Fin mai 2023, le site “diplomatie(.)gouv” publie un texte proposant d’introduire une taxe de sécurité de 1,5% sur toutes les transactions financières en France (à quelques exceptions comme les services de santé) pour venir en soutien à la guerre en Ukraine. Le texte est porté par le ministère des affaires étrangères.
En pleine période d’inflation, alors que tous les prix augmentent, et au milieu d’une crise sociale sur fond de réforme des retraites, cette proposition pourrait, pour certains, avoir un goût amer, voire être la goutte d’eau.
Seul petit détail, qui a son importance, l’URL du site :
www(.)diplomatie(.)gouv(.)fm
Un faux site du ministère des affaires étrangères qui a commencé à se répandre sur les réseaux sociaux, et qui va déclencher, notamment en France, une enquête de la part de VIGINUM, le service de vigilance et protection contre les ingérences numériques étrangères. Une enquête sur l’une des plus grosse campagnes numérique de désinformation : l’opération Doppelgänger.
Premières traces de propagande
Le 24 février 2022, Vladimir Poutine lance son offensive en Ukraine. Quelques jours plus tard, le 1er mars, un nouveau site fait son apparition sur le web : Waronfakes. Il s’agit d’un site d’information qui publie des articles dans plusieurs langues dont le français. Le média se présente comme un “projet de guerre contre les infox”, prétend ne pas s’occuper de la politique, présenter des informations objectives et se donne pour mission de “remplir l’espace informatique avec des publications vraiment objectives. Nous ne voulons pas que les personnes ordinaires s’inquiètent des guerres de l’information.”
Avant de rajouter, dans son manifeste : “Nous allons disséquer chaque actualité et donner des références aux vraies démentis de la fausse information. Soyes en sécurité, soyes tranquilles, soyes avec nous.”
Le français est très sommaire, voir peut-être venant d’un outil de traduction automatique. Très vite, le site est repéré comme une fausse plateforme de fact-checking, publiant nombre d’articles légitimant “l’opération militaire spéciale” de Poutine et la décrédibilisation de l’Ukraine. Les articles de ce site sont rapidement partagés par plus d’une soixantaine de pages Facebook, et vingt-quatre comptes Twitter qui appartiennent à des officiels Russes, notamment des ambassades Russes à l’étranger.
Aux origines de WarOnFakes
Dans son enquête, VIGINUM tombe sur l’homme qui a enregistré le nom de domaine WarOnFakes. Il s’agit d’un certain Timofey Vasilev, un citoyen russe déjà soupçonné de mener des activités de propagande en ligne pour la Russie, qui a été chargé d’une partie de la stratégie de relation publique et de communication de la ville de Moscou et travaillant pour une société, ANO Dialog, créée en 2019 sous l’égide de l’administration présidentielle Russes et du département des technologies et de l’information de la ville de Moscou.
Si l’origine et les intentions de ce site ne laisse que peu de place aux doutes, sa véritable importance va se trouver dans ses liens avec un autre site web, créé quelques jours plus tard : RRN
RRN
Le 10 mars 2022, un nouveau site apparaît “rrussiannews(.)com”, pour Reliable Russian News, comprendre “Informations russes fiables”.
À la manière de WarOnFakes, le site se présente comme diffusant des informations vérifiées, principalement sur la guerre en Ukraine. Il est disponible en plusieurs langues, dont le français, l’anglais, l’espagnol, l’italien, l’allemand, le chinois et l’arabe.
Ce site est important car il va être au cœur de toute l’opération que l’on nommera bientôt “Dopplegänger”.
Mais à ce stade de l’enquête, il est encore difficile de remonter aux sources de ce site web. L’utilisation de “Russian” dans le titre laisse présager de ses origines, mais c’est un autre lien qui va le confirmer très vite.
Les premiers articles publiés par RRN sont des copié-collés identiques à des articles publiés sur WarOnFakes. On pourrait penser à du pompage un peu naïf, des reprises d’articles pré-existants pour créer du contenu rapidement, mais un autre élément ne va laisser aucun doute.
Les enquêteurs de VIGINUM, en explorant le site WarOnFakes, vont tomber sur une page de connexion d’administrateur. C’est par là que peuvent se connecter ceux qui gèrent le site afin, entre autre, de publier des articles. Sauf que la page de connexion de WarOnFakes redirigeait vers celle de Rrussiannews. Il est donc maintenant certains que ces deux sites ont plus en commun qu’une idéologie, ils sont techniquement liés.
Très vite la ligne éditoriale de RRN, et donc de toute l’opération de communication qui va suivre, se dessine autour de 4 thématiques précises :
- L’inefficacité des sanctions visant la Russie, qui pèseraient surtout sur les Etats européens et / ou sur leurs citoyens
- La prétendue russophobie des états occidentaux
- La barbarie dont feraient preuve l’armée ukrainienne et l’idéologie néo-nazie qui prédominant chez les dirigeants ukrainiens.
- Et enfin, les effets négatifs qu’entrainerait l’accueil de réfugiés ukrainiens pour les états européens.
S’il pouvait encore exister des doutes quant aux origines et à l’idéologie de RRN, les premières traces de ce site sur les réseaux sociaux se retrouvent dès le 15 mars, soit 5 jours après sa création. Des liens vers des articles de RRN sont publiés sur des pages officielles du réseau diplomatique russe, notamment sur celles des ambassades de Russie au Bangladesh, en Malaisie et en Slovaquie.
Mais force est d’admettre que le site rrussiannews n’est pas très subtil.
Alors, le 6 juin 2022, quelques jours après sa mise en ligne, le nom de domaine du site change, passant de rrussiannews à RRN(.)world, l’url encore disponible aujourd’hui.
La signification du sigle est également modifiée, passant de Reliable Russian News à Reliable Recent news, autrement dit “Informations récentes fiables”.
Pour le moment, rien de bien impressionnant. Deux sites web, se faisant passer pour des médias indépendants et fiables, partagés sur les réseaux sociaux par, entre autres, quelques comptes officiels russes. Mais les choses vont s’accélérer et prendre une autre ampleur. RRN va être à la source d’une immense opération de propagande qui va inquiéter plusieurs états et même Meta, la maison mère de Facebook.
Les sites d’actualité indépendants
L’une des phases de cette opération est la création de site d’actualité indépendants nationaux. Le problème avec WarOnFakes et RRN c’est qu’il s’agissait, même pour un lecteur déjà convaincu, de sites aux origines troubles, publiants dans plusieurs langues, avec souvent des titres anglais. Pour s’adresser plus efficacement à un publique national, il faut un site qui donne l’impression de venir de l’intérieur.
C’est ainsi que plusieurs médias indépendants auto-proclamés ont vu le jour. Parmi eux, l’un des premier à avoir été repéré comme étant affilié à la campagne de RNN par VIGINUM : “AvisIndependant(.)eu”.
Un site francophone titré : “La France indépendante”, prétendant apporter des actualités et analyses des événements en Ukraine et dans le monde. Le site publie des articles qui reprennent les axes de la campagne RRN, notamment avec des éléments mis en avant comme l’expansion de l’OTAN vers l’est perçu comme menaçant les intérêts russes, ou la supposée volontés des états occidentaux “d’annuler” la culture russe. (NDLR : le terme annuler laisser penser à une mauvaise traduction de “cancel culture”)
Mais en réalité, l’origine d’avisindependant est assez claire et transparente, et va même donner quelques indications sur la façon dont cette opération est envisagée.
Dans leur enquête, VIGINUM a retrouvé l’identité du propriétaire du site. Avisindependant(.)eu est hébergé en Russie. Le nom de domaine est enregistré par une société qui s’appelle Netbuzz. L’adresse mail de la société renvoie vers des comptes sur les réseaux sociaux d’un certain Mikhaïl Andreevitch Tchekomasov, cofondateur de la société Hustle Media, spécialisée dans le gestion d’influenceurs sur les réseaux sociaux et les blogs. Il est également présenté comme membre dirigeant sur le site d’une autre entreprise, localisé dans les mêmes bâtiments en Russie et en Chine, Lideri Mnenii, aussi connu sous le nom de IPTeam ou encore VEUL.
Si cette information a son importance, c’est que l’entreprise russe VEUL a été épinglée dans un article de Marianne en juin 2022 pour avoir contacté des YouTubeurs français afin de diffuser du contenu clé en main contre rémunération, se faisant passer pour « un organisme de recherche » désireux de « recueillir de nouvelles opinions de personnes du monde entier ».
Mais, comme le précisait à France Info Nicolas Quenel, le journaliste à l’origine de l’article dans Marianne :
“Évidemment, on a envie de penser que c’est le Kremlin qui se cache derrière tout ça mais c’est allé un petit peu vite en besogne. Il y a d’autres gens en Russie qui ont un agenda, qui ont des intérêts et ces mercenaires de l’information sont des entreprises privées qui agissent pour le compte de clients”
Sur les réseaux sociaux
A ce stade de l’enquête, en juin 2022, encore difficile de démêler les rouages de l’opération et d’en conclure véritablement ses origines. D’autant que c’est à ce moment-là qu’ils vont passer la seconde sur les réseaux sociaux.
Plusieurs centaines de comptes vont être créés afin de cibler différentes audiences, qu’elles soient française, allemande, italienne, britannique ou même lituanienne voire ukrainienne.
Des comptes à usages uniques intitulés “Opinion Ouvertes”, qui apparaissent dès mai 2022. Des comptes avec soit des logos de médias, soit des images générées par IA en photo de profil. Ils n’ont qu’un seul but, publier un post pour faire la promotion d’articles de RRN, de sites comme avisindependant, et parfois même des caricatures issues d’un canal Telegram. Ces publications sont ensuite sponsorisées afin d’atteindre une audience ciblée. Ces comptes publient un post, le sponsorisent et ne publient plus rien. Ils sont à usage unique.
En parallèle, sur les réseaux sociaux, sont aussi créés des réseaux de bots qui vont diffuser des liens vers des articles, mais cette fois en commentaires de pages Facebook ou de compte twitter de média européens légitime. Et parmi ces liens, certains en particuliers vont tirer la sonnette d’alarme.
Le typosquatting
L’idée du typosquatting est simple et bien connue. Il s’agit de reprendre l’URL d’un site légitime et d’en modifier un ou plusieurs caractères de façon à ce que ça ne se voit presque pas, et ainsi de donner l’impression à l’utilisateur qu’il est sur un site légitime. L’astuce est bien connue des arnaqueurs, on retrouve par exemple des faux sites du genre netfllx(.)com dans lequel le “i” a été remplacé par un “l”, ou encore 0range.()fr, le “o” remplacé par un zéro.
Dans la campagne Doppelgänger, ce sont des sites d’actualités européens qui ont été typosquattés. On retrouve par exemple le site 20minuts(.)fr qui publie des articles venant directement de RNN avec la même image d’illustration. Des faux particulièrement bien faits, puisque le code source de la page d’origine a été repris, si bien que la charte graphique du média original est exactement la même, et que les liens redirigent vers de vrais articles du site légitime de 20minutes.
À ce moment-là, plusieurs médias sont concernés en Europe, comme Bild en Allemagne, 20minutes en France ou encore The Guardian en Angleterre. Ce typosquatting de masse va alerter une ONG, Disinfolab, spécialisée dans l’investigation des phénomènes de désinformation en Europe. Ce sont eux qui vont nommer cette opération Doppelgänger, autrement dit : sosie, ou “double maléfique” dans certains folklores. Cette enquête et ces alertes remontent jusqu’aux oreilles de Meta, la maison mère de Facebook qui va travailler dessus entre septembre et décembre 2022.
Dans la campagne Dopplegänger, Meta a d’abord détecté et supprimé plusieurs centaines de pages concernées. Ils ont repéré plus d’une soixantaine de sites typosquattés de médias européens ayant tous en commun la critique de l’Ukraine et de ses réfugiés, le soutien à la Russie et la contre productivité des sanctions contre la Russie.
Durant cette période, alors que Meta tentait de bloquer ces sites, de nouveaux apparaissent, laissant présager la persistance de l’opération. Pour le groupe, Doppelgänger est assez impressionnant. Dans leur rapport, ils diront qu’il s’agit de :
“La plus grande et la plus complexe opération d’origine Russe qu’ils aient déjoué depuis le début de la guerre en Ukraine. Elle présente une combinaison inhabituelle de sophistication et de brute force/forçage. Les sites web usurpés et l’utilisation de plusieurs langues ont nécessité à la fois des investissements techniques et linguistiques.”
Et pourtant, en réalité, à ce moment-là, l’efficacité de l’opération était toute relative. Le groupe Meta s’étonne presque de la méthodologie.
“En revanche, l’amplification sur les réseaux sociaux reposait principalement sur des publicités basiques et des comptes frauduleux. En fait, la majorité des comptes, des pages et des publicités sur nos plateformes ont été détectés et supprimés par nos systèmes automatisés avant même le début de notre enquête. Ensemble, ces deux approches ont été tentées comme une attaque en force contre l’environnement de l’information, plutôt qu’un effort sérieux pour l’occuper à long terme.”
Alors, avec un investissement de 105 000 dollars en sponsorisation de publication, Meta en tire la conclusion que cette opération :
“s’apparente plutôt à une tentative de diffuser les faux domaines aussi largement que possible et aussi rapidement que possible, dans l’espoir qu’au moins quelques personnes réelles puissent voir les faux sites web avant qu’ils ne soient découverts”.
Un impact limité donc, à l’image de certains chiffres donnés par Meta dans son rapport, seuls 4000 comptes avaient commencé à suivre les 703 pages créées, ou encore les 29 comptes Instagram étaient suivis par 1500 personnes en tout.
Malgré tout, cette enquête aura permis à Meta, en décembre 2022, de pointer du doigt deux entreprises qui seraient à l’origine de toute cette campagne. Structura National Technologies et Social Design Agency. La première est spécialisée dans le développement d’outils informatiques. Parmi ses clients, plusieurs institutions étatiques russes, le ministère russe de l’intérieur, du gouvernement de Moscou ou la Douma Fédérale.
La seconde, Social Design Agency est une entreprise de marketing digital basée à Moscou, qui propose de la “production et montage de films cinématographiques et vidéos, la traduction ou la création de site web”.
Ces deux entreprises ont en commun, outre 21 clients, un même dirigeant. Ilya Andreevitch Gambachidze. Un technologue politique ancien adjoint du préfet du district administratif nord de Moscou. Il a également été conseiller du vice-président de la Douma Fédérale, Piotr Tolstoï.
Alors une chose est sûre, l’origine de l’opération Doppelgänger n’est pas une surprise. Mais malgré tout, bien que ces entreprises aient de forts liens avec l’état russe, il s’agit d’acteurs privés et il est encore trop tôt pour accuser le gouvernement russe d’être impliqué là-dedans.
Fin de l’opération Doppelgänger ?
Entre la mise au jour des commanditaires de cette opération et les contre-mesures de Meta, nous pourrions penser que Doppelgänger s’arrêterait là.
En réalité, c’est tout l’inverse qui s’est passé. Début 2023, Doppelgänger passe la seconde et multiplie massivement ses actions. Ils créent et sponsorisent de plus en plus de contenus sur les réseaux sociaux. Pour éviter les blocages mis en place par Facebook, ils passent par une technique de geofencing, c’est à dire de ciblage géographique. Les liens qui apparaissent dans les postes Facebook sponsorisés sont d’apparence tout à fait classiques, comme par exemple villavendome(.)com, ou encore des liens raccourcis à la manière des bit(.)ly que l’on a l’habitude de voir.
Lorsque l’on clique dessus, on arrive directement sur un site “pivot”, qui n’est pas encore ni RRN, ni un site d’actualité typosquatté. Ensuite, selon la localisation de notre adresse IP, nous sommes redirigés instantanément vers le site cible. Par exemple, pour une cible française, si l’adresse IP l’est aussi, elle sera redirigée vers un site d’actualité typosquatté, sinon ce sera vers une page blanche. Ce qui va compliquer la tâche des personnes qui souhaiteraient enquêter sur le sujet, ne permettant plus, ou en tous cas, beaucoup plus difficilement, de cartographier l’infrastructure mise en place par la campagne Doppelgänger.
Cette infrastructure grossit de plus en plus et se complexifie. Le 24 février 2023, un an jour pour jour après le début de l’invasion en Ukraine, cinq nouveaux sites web apparaissent. Ils ont des noms français comme La Virgule, Allons-y ou encore Notre Pays, et se présentent comme des sites d’actualités indépendants.
Cette fois, plus question de publier un site qui reprend des articles dans plusieurs de langues différentes, ne traitant que du conflit entre la Russie et l’Ukraine. Non, au contraire, ces sites semblent 100% francophones et publient des articles sur la politique intérieure française et européenne, on retrouve par exemple des publications traitant de la réforme des retraites. Et, bien entendu, au milieu de tout ça, des articles reprenant les axes de la campagne Doppelgänger.
Ces sites sont tous hébergés sur le même serveur. La première mention du site La Virgule, avant même qu’il ne soit indexé par les moteurs de recherche, vient de RRN(.)world, on retrouve également sur ces sites des articles qui ressemblent traits pour traits à des publications Facebook sponsorisées identifiées comme faisant parties de la campagne Doppelgänger. Et enfin, les équipes de VIGINUM ont même retrouvé des traces de cyrillique dans les messages d’erreur du site, ce qui peut laisser penser à une conception Russe.
En parallèle, la campagne intensifie ses actions de typosquatting à travers l’Europe. En France c’est au moins 4 médias dont l’identité a été usurpée, 20minutes, Le Parisien, Le Monde et le Figaro. Comme quelques mois auparavant, ces sites ressemblent à s’y méprendre aux originaux, ce qui pourrait alors paraître crédibles.
L’une des particularités de ces sites, c’est qu’ils ne sont pas indexés sur les moteurs de recherches. Il faut savoir qu’il est possible de bloquer l’accès aux robots de Google qui parcourent le web pour répertorier les différentes pages. Alors, ces articles ne sont accessibles que depuis les publications sponsorisées sur les réseaux sociaux et via les armées de bot qui publient ces liens en commentaires. Ce qui rend toute enquête et recherche compliquée. Les enquêteurs de VIGINUM ont malgré tout réussi à identifier au moins 58 faux articles, dont la majorité sur des sosies du site Le Parisien. A travers l’Europe, ce n’est pas moins de 355 noms de domaine typosquatté qu’ils sont identifiés.
Mais c’est leur prochaine cible qui va être la goute d’eau qui déclenche l’enquête de VIGINUM et fait réagir les pouvoirs publics.
Sites gouvernementaux typosquatté
Le 29 mai 2023, ce sont donc des sites du gouvernement français et allemands qui sont dupliqués. Plus précisément le site du ministère de l’Europe et des Affaires étrangères. Il est utilisé pour publier un communiqué présentant la fameuse taxe de sécurité sur toutes les transactions financières pour soutenir l’Ukraine. On retrouve également des flyers qui ont toute l’apparence d’un document officiel expliquant le danger d’une nouvelle criminalité d’origine ukrainienne.
Ces publications remontent aux yeux du gouvernement, et l’enquête de VIGINUM qui retrace toute cette opération sera publiée en juin 2023. À nouveau, des contre-mesures sont prises pour faire face à Doppelganger, les sites repérés sont effacés et le 13 juin, Catherine Colonna, la ministère des affaire étrangères va publier une déclaration :
“Les autorités françaises ont mis en évidence l’existence d’une campagne numérique de manipulation de l’information contre la France. Une campagne qui implique des acteurs russes et à laquelle des entités étatiques ou affiliées à l’État russe ont participé, en amplifiant de fausses informations. […] L’implication d’ambassades et de centres culturels russes qui ont activement participé à l’amplification de cette campagne, y compris via leurs comptes institutionnels sur les réseaux sociaux, est une nouvelle illustration de la stratégie hybride que la Russie met en œuvre pour saper les conditions d’un débat démocratique”
Malgré une enquête approfondie, et bien que certaines origines de cette campagne soient démontrées, dans un contexte de conflit, certaines accusations sont difficiles à porter sans preuves absolues. Alors le quai d’Orsay précise que cette déclaration du ministère des affaires étrangères “ne constitue pas une attribution” aux autorités russes.
Alors, quel est l’objectif de cette campagne ?
À vrai dire, c’est encore difficile à déterminer.
À l’AFP, une source proche du dossier explique que :
“On ne connaît pas leur objectif final […] est-ce que c’est du micro-ciblage de certaines populations ? Est-ce que c’est pour une campagne permanente de basse intensité ? Ou en vue d’une action massive à un moment précis ?”
Pour un Haut responsable européen, toujours à l’AFP, Poutine “attend que les sociétés occidentales se fatiguent”, rappelant que “l’hiver dernier a été doux”, mais que “si le prochain est dur” et que le prix du chauffage s’envole, cela pourrait “générer des tensions dans les sociétés”.
Pour Dimitri Minic, chercheur à l’Institut français des relations internationales :
“Tout cela n’est pas un délire de quelques gens perdus, mais a été mis en doctrine. La guerre informationnelle est le concept qu’ils (ndlr : les russes) ont le plus étudié depuis 30 ans, précise-t-il. Je ne pense pas que cela va avoir beaucoup de succès, mais cela va consolider la base de leurs aficionados en France et en Allemagne, qu’ils surestiment probablement, mais qui existe vraiment.”
Une chose est sûre, la Russie sait maîtriser l’influence 2.0, et est loin d’en être à son coup d’essai. En août 2020, déjà, la commission du renseignement du Sénat américain publiait un rapport sur l’ingérence russe sur les réseaux sociaux lors de la campagne de Donald Trump en 2016.
Alors, à ce jour, nous pourrions penser que la campagne Doppelgänger a été contrée et à pris fin. Il faut garder en tête que nous pensions déjà ça après l’enquête de Meta, fin 2022.
Peut-être peut-on parier que l’on n’est pas au bout de cette histoire, et que d’autres campagnes de communication, de propagande, voire d’ingérence sont à surveiller de près.
Pour aller plus loin :
- La synthèse de Viginum :
https://www.sgdsn.gouv.fr/files/files/13062023_RRN_une%20campagne%20num%C3%A9rique%20de%20manipulation%20de%20l%27information%20complexe%20et%20persistante.pdf - Le rapport complet de Viginum :
https://www.sgdsn.gouv.fr/files/files/20230619_NP_VIGINUM_RAPPORT-CAMPAGNE-RRN_VF.pdf - L’enquête de Disinfo Lab :
https://www.disinfo.eu/wp-content/uploads/2022/09/Doppelganger-1.pdf - Le rapport de Meta :
https://about.fb.com/news/2022/12/metas-2022-coordinated-inauthentic-behavior-enforcements/
https://about.fb.com/news/2022/11/metas-adversarial-threat-report-q3-2022/ - La déclaration de Catherine Colonna (ministre des affaires étrangères)
https://www.diplomatie.gouv.fr/fr/politique-etrangere-de-la-france/securite-desarmement-et-non-proliferation/actualites-et-evenements-lies-a-la-securite-au-desarmement-et-a-la-non/2023/article/declaration-de-catherine-colonna-ingerences-numeriques-etrangeres-detection-par - L’article de l’AFP (cité dans l’épisode) :
https://factuel.afp.com/doc.afp.com.33J829J - L’article de France Info (cité dans l’épisode) :
https://www.francetvinfo.fr/monde/europe/manifestations-en-ukraine/guerre-en-ukraine-ce-que-l-on-sait-de-l-operation-de-desinformation-russe-doppelganger-qui-a-vise-la-france_5887325.html - L’article de Marianne et FranceInfo sur VEUL :
https://www.marianne.net/monde/europe/guerre-en-ukraine-une-operation-dinfluence-russe-vise-des-youtubeurs-francais
https://www.francetvinfo.fr/vrai-ou-fake/vrai-ou-fake-les-youtubeurs-francais-pas-influencables-par-la-russie_5201377.html - D’autres articles intéressants sur le sujet :
https://www.lemonde.fr/pixels/article/2023/06/13/revelations-sur-doppelganger-la-campagne-de-desinformation-russe-denoncee-par-la-france_6177446_4408996.html
https://www.courrierinternational.com/article/le-mot-du-jour-doppelganger-la-propagande-russe-dans-de-faux-medias-francais
https://www.rtbf.be/article/guerre-en-ukraine-la-france-visee-par-doppelganger-une-operation-de-desinformation-russe-de-grande-ampleur-11213594
https://www.ifri.org/fr/espace-media/lifri-medias/guerre-ukraine-lon-sait-de-loperation-de-desinformation-russe-doppelganger
