On January 18, 2022, OpenFacto published the first results of its investigation into InfoRos, an « information agency » suspected of acting on behalf of Russian military intelligence, the GRU. Our investigation focused on a network of a thousand Russian-speaking websites created and maintained by InfoRos to spread patriotic and anti-Western rhetoric among the Russian population. This galaxy of portals targeted localities throughout Russia, but also specific communities, including ethnic and religious minorities living in Crimea.
OpenFacto has continued its investigations into lnfoRos, and today releases a second report on the Russian agency’s digital operations. Focusing on old InfoRos related domain names, basic heuristics helped us identify nearly 600 new portals administered by InfoRos since the year 2000. This new investigation brings the total number of domain names linked to the agency to 1 945.
While most of them were used to establish a local informational anchor in Russia, OpenFacto discovered several networks of sites that sought to influence the politics of foreign countries or support the diplomatic, economic, and military interests of the Russian government. Compared to the local websites described in our first report, the techniques of influence employed by these networks are radically more pernicious: InfoRos has, among other things, supported secessionist political parties in countries of the post-Soviet space, taken advantage of historical or ethnic conflicts to maintain Moscow’s hold in conflict zones, and financed competitions and conferences abroad to promote cooperation with Russia. At the same time, the agency has repeatedly hammered home to the Russian population and its new allies that the « West » is hypocritical, threatening, but in the process of giving way to new centers of power, of which Russia would be one of the main representatives.
To do so, InfoRos relied on local structures and agents of influence from the targeted countries, who organized physical events and promoted Russian positions to international organizations or their own authorities. The agency also hired Western nationals who sympathized to the Russian cause to create and disseminate content that was favorable to the editorial line prescribed by the Russian government. The speeches were deliberately directed towards audiences considered easily influenced, such as young people and victims of armed conflicts.
In the context of the invasion of Ukraine launched by Russia on February 24, 2022, this historical approach sheds a harsh light on the digital influence strategy of the GRU since the early 2000s. Over 20 years, InfoRos has woven a gigantic web of sites designed to support the Russian government’s strategic interests, regularly evolved its objectives, its discourse, and its methods of influence. Despite the numerous publications on its malicious activities, the Russian agency currently continues to register domain names and to exploit social networks to manipulate the narrative in the media, more particularly by trying to discredit the Kyiv government and the assistance it receives from Western countries.
Before presenting the main historical networks, we will first retrace the course of InfoRos’ activities from the end of January to March 2022, and with good reason. The agency seems to have reacted to the publication of our first investigation, and since then has dismantled a significant part of its infrastructure. This reaction suggests that InfoRos has attempted to limit the public exposure of its targeting of the Russian population. To conclude, we intend to return to two aspects of InfoRos’ work that were discussed in the January report, but on which our new investigations have shed a new light: the creation of domain names for commercial purposes, and the geographical distribution of local web-sites in Russia.
Au printemps 2022, OpenFacto avait organisé un workshop sur un week-end sur le thème des crimes de guerre en Ukraine. Une équipe de la Radio Télévision Suisse avait profité de cet atelier pour tourner des images pour un documentaire sur le sujet.
Grâce à un processus d’enquête brillant et à l’accès aux sources pertinentes, le documentaire dépeint de manière vivante la guerre en Ukraine et l’importance de la documentation quotidienne des crimes commis par les troupes russes. Il montre également comment une nouvelle méthodologie est utilisée pour analyser les conflits de guerre, qui combine l’anthropologie avec l’analyse des contenus sur les réseaux sociaux ou la cartographie numérique. Avec ce prix, le jury veut non seulement reconnaître la valeur d’une œuvre de grande qualité, réalisée en un temps record pour raconter une histoire strictement contemporaine, mais aussi revendiquer l’importance du journalisme en période de violence à grande échelle, son rôle dans le dossier des éléments de preuve qui pourraient à l’avenir être utilisés dans un procès pour crimes de guerre ou crimes contre l’humanité.
Le 18 janvier 2022, OpenFacto a publié les premiers résultats de son enquête sur InfoRos, une « agence d’information » suspectée d’agir pour le compte du renseignement militaire russe, le GRU. Notre investigation portait sur un réseau d’un millier de sites Internet russophones créés et maintenus par InfoRos pour diffuser une rhétorique patriotique et anti-occidentale auprès de la population russe. Cette galaxie de portails ciblait des localités situées à travers toute la Russie, mais également des communautés spécifiques, dont des minorités ethniques et religieuses vivant en Crimée.
OpenFacto a poursuivi ses investigations sur lnfoRos, et publie aujourd’hui un second rapport sur les opérations numériques de l’agence russe. En se focalisant sur les anciens noms de domaine liés à InfoRos, des pivots techniques ont permis d’identifier près de 600 nouveaux portails administrés par InfoRos depuis l’an 2000. Cette nouvelle enquête porte donc à 1 945 le nombre total de noms de domaine connus de l’agence. Si la majorité d’entre eux a servi à constituer un ancrage informationnel local en Russie, OpenFacto a découvert plusieurs réseaux de sites ayant cherché à influer sur la politique de pays étrangers, ou à soutenir les intérêts diplomatiques, économiques, et militaires du gouvernement russe.
Comparées aux sites locaux décrits dans notre premier rapport, les techniques d’influence employées par ces réseaux sont radicalement plus pernicieuses : InfoRos a notamment soutenu des partis politiques sécessionnistes dans des pays de l’espace post-soviétique, joué sur des conflits historiques ou ethniques pour maintenir l’emprise de Moscou dans des zones de conflit, et financé des concours et des conférences à l’étranger pour promouvoir la coopération avec la Russie. En parallèle, l’agence n’a eu de cesse de marteler à la population russe et ses nouveaux alliés que « l’Occident » était hypocrite, menaçant, mais en voie de céder sa place à de nouveaux centres de puissance dont la Russie serait l’un des principaux représentants.
Pour ce faire, InfoRos s’est appuyée sur des structures locales et des agents d’influence originaires des pays visés, qui organisaient des événements physiques et faisaient valoir les positions russes auprès d’organisations internationales ou de leurs propres autorités. L’agence a également débauché des ressortissants de pays occidentaux acquis à la cause russe pour créer et diffuser des contenus favorables à la ligne éditoriale prescrite par le gouvernement russe. Des discours volontairement dirigés vers des publics considérées comme facilement influençables, tels que la jeunesse et les victimes de conflits armés.
Dans le contexte de l’invasion de l’Ukraine, lancée par la Russie le 24 février dernier, cette approche historique jette une lumière crue sur la stratégie d’influence numérique du GRU depuis le début des années 2000. En 20 ans, InfoRos a tissé une gigantesque toile de sites destinés à accompagner les intérêts stratégiques du pouvoir russe, faisant régulièrement évoluer ses objectifs, son discours et ses méthodes d’influence. Malgré les nombreuses publications sur ses activités, l’agence russe continue actuellement d’enregistrer des noms de domaine et d’exploiter les réseaux sociaux pour manipuler l’actualité, en tentant notamment de décrédibiliser le gouvernement de Kyiv et l’assistance qui lui est portée par les pays occidentaux.
Avant de présenter ces principaux réseaux historiques, nous retracerons dans une première partie le cours des activités d’InfoRos de fin janvier à mars 2022. Et pour cause, l’agence semble avoir réagi à la parution de notre première enquête, et démantelé depuis cette période une partie importante de son infrastructure. Cette réaction suggère qu’InfoRos a tenté de limiter l’exposition publique de son ciblage de la population russe. Enfin, nous proposons en conclusion de revenir sur deux aspects du travail d’InfoRos abordés dans le rapport de janvier, mais que nos nouvelles investigations ont permis de mieux cerner, à savoir la création de noms de domaine à finalité commerciale, et la répartition géographique des sites locaux en Russie.
Un résumé des principales découvertes d’OpenFacto sur l’évolution de la stratégie et des tactiques d’InfoRos est disponible à la fin de ce rapport, p. 71. La liste complète des 1 945 noms de domaines liés à InfoRos est par ailleurs accessible en cliquant les liens ci-dessous.
OpenFacto publie ici la Tribune d’Eric Emeraux, ancien Chef de l’Office central de lutte contre les crimes contre l’humanité, les génocides et les crimes de guerre (OCLCH), et membre d’OpenFacto.
Il est urgent que le gouvernement et le Parlement modifient la loi sur la compétence universelle pour que la France ne devienne pas une terre de refuge pour les auteurs responsables des pires crimes perpétrés dans le monde.
Le 13 janvier dernier, l’Allemagne condamnait à la prison à vie l’ancien officier syrien Anwar Raslan, pour des crimes contre l’humanité commis en Syrie. La Haute Cour régionale de Koblenz a ainsi reconnu coupable l’ancien officier syrien d’avoir organisé la torture de milliers de détenus, des dizaines de meurtres, ainsi que des viols et agressions sexuelles dans un centre de détention à Damas.
Ce fait constitue ainsi une avancée majeure dans la lutte contre l’impunité à l’échelle européenne et a été rendu possible grâce au principe de la compétence universelle. Elle constitue donc un outil extrêmement important pour les victimes d’atrocités lorsque les autres voies vers la justice ne peuvent leur être accessibles, ce qui est le cas de la Syrie. En effet, ce pays n’est pas un Etat partie au statut de Rome, et la Russie et la Chine bloquent à ce jour, toute possibilité, pour le Conseil de sécurité de l’Organisation des Nations unies (ONU), de donner mandat à la CPI d’enquêter sur les graves crimes en Syrie.
***
En France, ce principe de compétence universelle s’appuie sur un dispositif spécifique et cumulatif de conditions souhaité par le législateur. En premier lieu, le suspect doit résider habituellement en France. Ensuite, les poursuites devant les juridictions françaises ne peuvent intervenir qu’après l’absence de poursuites, par la Cour Pénale Internationale ou une autre juridiction. De plus, il faut qu’elles émanent d’une requête du procureur de la République antiterroriste. Enfin, la règle de double incrimination qui prévoit que le crime dont l’intéressé est accusé, doit être puni à la fois par loi française et par celle du pays où il a été commis, exception faite du crime de génocide, et ce depuis la loi du 23 mars 2019.
Dans l’état actuel des choses, force est de constater que ces conditions restrictives constituent dorénavant des verrous et limitent l’exercice de la compétence universelle dans notre pays.
Preuve en est la récente décision de la Cour de cassation du 24 novembre 2021, qui a consacré une interprétation étroite du critère de double incrimination prévu par l’article 689-11 du code de procédure pénale. Elle a ainsi conclu à l’incompétence du juge français s’agissant de crimes commis en Syrie, au motif que l’Etat syrien n’a pas ratifié le Statut de Rome, et n’a pas non plus incriminé les crimes contre l’humanité dans sa législation interne.
Cette condition de double incrimination pour les crimes les plus graves n’est pas exigée par le Statut de Rome, puisque la Cour pénale internationale peut être saisie d’une situation même si la législation de l’Etat dans lequel les crimes ont été commis n’incrimine pas l’infraction considérée.
Par définition, les crimes internationaux constituent la violation de valeurs universelles reconnues par la communauté internationale. Cette notion de double incrimination revient à remettre en cause cette universalité et est en parfaite incohérence avec les principes qui sous-tendent la justice pénale internationale.
Cette condition est enfin une prime donnée à l’impunité, puisqu’il suffit que l’Etat dans lequel des crimes contre l’humanité ou des crimes de guerre sont commis refuse de ratifier le Statut de Rome, et n’incriminent pas ces crimes dans sa législation interne, pour permettre à l’ensemble de ses ressortissants d’échapper à la compétence de la justice française.
Sur un autre plan, la loi française exige aussi que le suspect réside officiellement en France pour que des poursuites pour des crimes graves puissent être engagées. La résidence habituelle est requise pour les crimes de génocide, crimes contre l’humanité et crimes de guerre, alors que la présence en France au moment du dépôt de plainte est nécessaire pour les tortures d’Etat et les disparitions forcées.
***
En conclusion, ces verrous introduits par les parlementaires constituent dorénavant des entraves importantes pour l’exercice de la justice internationale en France et pour les victimes de génocide, crimes contre l’humanité et crimes de guerre. Les organisations de défense des droits humains avaient appelé depuis longtemps les autorités françaises à remédier à ces failles juridiques qui bloquaient la condamnation des crimes contre l’humanité commis à l’étranger, mais elles n’avaient jamais été entendues.
Ils engendrent une situation qui tend à transformer la France en une terre de refuge pour les personnes responsables des pires crimes perpétrés dans le monde, ce qui est inadmissible au pays des droits de l’Homme. Par voie de conséquence, la France se trouve dorénavant à la traine en matière de lutte contre l’impunité en Europe.
Il est donc urgent d’inviter les parlementaires à revoir la loi en supprimant la double incrimination et en alignant les cinq infractions sur le régime de la présence en France de l’auteur présumé, plutôt que la résidence habituelle. Il est aussi souhaitable que le temps de garde à vue soit étendu à 96 H, il est de 48 h actuellement pour les tortures d’Etat et disparitions forcées.
Le 8 juin, un concours artistique, organisé par The Pearl Protectors en partenariat avec Marine Environment Protection Authority (MEPA), Blue Resources Trust, Dilmah Conservation, la délégation européenne au Sri Lanka et aux Maldives et World Ocean Day International, a reçu plus de 1 000 candidatures, parmi lesquelles beaucoup représentaient un bateau qui coulait et détruisait le milieu marin.
credit: Vishadi Wijenayake, Ammaar Ameer and B.K.R.R.Biyanwala
Ce bateau dessiné par Vishadi, Ammar et B.K.R.R est le X-Press Pearl transportant 1486 conteneurs, dont 25 tonnes d’acide nitrique. Le navire a pris feu le 20 mai au large des côtes du Sri Lanka avant de couler le 2 juin. Selon Thummarukudyil Muraleedharan, directeur par intérim du Service des catastrophes et des conflits du Programme des Nations Unies pour l’environnement (UNEP), l’accident peut être considéré comme la plus grande catastrophe que le Sri Lanka ait connue depuis 2004.
A l’occasion de la COP 26, OpenFacto s’est penché sur les traces détectables de l’accident laissées en sources ouvertes et à enquêter sur les responsables potentiels.
Incendie sur le X-Press Pearl: retour sur la catastrophe
Le navire MV X-press Pearl (IMO 9875343) est un porte conteneur sous pavillon singapourien transportant des marchandises sur la route des Mers Arabes jusqu’en Inde. Il est la propriété de la société X-Press Feeders à Singapour. Construit en février 2021, ce sera son premier et dernier voyage.
source: Equasis
Son voyage débute au Port de Hamad au Qatar le 9 Mai en direction du Port de Jebel Ali à Dubai. On peut suivre sa course sur MarineTraffic. Le navire va d’abord retourner au Port de Hamad le 10 Mai avant d’arriver au port de Hazira en Inde d’où il repart le 15 Mai. A ce stade le bateau aurait déjà demandé de l’aide aux ports où il s’est arrêté .
Le 20 Mai, le bateau s’ancre dans les eaux sri lankaises: des fumées jaunes et marron commencent à s’échapper. Le 21 mai, un incendie s’est déclaré sur le pont du bateau. Il est rapidement signalé par l’Autorité portuaire sri lankaise et le ministère de la Défense.
Les autorités sri lankaises informent publiquement sur l’incendie du X-Press Pearl
Le 22 mai, des explosions se font entendre et tout le bateau est incendié. Le 24 mai, une équipe de secours tente de maîtriser l’incendie. Le 25 mai, une forte explosion retentit et fait couler le bateau. Le 26 mai, les garde-côtes indiens se battent avec la marine sri lankaise pour maîtriser l’incendie.
Les gardes cotes luttent contre le feu
L’incendie sera finalement maîtrisé le 31 mai et les secours auront pu remorquer le bateau vers une zone plus éloignée. Il coulera complètement le 2 juin.
Evaluer l’impact environnemental
Près de cinq mois après la catastrophe, il est possible d’évaluer l’impact environnemental de l’incendie sur le X-Press Pearl à partir de sources ouvertes en fonction de 5 catégories : pollution de l’air, pollution de la mer, dommages aux rivages côtiers, impact sur la faune marine et dommages durables sur le long terme. Remplir chaque catégorie avec des preuves récupérées en sources ouvertes peut donner un aperçu de l’impact d’un tel accident environnemental.
L’étendue de l’accident
Un rapport des Nations Unies fournit une bonne carte pour géolocaliser l’étendue de l’impact de l’accident. On peut voir que l’accident a eu un impact léger à moyen sur toutes les côtes orientales du Sri Lanka, en plus de l’endroit où se trouvait le navire.
Rapport de la visite de l’UNEP de Juillet 2021
Évaluation: FAIBLE
La pollution de l’air est causée par la fumée épaisse de l’incendie. Elle est visible sur les images satellites mais aussi sur les photos postées sur les réseaux sociaux. Une fois le feu maîtrisé, cette pollution disparaît.
Image Nasa Landsat8 2021 traitée par @il_kanguru en date du 1er juin 2021
source: The Pearl Protectors
La fumée les 21 et 26 Mai – source: Sri Lanka navy, Indian Coast Guard and EPA
Les données d’analyse de l’air peuvent être trouvées sur le site Web de la National Building Research Organisation indiquant un pic de pollution au lendemain de l’accident. Grâce au confinement COVID, la qualité de l’air n’est pas trop affectée.
Maintient des niveaux de PM2,5 aux emplacements sélectionnés dans la zone vulnérable
Concentration au niveau du sol de la contribution des particules par le feu
Évaluation: MOYEN
Rapidement, les autorités sri lankaises ont averti que le navire transportait des produits chimiques, notamment de l’acide nitrique et de la soude caustique.
L’hydroxyde de sodium connu sous le nom de soude caustique est une base hautement caustique et peut provoquer de graves brûlures chimiques.
Couramment utilisé dans les engrais, l’acide nitrique est un liquide incolore ou jaune avec une odeur âcre et caustique caractéristique et des propriétés corrosives. L’acide nitrique est utilisé pour la nitration afin de créer des composés nitrés en laboratoire ou en milieu industriel.
Les composés chimiques résultants varient en stabilité, ils peuvent donc être utilisés dans la fabrication d’une grande variété de produits, notamment :
Explosifs
Munition
Propulseur de fusée
Encres et teintures
Bois de pin vieilli et d’érable
Agents de nettoyage commerciaux
L’acide nitrique est un acide extrêmement corrosif capable de provoquer très rapidement de graves brûlures chimiques. Ce produit chimique peut également réagir violemment avec certains composés tels que les poudres métalliques et la térébenthine, et est un oxydant puissant capable de provoquer des incendies s’il entre en contact avec des matières organiques.
Rapport de l’UNEP détaillant le total et les types de marchandises à bord du X-Press Pearl
Des fuites de carburant apparaissent rapidement sur les images satellites
Image Copernicus Sentinel1 2021 traitée par @il_kanguru en date du 8 juin 2021
Image Copernicus Sentinel1 2021 traitée par @il_kanguru en date du 14 juin 2021
Évaluation: FORT
Très rapidement, les débris du navire et de sa cargaison s’échouent sur les plages sri lankaises. La population est avertie de ne rien toucher car cela peut être dangereux avec des produits chimiques. Si les plus gros débris peuvent être enlevés avec les précautions d’usage, il est difficile d’évaluer l’impact durable sur les plages, la pollution chimique et le risque pour la population.
Des débris du bateau et de sa cargaison qui s’échouent sur les plages sri lankaises
source: The Pearl Protectors, Indian Air Force
De plus, les billes en plastique de certains conteneurs ont massivement pollué les eaux et les rivages. Plusieurs campagnes de nettoyage ont été organisées par des ONG environnementales comme Pearl Protectors, Extinction Rebellion et d’autres organisations locales. Non seulement elles polluent l’environnement, mais elles causent également des dommages à la faune qui les prend pour de la nourriture.
source: The Pearl Protectors
Évaluation: FORT
Les billes en plastique qui peuvent être confondus avec de la nourriture par des animaux et des poissons ont été retrouvées dans des animaux marins vivants et morts à la suite de l’accident.
Les produits chimiques libérés dans la mer ont brûlé certains animaux marins qui se sont échoués sur les plages sri lankaises indiquant la présence de produits chimiques corrosifs et très toxiques comme l’acide nitrique.
source: The Pearl Protectors; Sulochana Ramiah M
Les médias ont rapporté les déclarations du procureur général du tribunal de Colombo indiquant que 176 tortues de mer, 20 dauphins et 4 baleines étaient morts des conséquences de l’accident du X-Press Pearl. Les derniers chiffres qui nous ont été communiqués font état de 417 tortues de mer, 48 dauphins et 8 baleines morts dès suite de l’accident.
Évaluation: INCONNU
L’impact environnemental pour le Sri Lanka est considérable et sera durable. L‘imposition d’une zone d’interdiction de pêche met en péril sa sécurité alimentaire. On sait peu de choses de l’impact à long terme sur la faune marine. Les fuites de pétrole continuent de menacer les côtes.
Sur la trace des responsables probables: le conteneur venu d’Iran
La recherche des responsables est donc au centre de l’enquête diligentée par la justice sri lankaise. D’après le témoignage du Capitaine de bateau, le feu aurait pris dans le conteneur FSCU7712264. On retrouve un conteneur d’où les fumées s’échappent sur le pont du bateau.
source: Isuruhetti
En utilisant Sea Rate et Container Tracking pour suivre des conteneurs partout dans le monde, aucune information probante n’émerge. Cependant la trace du conteneur re-apparaît dans un article de Ceylon Today du 2 Octobre dernier qui semble disposer d’éléments exclusifs. Bien que ces éléments ne peuvent pas être totalement recoupés en sources ouvertes, des recherches complémentaires permettent de préciser certains points. D’après leur article, deux conteneurs FSCU7712264 et GESU2837027 – avec 25 tonnes d’acide nitrique chacun – auraient été transportés sur le MV Ronika (IMO 9121950) depuis Bandar Abbas en Iran le 29 Avril 2021 jusqu’au Port de Jebel Ali à Dubai le 3 Mai. Ce trajet est bien existant: le bateau restera à quai à Jebel Ali pendant plusieurs jours.
Source: Marine Traffic – date 29 avril au 3 mai 2021 pour le M/V Ronika
Le bateau sous pavillon iranien appartient à la société Siri Maritime Services établie à Téhéran. Siri Maritime Services est connue pour avoir racheté des bateaux à la Corée du Nord.
source: Equasis
Le X-Press Pearl arrive à Jebel Ali le 9 Mai où il reste à quai jusqu’au 10 pour partir en direction de l’Asie, en passant au préalable par le Qatar. Les temps et trajet précisés par l’article sont donc corrects.
source: Marine Traffic pour le M/V X-Press Pearl du 9 Mai au 2 Juin
D’après l’article, seul un des deux conteneurs est chargés sur le bateau – le FSCU7712264 – alors que l’autre – GESU2837027 – présente déjà des anomalies entraînant des fuites d’acide. Le contenu de ce conteneur sera transféré dans un nouveau – WSCU8592772 – le 23 Mai pour être ré-expédié. Finalement ce dernier conteneur présentera aussi une fuite et restera à Dubai pour inspection.
Un premier client expéditeur de la cargaison apparaît dans un email du 25 Mai écrit par le directeur adjoint de la société de transport Pars Tarabar International: il s’agit de la société Chemi Pakhsh Paykan.
source: Ceylon Today – email
Chemi Pakhsh Paykan est une société établie à Téhéran et spécialisée dans le sourcing et la fourniture à l’export de produits chimiques.
Logo de la société Chemi Parkhsh Paykan
D’après son président, Hamid Daylami, la société qui se dit le One Stop Shop des produits chimiques en Iran, s’approvisionne auprès de 60 partenaires dans le pays pour servir plus de 2500 clients. Elle a 3 entrepôts à Téhéran, Mashad et Tabriz.
source: Linkedin
La société a même lancé une plateforme d’achat en ligne de produits chimiques: Chemibox. Chemi Pakhsh Paykan est donc un intermédiaire et non pas le producteur.
source: chemibox
Cet intermédiaire propose bien de l’acide nitrique sur son site internet et mentionne deux partenaires étrangers en Indonésie.
source: https://www.chemipakhsh.net/
Une cargaison d’acide nitrique est mentionnée par l’un des commerciaux de la société dans un post Linkedin datant de 6 mois.
Bien qu’il soit impossible de prouver qu’il s’agit du lot responsable de l’incendie sur le bateau X-Press, on peut voir la date de production de l’acide nitrique sur l’une des photos : 6 février 2021 et la qualité du produit : 68% nitrique acide. Chaque IBC pèse 1400 kg net, soit un total d’environ 25 tonnes pour 18 IBC dans un conteneur de 20 pieds comme décrit sur le post Linkedin. Ces détails correspondent à la description des autorités sri lankaises.
Autre élément de datation : le post Linkedin est mis en ligne APRÈS un post sur le Nouvel An iranien Nowruz daté du 20 mars 2021.
Négligence?
Le commercial certifie le standard international du contenant de l’acide nitrique à un client potentiel en gage de sécurité dans un message.
IBC – GRV en français – C’est un conteneur à emballage souple ou rigide. Il permet de stocker des produits liquides ou en poudre, qu’ils soient dangereux ou non.
Sur la photo, on peut voir que l’IBC est un IBC composite : métal et plastique. Mais, sur l’autocollant, «l’acide nitrique» est mentionné alors que le numéro d’identification du produit chimique écrit est 1173. En utilisant Hazmattool, nous pouvons voir que 1173 est pour l’acétate d’éthyle.
Dans son commentaire, « Michel B » demande si les IBC sont certifiés UN 2031 qui est pour l’acide nitrique autre que le rouge fumant, avec au moins 65% mais pas plus de 70% d’acide nitrique. Ces IBC ont des directives de stockage très strictes. Les étiquettes utilisées sur l’IBC correspondent à celles liées à la certification UN 2031.
Bien qu’il ne soit pas possible de dire à partir de la photo si les directives d’emballage sont respectées, une erreur dans l’autocollant d’identification des matières dangereuses sur les IBC donne une impression de négligence.
Un rapport sur les directives IBC 2018 rédigé par la British Chemical Business Association et la Solvents Business Association indique que les IBC en plastique peuvent libérer leur contenu relativement facilement lorsqu’ils sont exposés à des incendies mineurs. La plupart des IBC en plastique ou composites ont des composants en plastique exposés qui ne sont pas en bon contact thermique avec le liquide : valves, bouchons de fermeture secondaire, protection d’angle et volets par exemple. Ces composants sont susceptibles de s’enflammer par une brève exposition aux flammes, même si ces flammes sont aussi petites et passagères que celles d’une allumette. Cela rend les IBC vulnérables à l’inflammation par les feux d’herbe, de faible intensité, les incendies criminels mineurs, etc. De tels embrasements provoquent généralement une défaillance complète de l’IBC qui se vide de son contenu en quelques dizaines de secondes. Lorsque les liquides déversés sont combustibles, de grands volumes de liquide brûlant librement peuvent être générés et le feu peut se propager très rapidement.
Le producteur: une entité de l’appareil militaire iranien?
Un autre email datant du même jour mentionne plus en détails la situation du bateau X-Press Pearl et fait état d’un autre client expéditeur potentiel: Esfahan Chemical Industries.
source: Ceylon Today
Il n’est pas possible de prouver en sources ouvertes que le producteur est bien l’entité mentionnée dans l’email. En Iran la société Nationale Iranienne de Pétrochimie (NIPC), une filiale de la NIOC , la société de pétrole du pays, domine le marché de la chimie avec une production d’acide nitrique de 200 000 tonnes par an.
En recherchant plus d’information sur la société mentionnée, on arrive à établir un profil assez rapide en sources ouvertes. Esfahan Chemical Industries ou ECI produit bien de l’acide nitrique à 68% comme on peut le voir sur une archive d’un de son site internet aujourd’hui disparu. Mais l’usine produit également toute une série de composés chimiques utilisés dans le domaine militaire, notamment pour les explosifs.
source via la web archive: eci.mod.ir
ECI fait partie du conglomérat Chemical Industries and Development of Material Group sous l’Organisation des Industries de Défense iranienne. Le conglomérat regroupe plusieurs sites comme Parchin Chemical Industries et Shahid Zeynodin Chemical Industries.
Logo de la société Chemical Industries and Development of Material Group
source via la web archive diomil.ir
ECI et CIDMG ont été mises sous sanctions depuis 2010 au Canada comme entités ayant contribuer aux activités de prolifération nucléaire iranienne et au développement d’armes chimiques, biologiques ou nucléaires. ECI en particulier est listée depuis 2011 comme une entité de risque potentiel pour la fourniture de biens liés aux armes de destruction massive par le Royaume Uni, depuis 2011 par le Japon comme une entité à risque pour sa participation au développement d’armes biologiques et chimiques. ECI a été identifiée en 1998 comme ayant fourni des biens/technologies au profit du programme iranien de d’armes de destruction massive. Ces pays sont donc interdits de commercer avec. Il est à noter l’hétérogénéité de l’application des sanctions dans différentes juridictions créant ainsi des opportunités pour des entités proliférantes d’avoir accès aux marchés internationaux.
Le pays d’origine du conteneur intentionnellement caché?
Un autre email nous renseigne sur la manière dont la provenance d’origine des conteneurs a été cachée.
source: Ceylon Today
A la vente du produit par Chemi Pakhsh Paykan, la cargaison est prise en charge par un transporteur local Pars Tarabar localisé en Iran.
source: https://parstarabar.com/#About
Pars Tarabar passe ensuite par une société de transport pour achemine la cargaison de Bandar Abbas en Iran à Jebel Ali aux Emirats Unis, puis de Jebel Ali à Jakarta en Indonésie. Le passage de Bandar Abbas à Jebel Ali est pris en charge par le partenaire local de la société de transport: Mavaraye Cheshm Andaz Shipping et la partie asiatique par la société mère: Transvision shipping. On retrouve l’association de ces deux sociétés chez un employé basé en Iran sur le réseau professionnel Linkedin.
source: Linkedin
L’email est intéressant car il explique bien la manœuvre de contournement. La société de fret demande au client de ne pas indiquer le pays d’origine sur les documents d’exportation mais Jebel Ali aux Emirats Arabes Unis. La même société se chargera de brouiller l’origine de la cargaison en affichant un trajet Jebel Ali-Jakarta sur les documents douaniers. Cet e-mail montre une action déterminée pour cacher l’origine des marchandises.
résumé des recherches
Conclusion: An ironic Earth Day celebration
Le 22 avril, Vida Daylami a publié sur son compte Instagram une image promotionnelle célébrant le Jour de la Terre parrainée par Chemi Pakhsh Paykan. Quelques jours plus tard, les 25 tonnes d’acide nitrique mal conditionnées et prétendument produites par une entité militaire iranienne commenceront leur voyage par la mer vers Jakarta. Il est probable que le conteneur d’acide nitrique de CPP aura déclenché une chaîne d’événements menant à l’incendie du navire au large du port de Colombo.
source: instagram.com/vida.daylami
Depuis l’accident, une enquête criminelle a été ouverte au Sri Lanka pour tenter d’identifier les responsables:
The war in Syria has been one of the most violent conflict of this past decade. Being one of the most documented conflict, it has provided a lot of material for open source research to take off. Multiple investigations have established the use of chemical weapons by the Syrian government on its population. Open source research has proven to be a valuable tool in verifying attacks and whether chemical weapons were used.
The Syrian chemical program and the need for accountability
At a time some Syrian officials have started to be trialed for war crimes, the need for accountability has never been greater. Individuals involved in the Syrian chemical program used during the war are Syrian officials but also businessmen who were used as intermediaries and fronts to obtain material and equipment for the Syrian Studies and Research Center. Investigating these proliferation networks has been difficult as establishing the full supply chain can be complex. A few investigations led by Syrian Archive, Bellingcat, C4ADS and Open Society Justice Initiative were published here and there on chemical weapons supply chains.
Proposing an open source research framework to detect a proliferation risk
On this occasion OpenFacto wanted to understand if an open source research framework could be created in order to detect proliferating companies supplying the Syrian Studies and Research Center. To test this framework we took two existing cases that were brought to the French and US justices for their alleged participation to the Syrian Chemical Weapon Program. OSINT research can establish risk levels for the Houranieh and EKT networks which can be summarized with the following scorecards.
Main findings
Open source research is a valid tool to establish a risk level associated with an entity suspected of proliferation or to detect high risk entities.
OSINT CAN PROVIDE SUPPORTING CONTEXTUAL INFORMATION. Open source research confirms a number of elements mentioned in both networks:
Both networks have an international dimension with front companies outside of Syria
What they trade can be established: metal, electronics, security
Multiple sources mention these networks seem close to Bashar Al Assad’s entourage and the SSRC
There is an history of customs inspection and/or sanction enforcement in US jurisdiction.
THE IMPORTS POSE A HIGH RISK OF BEING USED FOR PROLIFERATION. Open source research gathers circumstantial evidence which indicates the items traded and the destination of Syria should have triggered enhanced customs inspections.
NETWORK RESILIENCE. Both networks continue to operate to the present day. Despite asset freezes and sanctions they have demonstrated resilience to access international markets.
SOCIAL MEDIA PLATFORMS USED FOR CREDIBILITY AND PUBLICITY. The Houranieh network, but mostly the EKT network, have been using Western social media platforms to create business accounts – ‘Pages’ – in order to promote their brand, products and generate potential sales leads. These social media accounts have been used as a resiliency tool to overcome domain name suppression.
GAPS IN GLOBAL EXPORT CONTROL SYSTEM AND MEASURES ENFORCEMENT. High risk trade entities previously investigated for their contribution to a proliferation program continue to have access to international industrial markets and financial markets to make payments. It demonstrates a gap between several jurisdictions regarding export control systems. It also shows a lack of coordination and communication between the EU and national jurisdictions. Finally it shows a disjointed international effort to enforce measures against proliferating entities.
Methodology and Limits for investigating potential supply chain proliferation networks
Proliferation mainly involves the transfer and export of technology, goods, software, services or expertises that could be used in nuclear, chemical or biological weapon-related programmes and obviously poses a significant threat to security. Tracking proliferation networks and financing has been proven difficult because transactions take place within a normal business setting.
The purpose of this project is to demonstrate the effectiveness of open-source research as a first and easily accessible tool to use in order to evaluate a proliferation risk associated with entities and goods traded.
Financial organizations combating money laundering, terrorist financing and proliferation financing like the FATF – the Financial Action Task Force – have set up indicators to detect financing of proliferation to become better at flagging and characterising proliferation networks. These indicators often includes some the concepts which can be researched using OSINT:
The jurisdiction where the trades are taking place
The type of items traded
The legal form of the company proceeding to the trade and where it is incorporated
Links between several companies and/or the use of a broker
Discrepancies between the company’s activities and goods traded
Discrepancies between the type of goods imported and the technical level of their final destinations
The nationality of the company’s directors
The final destination of the goods
The ultimate beneficiary of the transaction or its likelihood
Our step by step approach
This research project started from the information published by the French Authorities mentioning individuals’ names, dates of birth and corporate entities to the reconstitution of suspicious import transactions. The following research steps were taken:
Researching sanctioned individuals and corporate entities digital footprint online and the links existing among them.
Identification of some of the companies’ suppliers
Identification of the type of equipment, material or products imported.
Assessing the risk of proliferation: low, medium and high
Type of sources used in this report
A wide range of sources were used for research purposes in this report. They include: social media, press articles, academic reports, commercial databases and corporate registries, data obtained from bills of lading, leaked data from Syrian administration, online website analyzing tools.
Investigating a proliferation network
Investigating a proliferation network is difficult as it takes the appearance of a normal business transaction. In this report we try focusing on several part of the transaction process:
the network of companies used to buy equipment and material
the link between this network and strategic governmental bodies in a red flag jurisdiction
the ultimate buyer if it appears
the type of goods which are bought
the suppliers
Researching corporate entities that may circumvent sanctions
Most of the corporate entities presented in this report can be verified by accessing commercial registries or databases, either for free or a small fee. However Syria does not provide online access to commercial corporate registries. The authors had to rely on multiple concordant sources to verify the existence of Syrian entities: emails, websites, addresses, mentions in local media, mention in official sources or social media.
Researching import/export data
To identify the type of goods which are shipped, the suppliers involved and the corporate entities used by the network we relied on import/export data to get shipment data. These shipment data are extracted from bills of lading. A bill of lading is a standard document required to be issued by the shipper to identify the nature, quantity, quality of the goods. Usually these data indicate the supplier’s name, (air) port of origin, type of goods and quantity, consignee – the company receiving the goods – and (air) port of arrival.
The goods are often referenced using a HS code – the Harmonized Commodity Description and Coding System. These codes are product classification codes used by all the members of the World Customs Organization (WCO) to classify goods for customs purposes. While they do not indicate the exact product nor its specifications, it gives its good category.
Shipment data providers like Panjiva or ImportGenius source the data directly to countries’ customs bureau or data brokers. Not all countries are available: China offers only a partial data set.
Researching equipment or material imported in cases of sanction circumventions: establishing a risk level
Dual-use items are goods, software and technology that can be used for both civilian and military applications. It does include raw material like certain types of steel or specific chemicals. Investigating such items is challenging as their official descriptions in available customs related documents are limited. These types of sources give an indication of risk level associated with an item.Consulting custom specialists can be helpful.
What about the beneficial owner?
According to the FATF, the beneficial owner is “the natural person who ultimately owns or controls and/or the natural person on whose behalf a transaction is being conducted”. In our two case studies the beneficial owner is known – the Syrian Scientific Studies and Research Center (SSRC) – and is the cause for the network of companies to be put on the French sanction list.
Some limits: no smoking gun but a risk level
Open sources have been used to gather information about a direct or indirect relation between the SSRC and the two different entities. This report does not offer definitive conclusions nor smoking gun evidence regarding Syria’s chemical weapon program. It captures a snapshot of the procurement chain which was in the public domain at the time of the research. Data available regarding the type of equipment sent are generic and do not replace a visual confirmation. Secondly, OpenFacto has had no access to data describing financial flows: there is nothing available in the public domain to characterize the financing aspect of proliferation networks. Thirdly, while OpenFacto uses official corporate records to verify some corporate holdings and commercial relationships, this information only represents a snapshot of corporate activity at a given time: records may not be updated regularly, may not be consistent or wholly accurate, and may not have the same standards of reporting across jurisdictions. Finally, the report should serve as a basis to raise further questions, identify gaps and launch deeper investigations into the cases.
Download our report
Our report is available for download in English here and an executive summary is provided in French [to come].
