Experts en Management
Experts en Management
Mi-juin, le site du ministère français des Affaires étrangères a été victime d’un « clonage ». Pendant une durée qui n’a pas encore été définie avec exactitude, une partie des internautes croyant se connecter sur le véritable site ont été exposés à des messages présentés comme des communiqués du ministère mais reprenant en réalité la propagande russe sur la guerre qui oppose actuellement Moscou à Kiev.
Les sites de plusieurs médias français – ceux du Monde, de 20 Minutes, du Figaro ou encore du Parisien ont connu le même sort, ainsi qu’un certain nombre de médias allemands, britanniques ou encore italiens. Certains de ces « clones » sont restés actifs durant des semaines.
À défaut d’être originale, cette opération, surnommée « Doppelgänger » (mot allemand signifiant « double » ou « sosie »), est notable par son ampleur et par certaines de ses modalités. Identifiée depuis plusieurs mois, elle a fait l’objet d’analyses poussées, notamment de la part de l’EU DisinfoLab, l’organe de lutte contre la désinformation de l’UE.
En outre – et ce n’est pas anodin, car il est toujours délicat d’attribuer de tels agissements à des acteurs précis –, le ministère français des Affaires étrangères a cette fois affirmé avec assurance que l’attaque a été organisée par les autorités russes.
La pratique consistant à réaliser des copies de certains sites, suffisamment fidèles pour que les internautes ne détectent pas l’usurpation d’identité et accordent leur confiance à ces clones malveillants, existe depuis des années sous la dénomination de « typosquatting ». De telles méthodes avaient déjà pu être observées pendant la pandémie de Covid-19, et dès avant l’ère numérique, au travers de la diffusion de contrefaçons de journaux, en particulier durant la guerre froide.
[Plus de 85 000 lecteurs font confiance aux newsletters de The Conversation pour mieux comprendre les grands enjeux du monde. Abonnez-vous aujourd’hui]
Les premiers sites reconnus comme étant liés à la campagne Doppelgänger sont apparus en juin 2022, pour atteindre quelque 50 contrefaçons répertoriées.
Le seul fait que ces différents sites clonés partagent tous la même thématique – promouvoir la vision russe de la guerre en Ukraine – ne suffit pas à affirmer avec certitude qu’ils sont liés entre eux. En revanche, les éléments fournis par les analyses techniques ont permis de démontrer qu’ils relèvent tous d’une même campagne.
En effet, à l’examen des différents sites, des caractéristiques communes apparaissent. Par exemple, les vidéos accompagnant les articles contrefaits avaient des métadonnées et des formats de nom communs, et étaient hébergées sur les mêmes serveurs. En outre, les liens contenus sur les Doppelgänger renvoyaient tous vers les sites authentiques des médias dont l’identité était contrefaite, afin de rendre les sites clonés plus crédibles.
Ajoutons que les sites ont initialement été hébergés sous réseau de diffusion de contenu (Content Delivery Network – CDN). Il s’agit d’un groupe de serveurs répartis dans diverses régions dont la coordination permet d’accélérer la diffusion d’un contenu, mais aussi de mieux résister aux attaques par déni de service (DDOS) qui visent à saturer un serveur jusqu’à rendre un site inaccessible : la multiplication des serveurs rend la surcharge plus difficile à mettre en place. Un autre avantage particulièrement appréciable, en l’espèce, est la multiplication des pistes à suivre pour qui voudra remonter jusqu’à l’origine de l’action.
Les chercheurs de plusieurs organismes parmi lesquels Qurium, ont analysé les domaines de premier niveau (top-level domain -TLD), qui apparaissent à la fin du nom de domaine utilisé par les faux sites : ltd, fun, ws, today, cfd, asia et autres. Ils ont ensuite collecté et analysé les certificats de SSL qui sécurisent la communication entre le navigateur et le site pour constater que la cinquantaine de domaines déployés en quelque dix semaines était exploitée par un petit nombre de sites d’hébergement.
Un point intéressant, tant du point de vue technique que de la stratégie employée, réside dans la géolocalisation et, plus exactement, le géoblocage des internautes. En effet, les clones des journaux allemands (huit des principales agences de presse du pays ont été victimes de cette opération) ne pouvaient être consultés que depuis une adresse IP identifiée en Allemagne. Toute autre localisation dirigeait vers un autre site, totalement décorrélé du Doppelgänger, notamment un site menant vers un conte de Grimm. Il en allait de même pour les clones britanniques, italiens ou français – spécificité qui a rendu l’analyse plus compliquée, montrant une finesse des stratèges ayant mis en œuvre cette opération.
L’étude des cookies utilisés par les Doppelgänger a montré qu’ils employaient un logiciel de suivi de flux et de trafic, Keitaro. Le choix de ce logiciel témoigne de connaissances en marketing et laisse supposer que l’équipe inclut des acteurs familiers des milieux de la publicité. Grâce à ce logiciel, les différents contenus peuvent être suivis comme des campagnes à part entière, laissant supposer que les auteurs des sites ont voulu avoir une vision très précise des performances de ceux-ci (fréquentation, temps passé par les internautes à les consulter, etc.).
L’intégration à l’opération informationnelle de ces pratiques venues du marketing est loin d’être anodine. En effet, l’un des enjeux des opérations d’influence est de générer une viralité suffisante pour atteindre le public le plus large possible. On constate que cet objectif était particulièrement recherché par les auteurs des Doppelgänger. Les articles contrefaits ont ainsi été largement diffusés sur les réseaux sociaux par l’entremise de nombreux comptes, dont une bonne partie était des faux. Une fois utilisés, la plupart de ces comptes ont été abandonnés par leurs propriétaires, rappelant la destruction de « comptes brûlés ».
Pour augmenter la viralité et l’impact d’un contenu contrefait, l’un des moyens les plus efficaces est de parvenir à ce qu’un média le reprenne : il bénéficiera alors d’une légitimité et d’une caisse de résonance nettement supérieures à celles offertes par les seuls réseaux sociaux où ses promoteurs l’afficheront.
Toujours dans cette recherche de viralité, on a pu observer que les auteurs de l’opération ont réalisé une forme d’investissement en achetant des espaces de publicité sur les réseaux sociaux.
Un élément central reste ambigu : la mesure de l’effet de la campagne d’influence. Pour mesurer l’impact d’une opération informationnelle, il faudrait, de fait, disposer d’un point de mesure delta à partir duquel procéder à un comparatif. Or il est difficile de dater avec précision le début d’une opération informationnelle par nature discrète, ce qui permettrait de tenter d’en mesurer les répercussions sur la période suivante. En outre, à supposer que cette condition soit remplie, il faudrait encore pouvoir isoler les variables à l’origine de l’infléchissement des comportements ou des points de vue afin de mesurer l’incidence de l’opération d’influence sur ces modifications.
L’appréciation de la portée d’une telle opération reste un point sensible pour les cibles comme pour les attaquants. Si plusieurs recherches ont établi des liens entre viralité et persuasion et, plus récemment, mis en évidence l’effet de l’enfermement dans des bulles informationnelles la mesure, et plus encore la prévision, demeure un enjeu significatif et un point sensible.
Un point également intéressant tient à la réutilisation en Russie de ces contenus. Certains d’entre eux ont été diffusés par des médias russes, qui les présentaient comme de vraies informations parues sur les sites officiels occidentaux visés, et ont enregistré d’importants taux de visite et de lecture.
En effet, il est nécessaire de garder à l’esprit qu’une campagne informationnelle, si elle a une cible initiale, pourra être récupérée et servir à conforter des rhétoriques locales. De tels effets vont au-delà de ceux initialement escomptés sur des publics étrangers.
La réaction officielle à l’égard de cette opération d’influence appelle une observation particulière.
En effet, comme pour les attaques cyber sur les systèmes, les opérations informationnelles, particulièrement celles usant de formats numériques, posent un problème quant à leur attribution à un auteur. Si les éléments techniques peuvent être utiles, ils ne suffisent cependant pas à remonter toute la ligne de commandement à l’origine de l’action analysée.
Dans ce cas particulier, si des noms de fichiers étaient en russe, si les fuseaux horaires à partir desquels les auteurs des campagnes de Doppelgänger ont officié correspondaient, notamment, à la région d’Irkoutsk, cela ne suffit pas pour incriminer avec une certitude absolue la Russie, car les hackers auraient parfaitement pu être engagés par un commanditaire privé ou étatique d’un pays tiers.
Si le « qui bono » ainsi que les thématiques retenues pointent vers la Russie, la possibilité pour Moscou d’adopter une position de déni plausible rend ces opérations particulièrement séduisantes, car elles augmentent l’épaisseur du fameux brouillard de la guerre. C’est pour cette raison que les éditeurs de sécurité et les agences nationales restent prudents dans leurs rapports. À défaut de pouvoir prouver à 100 % l’implication directe d’un État, ils préféreront parler, par exemple, d’acteurs sinophones, russophones ou hispanophones.
Dans le cas de Doppelgänger, la ministre française des Affaires étrangères n’a pas pris de précautions de langage. En déclarant que les autorités françaises avaient « mis en évidence l’existence d’une campagne numérique de manipulation de l’information [..] impliquant des acteurs russes et à laquelle des entités étatiques ou affiliées à l’État russe ont participé », l’État français, par la voix de Catherine Colonna, a opté pour une prise de position ferme qui intervient, certes, au lendemain de l’attaque ayant visé le site du ministère, mais aussi au moment où la contre-offensive ukrainienne vient de démarrer et à la veille de la réunion de l’OTAN des 11-12 juillet, qui débattra largement de la situation ukrainienne et de l’action russe.
Pour autant, la campagne Doppelgänger était à peine annoncée dans les médias grand public que des profils connus, vrais et faux, y ont réagi en mettant en doute la véracité des enquêtes menées et en cherchant à réorienter le débat vers les lignes éditoriales et l’impartialité des journaux occidentaux en général. Cette ligne de défense a notamment été employée par Piotr Tolstoï, le vice-président de la Douma.
On le voit : si les campagnes informationnelles restent au cœur de l’actualité des conflits, elles peuvent déborder au-delà des États directement impliqués dans la guerre. Si les États occidentaux avaient déjà pris la mesure de leur existence et du danger qu’elles représentent, ils adoptent aujourd’hui, à l’image de la France, une attitude plus claire et moins timide que par le passé en matière d’attribution de ces opérations. Cette évolution fait échos à la ligne adoptée par la lutte informatique d’influence (L2I) annoncée fin 2021 par Florence Parly, alors ministre des Armées, dont il ressort que la France cherche à mieux comprendre ce nouvel espace de conflictualité et ne s’interdit pas de réaliser elle-même des opérations d’influence numériques, cependant encadrées par un cadre éthique strict.
Christine Dugoin-Clément, Analyste en géopolitique, membre associé au Laboratoire de Recherche IAE Paris – Sorbonne Business School, Université Paris 1 Panthéon-Sorbonne, chaire « normes et risques », IAE Paris – Sorbonne Business School
Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.