la sécurité informatique, COGSEC propose d’ailleurs un modèle de contre-mesures pour répondre à ces événements.

Clinique de Droit International d’Assas (CDIA) – Seconde formation

Clinique de Droit International d’Assas (CDIA) – Seconde formation

Pendant trois demi-journées, les étudiants de la Clinique de Droit International d’Assas ont eu l’opportunité de participer à une formation aux techniques d’investigation en sources ouvertes. Malgré la situation sanitaire qui empêchait toute rencontre physique et limitait quelque peu les interactions, les étudiants, motivés, ont bénéficié d’une formation entièrement en ligne, chaque samedi matin, pendant trois semaines, organisée par l’association Open Facto.

Entre apprentissage des bases de l’OSINT (Open source intelligence), exercices pratiques et rencontres avec des professionnels (journalistes et juristes spécialisés), cette formation est venue, de l’avis de tous les étudiants, compléter utilement leur parcours universitaire. Tous sont sortis ravis de la formation et, pour beaucoup ce fut en effet une véritable découverte, riche en apprentissages.

La première demi-journée de formation a débuté par une présentation des aspects juridiques et techniques de l’OSINT puis s’est poursuivie par la préparation du poste de travail et l’utilisation des moteurs de recherche. Au cours de la deuxième demi-journée, les étudiants ont appris à rechercher des informations à partir des réseaux sociaux et des systèmes de messagerie instantanée avant de s’initier à la géolocalisation. Enfin, la dernière demi-journée s’est concentrée sur l’approfondissement de la géolocalisation et s’est clôturée par la rencontre avec deux assistants juridiques spécialisés du Pôle Crimes contre l’humanité, crimes et délits de guerre du Tribunal Judiciaire de Paris.

A travers les techniques qu’ils ont apprises, cette formation a également permis aux étudiants de se rendre compte que l’OSINT est un outil accessible, à condition d’avoir un minimum de curiosité et un sens réel de l’observation – qui peut se travailler. Les étudiants ont ainsi été impressionnés des informations qu’il était possible d’obtenir à partir de seulement quelques données et d’un peu de persévérance.

Face aux premiers exercices, les étudiants, encore novices pour la majorité, ont pu se sentir quelque peu déstabilisés. Mais, grâce à la méthode apprise, ils se sont rapidement pris au jeu de la recherche. Progressivement, la plupart se sont d’ailleurs sentis plus à l’aise. On comprend alors aussi que l’une des clefs de l’OSINT repose dans la pratique.

A ce sujet, les étudiants pourront être amenés à recourir à l’OSINT dans le cadre des projets cliniques, en particulier au sein du pôle affaires pénales. Par la suite et selon les voies professionnelles vers lesquelles ils s’orientent, ils auront certainement l’occasion d’utiliser de telles techniques comme ont pu témoigner les deux assistants spécialisés que les étudiants ont rencontrés.

En définitive, c’est avec enthousiasme que s’est terminée cette formation et l’envie partagée d’aller plus loin.

Nina Chaize,

Chargée de communication pour la Clinique de droit international d’Assas.

La Clinique sur Facebook : https://www.facebook.com/CDIAssas

Sur l’étagère – Guérilla 2.0, Guerres irrégulières dans le cyberespace

Sur l’étagère – Guérilla 2.0, Guerres irrégulières dans le cyberespace

OpenFacto a décidé de faire partager les livres qu’il y a sur son étagère. Ça parle de recherches en sources ouvertes mais aussi d’opérations d’influence, de guerres cyber ou de méthodo. Chaque mois ou presque, on présente ici ceux qui nous ont plu ou marqué et pourquoi on les trouve utiles ou importants.

Cette saison s’ouvre avec le seul livre français de notre bibliothèque – Guérilla 2.0, Guerres irrégulières dans le cyberespace. Très dense, il a de quoi devenir un livre de référence sur une vision française de la place du cyber dans l’évolution de la guerre vers une guerre hybride en dix chapitres. D’autant plus intéressant, ce traité qui esquisse une stratégie de contre-guérilla 2.0 est écrit par un théoricien et praticien du domaine, Bertrand Boyer qui a aimablement répondu aux questions d’OpenFacto, à commencer par raconter son parcours. 

“En premier lieu je voudrais remercier Openfacto de consacrer un billet à mon dernier ouvrage « guérilla 2.0 », c’est pour moi un plaisir de pouvoir échanger avec votre communauté sur ces questions. Pour me présenter rapidement, je suis officier de l’armée de terre. Après une première partie de carrière en unité opérationnelle qui m’a conduit à servir dans les départements d’outremer en Afrique et au Moyen-Orient, j’ai souhaité valoriser ma formation d’ingénieur. Après le cursus de l’école de guerre, une formation à télécom Paris tech m’a conduit à mieux comprendre les réseaux et la convergence naturelle entre le monde des télécommunications et celui de l’informatique. Nous étions alors, en France, au début de la structuration de la cyberdéfense et il m’a semblé utile et important de réfléchir aux conséquences pour les armées de l’émergence de ce nouvel espace de confrontation. Ces réflexions ont conduit à la publication d’un premier ouvrage « Cyberstratégie, l’art de la guerre numérique » en 2012, puis de son prolongement « Cybertactique, conduire la guerre numérique » en 2014, d’un « dictionnaire de la cybersécurité et des réseaux » en 2016 et enfin « guérilla 2.0 : guerres irrégulières dans le cyberespace» “.

Bertrand Boyer ancre son propos dans la nouvelle réalité opérationnelle de la guerre: à côté de la guerre mécanisée traditionnelle, il y a l’existence grandissante d’une interdépendance entre les milieux physiques et immatériels couplée aux évolutions techniques. La guerre hybride est donc la combinaison d’actions militaires et non militaires dans la conduite des opérations et où les actions numériques ont un rôle important pour atteindre l’objectif désiré. Nouveau, le cyber est souvent associé à l’hybridité des nouveaux conflits avec deux éléments clefs. D’abord l’information qui est au cœur de la maîtrise du cyberespace et l’apparition de plateformes offrant la possibilité d’une communication de masse non régulée – les réseaux sociaux. Puis la marge de manœuvre qu’offrent les actions numériques quand toutes les conditions du combat ne sont pas réunies et qu’il faut agir en zone grise. Mais loin d’être totalement novatrice, la guérilla 2.0 s’inscrit dans un héritage historique des insurrections. Ce retour sur l’histoire de l’insurrection est utile pour dessiner les trois types de guérillas que l’on rencontre aujourd’hui dans le cyberespace: la guérilla insurrectionnelle pour établir un nouvel ordre, la guérilla en réaction à une agression et la petite guerre en soutien des armées régulières. Pour Bertrand Boyer, il paraît “important de préciser ce que j’entends par Guérilla 2.0. Depuis le début des années 90, on évoque l’émergence du domaine « cyber » dans l’étude des conflits. Les auteurs anglo-saxons ont rapidement placé le terme CyberWar sur le devant de la scène sans que l’on ne sache toujours ce que cette notion recouvrait exactement. « Guérilla 2.0, guerres irrégulières dans le cyberespace», part d’un questionnement simple lié à l’observation des conflits récents : Si les technologies de l’information et de la communication ont bouleversé nos vies, comment sont-elles utilisées par nos adversaires ? Est-ce que ces outils changent la donne ? 

L’interconnexion et la facilité d’accès à certains outils (géolocalisation, données ouvertes, outils de traitement, outils offensifs) modifient la façon dont les conflits se développent. Le « cyber » est devenu en une dizaine d’années, une arme d’emploi, non pas magique mais dont l’efficacité, combinée à d’autres vecteurs plus classiques n’est plus à démontrer.

Dès lors il m’a semblé qu’une forme d’affrontement particulier était à l’œuvre sur les réseaux ou via ces derniers et que cela pouvait constituer une version « mise à jour » de la guérilla classique, combat du faible au fort. Dans l’approche que je propose, la guérilla 2.0 c’est d’une part la transposition des modes d’actions classiques de l’insurrection dans les espaces numériques (à quoi ressemble une embuscade dans le cyberespace ? Comment effectuer un « contrôle de zone » ? quelles sont les nouvelles modalités de la propagande et de la subversion ?) mais également, l’étude de l’appropriation de ces outils par les groupes terroristes, insurgés ou certains États dans le cadre d’une stratégie indirecte”. 

Le guérilleros 2.0 n’est pas si différent de son ancêtre:  diversité des profils, cause transcendante, ralliement des populations pour créer les conditions nécessaires au passage de la lutte armée, recours à la violence, l’utilisation de la ruse / surprise/ opportunisme/ provocation, le refus de l’engagement direct et la capacité à naviguer en terrains numériques fragmentés. 

Evocation des modes d’actions directs et indirects, mais aussi des différents profils des guerilleros 2.0, Boyer revient sur le hacktivisme, le slacktivisme avec la difficulté de traduire une mobilisation numérique en une mobilisation physique, la weaponisation de l’information et l’utilisation du numérique par les groupes terroriste. Quand on le questionne sur 2020, il revient sur ces exemples de guérilla 2.0

L’actualité nous offre quasi quotidiennement des illustrations de la guérilla 2.0 ou de ce à quoi elle pourrait ressembler.  Cette année, qui a été marquée par la crise sanitaire, a vu parallèlement une explosion de l’utilisation malveillante des réseaux. Sans revenir sur des opérations en cours, on peut évoquer l’attaque contre l’agence européenne du médicament en décembre dernier alors qu’elle était en pleine délibération sur les autorisations de mise sur le marché de plusieurs vaccins contre le Covid-19. Des documents liés au vaccin de Pfizer et BioNTech ont été piratés et diffusés quelques jours plus tard. C’est typiquement une opération de « hack and leak » avec le doute sur l’intégrité des données leakées. Ce mode opératoire est aujourd’hui assez répandu et peut être complété par une demande de rançon dans le cadre d’une attaque plus ciblée ou destructrice. Cela a été observé l’an dernier, contre des collectivités territoriales, des hôpitaux ou encore des EHPAD. Le développement des ransomware et la professionnalisation des groupes qui les mettent en place constituent probablement les faits les plus marquants de l’année écoulée.

Le deuxième événement majeur de 2020 accompagne naturellement le déroulement des élections aux États-Unis et la période de transition entre le mois de novembre dernier et le tout début de l’année 2021. L’intégrité du vote remis en question par des groupes de plus en plus structurés au sein desquels les théories complotistes se développent et se répandent présentent là encore une illustration de l’impact très réel des actions informationnelles sur les réseaux. 

Enfin en matière de d’action numérique je voudrais évoquer deux exemples récents aux finalités distinctes: les affaires SolarWinds et GameStop. Dans le premier cas on est en présence d’une exploitation clandestine d’une vulnérabilité informatique à fin d’espionnage (mais potentiellement destructrice) dont le périmètre ne cesse de grandir. Un acteur très certainement étatique disposant de moyens conséquents semble à l’origine de cette opération. On est loin de la guérilla à première vue mais on est face à une mise en lumière remarquable des chaînes de vulnérabilités qui peuvent faire l’objet d’exploitation malveillante. Dans le second cas en revanche, on est totalement dans la lutte du faible au fort puisqu’une « coalition » de petits porteurs a poussé un géant de la finance Melvin Capital au bord de la faillite. Ce hedge fund avait en effet misé sur la dépréciation de la valeur de l’action GameStop, une enseigne de jeu vidéo en difficulté, par un mécanisme de vente à découvert. Or sur le forum WallStreetBets sur Reddit, les petits porteurs se sont coordonnés pour acheter massivement l’action (initialement coté à 2,57 dollars au mois de mars 2020), le cours est alors monté rapidement (pour atteindre près de 360 dollars), et le phénomène est encore amplifié par la communication sur Twitter (Elon Musk). C’est je crois une illustration du phénomène de coalescence lorsque les réseaux permettent de fédérer des éléments isolés pour une cause particulière.”

    Il faut attendre les derniers chapitres de l’ouvrage pour répondre à la question qui presse le lecteur depuis le début de sa lecture: comment lutter contre la guérilla 2.0 et sommes nous organisés comme il faut pour y faire face? Bertrand Boyer est convaincu que les armées occidentales peuvent intégrer cette nouvelle menace et y répondre. Interrogé par OpenFacto, il précise sa pensée: “Nous disposons de peu de recul sur l’analyse de la conflictualité numérique. Les révélations Snowden en 2013 levaient le voile sur l’ampleur de ce que pouvait être la surveillance et l’espionnage informatique mais bien peu sur les capacités d’action offensives que l’on découvre progressivement. Enfin, la manipulation de l’information et l’utilisation des réseaux pour instrumentaliser celle-ci représente un changement important observé depuis 2015. C’est très récent à l’échelle de l’analyse des conflits ! 

Ce manque de recul historique impose donc une démarche différente pour le chercheur et pour le praticien. Guérilla 2.0 tente de faire le lien entre les invariants du combat irrégulier et les modes d’action des groupes ou États qui opèrent aujourd’hui dans le « cyberespace ». A bien y regarder, il y a de nombreuses équivalences qui peuvent nous aider à mieux appréhender les nouvelles menaces. Ainsi, la surprise, l’action décentralisée, le besoin de rallier des partisans, l’utilisation de « proxys », de mercenaires, etc. sont des pratiques connues depuis l’antiquité qui trouvent un écho dans le combat numérique. C’est cette étude que propose Guérilla 2.0. Je ne dis pas que « rien n’a changé » depuis Alexandre le Grand, mais le cyber n’est pas non plus un champ de conflictualité ou « tout est neuf », il faut analyser et comprendre le milieu et les acteurs en présence pour mieux saisir où se situe l’équilibre. De cette analyse découlent des modèles d’organisation pour les armées qui doivent en permanence s’entraîner et s’adapter à la menace.

Il évoque ainsi des impératifs à prendre en compte avant d’élaborer des modes d’actions de contre-guérilla 2.0:

  • le cadre juridique de son engagement
  • la maîtrise des aspects techniques et culturels des nouvelles technologies
  • le développement de nouveaux partenariats notamment avec les entreprises privées et la société civile
  • la préférence pour une organisation en réseau plus flexible et rapide dans ses réponses
  • la compréhension de l’adversaire
  • la compréhension du milieu socio-culturel du combat numérique

Depuis 2015 et l’appropriation active par Daesh de l’ensemble des possibilités liées aux technologies (propagande, désinformation, renseignement, agression), le combat numérique a connu une véritable mutation. Défendre les réseaux face à des intrusions ne suffit plus (mais demeure essentiel) il faut aujourd’hui mieux comprendre nos adversaires (étatiques ou non-étatiques), leurs stratégies dans le domaine numérique, leurs outils et leurs méthodes afin de pouvoir penser des mécanismes de réponses adaptés et se défendre au mieux. Cette compréhension large des acteurs et des systèmes impose, peut-être plus que pour les autres domaines d’affrontement, de prendre en compte et de collaborer avec la société civile et le monde de l’entreprise. Face au terrorisme par exemple, de nombreux collectifs sont apparus pour identifier, signaler, et recueillir des informations en ligne. Pour lutter efficacement, la coopération des plateformes s’est révélée essentielle et doit faire l’objet d’une attention particulière. Enfin, je crois que nous devons encore explorer de nouvelles modalités pour permettre à des citoyens de mettre leurs compétences au profit de l’action collective dans un cadre légal défini et le respect d’une stricte éthique partagée.”

Finalement OpenFacto lui a demandé son point de vue sur l’OSINT et si elle peut être une pierre angulaire des actions numériques. Pour lui, les savoir-faire d’investigation en ligne – terme qu’il préfère – sont essentiels à la contre-guérilla 2.0.

De mon point de vue l’OSINT connaît une évolution spectaculaire depuis quelques années. Elle est, je le crois, une brique essentielle de la guérilla 2.0. Le « cyberespace » signe l’arrêt de mort de ce que nous appelions les « sources ouvertes », cette notion est liée à une vision statique du renseignement où « l’intelligence » c’est d’abord ce qui est secret. Or, aujourd’hui, et en particulier pour conduire des opérations, l’important est de disposer d’une information contextualisée et actualisée. Les systèmes de prise de décision peuvent être rapidement saturés face aux flots continu d’information, il faut donc faire effort sur la qualité plus que la quantité

Dans ce domaine, les outils et les méthodologies d’investigation en ligne (je préfère cette formulation) permettent le croisement et l’exploitation de données accessibles et la production d’information de haute valeur. A ce titre, « l’OSINT » est un savoir-faire essentiel à la guérilla 2.0 et à ceux qui doivent la contrer.”

On recommande donc chaudement cet ouvrage qui offre une vision française rare et intéressante de la nature insurrectionnelle du cyber dans la guerre moderne et offre une esquisse sur comment contrer cette guérilla 2.0. 

Bertrand BOYER, Guérilla 2.0, Guerres irrégulières dans le cyberespace, Décembre 2020, Ligne de Front, Editions de l’école de guerre

UNIT 68240, secretive Russian DARPA intelligence unit linked with Navalny kill squad was doing experiments with Ebola main Russian research lab

UNIT 68240, secretive Russian DARPA intelligence unit linked with Navalny kill squad was doing experiments with Ebola main Russian research lab

OpenFacto presents its latest report on a secretive FSB technical directorate and its affiliate directly linked with Navalny kill squad. This report can be downloaded here in English. Below we present the background at the origin of this report, our main findings and the methodology used.

DISCLAIMER – OpenFacto used open sources to reveal the other activities of the FSB unit allegedly involved in Alexey Navalny’s poisoning. There is no allegation vaccines approved by health authorities are part of a biological program.

Background – It all starts with an extensive work on Russian Ebola vaccine in Guinea

Following the latest Bellingcat’s article on Alexey Navalny Novichok Poisoning , Bellingcat and its partners uncovered data pointing to the existence of a clandestine chemical weapons program operated by members of Russia’s domestic intelligence services (FSB). The investigation reveals Navalny had for years been tailed by a team of operatives from a clandestine FSB unit referred to as FSB Criminalistics Institute, NII-2 (Research Institute – 2), or as Military Unit 34435. In Bellingcat’s article we learn that Kirill Vasilyev is Unit 34435 reporting directly to major-general Vladimir Bogdanov, former chief of the Criminalistics Institute and currently head of its parent entity, the FSB’s ‘Special Technology Center’ He is also deputy director of FSB’s powerful Scientific-Technical Service.

This center has another name OpenFacto and Youri van der Weide now affiliated with Bellingcat ran into some time ago on an investigation related to Ebola vaccines in Guinea by Emmanuel Freudhental : UNIT 68240. This unit appears to be the Russian equivalent of the American DARPA.

Main findings – A secretive intelligence FSB Technical Directorate linked to Navalny kill squad is researching and acquiring sensitive surveillance and cyber technologies and involved with Russian research centers specialized on rare and lethal diseases and biochemistry.

  • During the Ebola crisis in Guinea, Russia played an important rôle creating a new vaccine through an ecosystem of State research laboraty, including the 48th central research institute of the Russian Ministry of Defense.
  • The 48th Central Research Institute is specialized on rare and lethal pathogens like Marburg virus, MERS, anthrax or Ebola. It is a direct affiliate to the 33rd Central Research Institute, which developed novichok agents. Both institutes are now under US sanctions for likely conducting dedicated research for the Russian Biological Weapons Program.
  • Using freely available information from the Russian State Procurement Database, OpenFacto is able to link at the time the 48th Institute as a supplier of UNIT 68240, a secretive FSB military unit for a project code-named Toledo. The operational management of project Toledo has been delegated by UNIT 68240 to UNIT 34435. UNIT 34435 has been recently investigated by Bellingcat for its alleged role and involvement in Alexey Navalny’s poisoning.
  • Using open sources and based on a study of its procurement requests, OpenFacto is able to establish that UNIT 68240 is a technical niche R&D directorate with a broad research spectrum ranging from computer analytics, to ballistic, to biological/ chemical or electronics. UNIT 68240 supervizes at least three other units : UNIT 34435, UNIT 35533 and UNIT 44239.
  • Based on its procurement requests UNIT 34435 appears to have laboratory activities of various sorts. On a 2005 Executive Order, a formal collaboration is organized between UNIT 34435 with the 48th, 33rd and 27th Central Research Institutes specialized on rare and lethal pathogens. In addition to collaborating with the 48th Central Research Institute, it has links with the Institute for Problems of Chemical and Energy Technologies, Siberian Branch of the Russian Academy of Sciences, focusing on defense related research (biochemistry, biology and high energy).
  • UNIT 35533 appears to be specialized on technical communications, wireless networks, signal processing technology. It is involved in a case of export control investigation led by the FBI for purchasing covertly sensitive microelectronics from the US. UNIT 35533 has also acquired, tested and implemented SORM equipment, the Russian surveillance technology. It is also in relation with a private Russian company allegedly supplying offensive cyber solutions to Russian State clients.
  • UNIT 44239 seems to be dedicated to robotics and explosion related research with the procurement of pyrotechnics and collaboration with the Siberian Scientific Institute mentioned beforehand.

Methodology – A bit of luck, a lot of open source research and a good grip of the Russian procurement system

  • Some members of OpenFacto worked extensively two years ago with journalist Emmanuel Freudhental on the Russian presence in Guinea during the ebola crisis and their effort to create a vaccine : at the publication of Bellingcat’s article a postal address we had seen before caught our eyes and reminded us of a strange project. We started from this point
  • For this investigation we rely exclusively on open-source material that anyone can find online. There is no access to external sources neither access to leaked databases. Information are linked together and verified as much as possible. The limit to this work is its lack of insider information to confirm or highlight what remains hidden. This work can only raise the interest of other professional investigators to dig further.
  • We have mainly researched corporate registry databases, procurement databases, scientific journals, patent databases, court documents and local news.
  • As its corporate registry, the Russian state procurement system is a very transparent and process oriented. All state entities procuring any type of services or goods are inputing their orders into a centralized system which is available for consultation and keep tracks of tenders. Sometimes financial contracts and communications between the buyer and suppliers are uploaded which offer additional information. Technical proposals are not available online. Out of this official website, commercial websites have emerged to offer tenders tracking and suppliers analytics based on the official state procurement website. All these databases remain cumbersome to manipulate and require some degree of Russian proficiency.
Official Russian procurement database
  • In 2017/18 the sensitive procurement linked to the Defense sector started to migrate in a centralized manner onto another platform. This platform has not been explored during the investigation as it requires special access and is assumed to be heavily monitored.
Defense related governmental procurement database