Par Sesame IT
APT, hacktivistes, réseaux de bots… Ces acteurs russes en première ligne pour déstabiliser notre processus démocratique
L’annonce de la dissolution de l’Assemblée nationale n’a pas seulement bouleversé l’agenda politique français. Elle a aussi accentué la fragilité de la France vis-à-vis des opérations d’influence étrangères, en mettant au jour de nouvelles lignes de fractures sociétales. Dans un pays où l’état d’esprit général se caractérise par “l’inquiétude, l’incertitude, la fatigue et la colère”1 et où 72% des citoyens désapprouvent l’action du chef de l’Etat2, l’apparition de ces lignes de fractures – désorganisation de facto des formations et des personnels politiques et hyper polarisation du débat public et des opinions personnelles – offre à la Russie une opportunité idoine pour mener une guerre hybride, d’influence et de manipulation. Car, si les menaces sont nombreuses, la Russie est bien identifiée comme le principal péril pour la vie démocratique et les intérêts nationaux français comme l’indique la commission d’enquête du Parlement européen.
Durant les 15 prochains jours, les unités cyber russes pourraient envisager de faire des élections législatives anticipées leur principal terrain de jeu pour déstabiliser la France. C’est ce qui ressort de l’étude* menée, entre le 10 et le 16 juin 2024, par Hoshi, l’équipe de Cyber Threat Intelligence de Sesame IT, spécialiste français de la cybersécurité. En voici les principales conclusions.
I. Campagne, élections : les deux phases de cyberguerre
Un découpage peut être effectué entre deux phases stratégiques : la phase de campagne électorale et la phase d’élections, les 30 juin et 7 juillet.
-
Une campagne sous la menace d’une offensive cyber
Durant la campagne électorale, il est peu probable de voir les groupes APT (Advanced Persistent Threat) pro-russes actifs sur le théâtre cyber français. Les secteurs stratégiques, et en particulier les partis politiques, l’administration publique ou l’audiovisuel, peuvent néanmoins constituer des cibles de choix pour des opérations de piratage ou de sabotage à des fins de déstabilisation. Dans ce scénario, des groupes comme APT28 ou GRU Unit 26165, liés au GRU (service de renseignement russe) et responsables, entre autres, d’une opération coordonnée pendant la campagne électorale de la candidate démocrate Hillary Clinton en 2016, et des MacronLeaks en 2017, pourraient être mobilisés par le “5ème département” du FSB (service fédéral de sécurité de Russie).En parallèle, les groupes hacktivistes pro-russes tels que NoName057(16), Killnet et leurs alliés, devraient lancer plusieurs opérations d’influence en France. Dotés de moyens moindres que les APT, cette catégorie d’acteurs vise à faire la propagande du Kremlin, à partager ses discours et à déstabiliser temporairement les institutions tout en marquant l’opinion publique. L’impact de leurs actions, limité, est essentiellement psychologique : déstabiliser l’écosystème médiatique, administratif et politique. -
Une phase d’élection placée sous le signe de la Maskirovka
En appliquant la doctrine de la Maskirovka (doctrine du camouflage ou de l’écran de fumée héritée de l’ère soviétique), les groupes APT et hacktivistes pro-Poutine devraient être actifs pendant les deux scrutins afin de tenter de perturber le bon fonctionnement des entités essentielles au vote des Français et à la diffusion des résultats officiels : sites du ministère de l’Intérieur, mairies, préfectures, consulats, instituts de sondage partenaires, chaînes de radio et de télévision avec un programme politique, etc. Dans le pire scénario, les acteurs pro-russes pourraient ainsi manipuler l’information et les résultats de l’élection… Même si c’est peu probable compte tenu de la sophistication d’une telle opération et des moyens de défense. Ils seraient néanmoins en mesure de perturber temporairement ou localement le scrutin, puis d’éveiller la défiance citoyenne à l’égard des résultats, en particulier dans les groupes se disant prêts à la révolte.
II. Une guerre de l’information menée en parallèle de la cyberguerre
A la différence de la Chine, par exemple, la doctrine russe est conçue de manière à ce que ses armes cyber et ses outils informationnels soient utilisés de façon complémentaire.
Afin d’imposer le récit du Kremlin et des partis jugés favorables à ses intérêts, le régime de V. Poutine dispose d’un vaste arsenal d’outils de propagande. Leur champ de bataille principal sont les plateformes numériques et les réseaux sociaux, où ils fabriquent un discours de toutes pièces et se chargent ensuite de le disséminer au sein de la société française. Il s’agit d’une guerre avant-tout cognitive.
Voici les 4 phases clés de cette guerre :
-
Phase 1. Création des narratifs et des messages : la récupération des fractures sociétales
Les opérations psychologiques massives consisteraient tout d’abord en la création de narratifs et de messages pro-russes, diffusés en marge des scrutins pour influencer les électeurs indécis. Elles ont en fait déjà commencé.Parmi les thématiques potentiellement abordées avec un fort impact sur la psychologie des électeurs : la sécurité / identité (immigration), la paupérisation (pouvoir d’achat) et la personnalité du président. A celles-ci s’ajouteraient des sujets d’intérêts prioritaires pour les Russes comme remettre en cause l’implication française en Ukraine, accuser la France de privilégier l’Ukraine au détriment de ses citoyens, semer la confusion et la peur autour des événements en France, promouvoir les théories complotistes sur les élections, décrédibiliser les institutions, etc.
-
Phase 2. La dissémination des narratifs et des fausses informations dans les“médias”
Appliquant la doctrine de la Maskirovka, les acteurs pro-russes de la guerre de l’information créent des sites web qui imitent les médias authentiques ou les sites gouvernementaux (usurpation de l’identité visuelle). Ces sites sont conçus pour sembler crédibles et fiables afin de tromper les lecteurs. Ils ont pour but de publier les histoires fabriquées dans la phase 1, souvent en mélangeant des faits orientés, et des fakes news. Ces récits sont relayés en parallèle par les ambassades, les centres culturels et les comptes institutionnels russes, ainsi que les médias légitimes pro-Kremlin.Un exemple : le domaine de désinformation russe [www.leparisien.wf], qui a publié l’article “La France revient avec la droite” usurpant ainsi l’identité visuelle du média Le Parisien. Nous constatons que l’IP du domaine est rattachée à plusieurs anciens liens de phishing ciblant des utilisateurs français.
-
Phase 3. Propagande et manipulation sur les réseaux sociaux : un arsenal au service du narratif russe
Le narratif russe bénéficie d’un arsenal opérationnel sur les principaux réseaux sociaux (Facebook, X, Instagram, TikTok, YouTube, Telegram, etc.). La stratégie des agents pro-Kremlin repose sur trois types d’outils :
– les faux-comptes : profils créés pour paraître crédibles
– les bots : réseaux de comptes automatisés gérés par un opérateur pour amplifier le message
– les trolls : profils “pollueurs”.Notre investigation sur l’utilisation de bots nous conduit à plusieurs observations. Le recours à des noms américanisés suggère l’utilisation de ces bots sur d’autres théâtres informationnels occidentaux. Les pseudonymes utilisés comportent tous des suites de chiffres, suggérant une industrialisation de création de bots à partir d’un pseudonyme central, notamment via l’IA. Dans la majeure partie des cas étudiés, ces bots sont désactivés, inactifs ou supprimés dans un délai de 24h à 48h. Enfin, ils empruntent parfois une description générique d’autres utilisateurs et des photos pour gagner en crédibilité.
-
Phase 4 (hypothétique). D’une contestation numérique à une mobilisation de rue
Dans ce scénario critique et hypothétique, nous imaginons la mise en œuvre d’une opération d’astroturfing par les agents pro-russes. Cela implique que les phases précédentes de cyberguerre et de guerre de l’information aient obtenu suffisamment de résultats. Il s’agit d’une technique de manipulation faisant croire à un mouvement citoyen spontané, orchestré et coordonné en réalité par des groupes d’intérêts secrets, en l’occurrence inféodés au Kremlin.Dans ce scénario les agents pro-russes, aux soirs des élections et en cas d’absence de majorité relative du RN au second tour, pourraient tenter d’attiser la colère des électeurs des extrêmes, avancer de fausses preuves d’un vol électoral du gouvernement et pousser à l’action dissidente sur le modèle des évènements du Capitole (6 janvier 2021, pris d’assaut par des partisans de D. Trump). Cette phase ultime de la guerre hybride, quoique hypothétique, constitue une menace sérieuse en marge de ces élections législatives anticipées. Elle induirait néanmoins un contexte politique et social idéal, des unités d’influence russes rapidement déployées et opérationnelles malgré l’absence de préparation. Or, il est primordial de rappeler que l’écosystème des acteurs pro-russes n’est pas homogène et uniforme, et présente des degrés très différents d’efficacité selon les profils, avec un taux important d’amateurs.
III. Le rôle des réseaux sociaux
45% des contenus identifiés de désinformation pendant la campagne des élections européennes n’ont fait l’objet d’aucune action visible de la part des plateformes. Par exemple, X n’a pris aucune mesure visible dans 70% des cas, et les notes de la communauté n’étaient visibles que dans 15% des publications déjà vérifiées et démenties par les vérificateurs de faits indépendants européens.
Parmi les 20 publications les plus virales démenties qui n’ont fait l’objet d’aucune action de la part des plateformes, 18 étaient hébergées sur X avec plus de 1,5 million de vues chacune. Parfois la propagande russe se niche dans les contenus publicitaires. C’est le cas de META. Des annonces payées et approuvées par META ont relayé de la désinformation sur les élections européennes en France. Malgré les engagements de META pour limiter cette désinformation, l’entreprise a échoué à bloquer des milliers de publicités politiques contenant des messages de propagande pro-russe. Plus de 8 000 annonces trompeuses ont ainsi été identifiées.
« Si la situation est certes alarmante, le but de cette étude n’est pas de faire le jeu des acteurs russes, qui font d’ailleurs parfois preuve d’un étonnant amateurisme dans leur mise en œuvre de la guerre de l’information. Leur modèle est encore en phase d’expérimentation, tout comme l’est notre système de défense face à ces opérations de déstabilisation, à l’échelle européenne, française et individuelle. La dimension cognitive de cette guerre hybride souligne la nécessite de forger un véritable esprit critique pour s’en prémunir », analyse Audrey Amedro, Présidente de Sesame IT.