89. Multitudes 89. Hiver 2022
Majeure 89. Contre-enquêtes en open source

Enquêtes et renseignement numérique dans la guerre en Ukraine

et

Partagez —> /

En juin 2022, le journaliste belge Brecht Castel publia dans le journal flamand Knack une longue enquête pour expliquer comment, deux mois auparavant, l’armée russe serait parvenue à frapper une cible ukrainienne stratégique grâce à une « investigation OSINT1 ». Selon lui, l’armée russe aurait réussi à repérer, à partir d’images issues d’un reportage télévisé, un atelier ukrainien de réparation de tanks capturés. Plus que l’enquête en soi, ce sont les modalités de sa réalisation qui interpellent. Le croisement des données ainsi que l’analyse des images n’auraient pas été effectuées par le renseignement militaire russe, mais par des anonymes réunis sur une chaîne Telegram baptisée Rybar (« pêcheur », en russe), dont il sera question plus loin. Le travail d’investigation semble donc avoir été mené en dehors des structures de l’État, sur un réseau social, par des personnes non identifiées, dans un cadre qui apparaît comme participatif. Ce modèle n’est d’ailleurs pas l’apanage des Russes. Côté ukrainien, de très nombreuses initiatives participatives et « open source » existent pour, par exemple, signaler des mouvements de troupes ou collecter des preuves de massacres de civils pour de futurs procès devant la justice internationale.

Bien plus qu’une rupture, cette nouvelle manière de renseigner la guerre est l’aboutissement d’un processus qui débute à l’orée des années 2010, lorsque le développement conjoint des réseaux sociaux d’une part, et de l’Internet mobile d’autre part, a multiplié les capteurs qui permettent d’enregistrer, sous forme de traces numériques, des instantanés de ce qui se produit dans l’environnement direct de l’appareil et de son utilisateur. Les jeux de données générés par ces capteurs de plus en plus nombreux ont rapidement permis de dévoiler certaines informations dissimulées, souvent par de simples processus de collecte, d’analyse et de croisement de traces disponibles en sources ouvertes. Cette démarche d’enquête, qui regroupe un ensemble hétéroclite de pratiques aux contours flous, a rapidement été désignée sous le nom d’OSINT, acronyme pour Open Source Intelligence, ou renseignement d’origine source ouverte.

La zone post-soviétique (et plus particulièrement la Russie) a très tôt constitué un terreau particulièrement favorable pour de telles démarches. Elles furent d’abord utilisées par divers collectifs et militants pour dénoncer la corruption et l’autoritarisme. Ainsi, dès les années 2000, des bases de données en ligne voient le jour, qui permettent aux citoyens d’enquêter eux-mêmes sur des faits de népotisme2 ou de renseigner de manière participative des méfaits tels que les bourrages d’urnes lors d’élections. En 2014, la révolution de Maïdan, l’annexion de la Crimée et le début de la guerre civile dans le Donbass ont permis à ces pratiques d’investir le champ de la géopolitique externe et des conflits internationaux. Ainsi, de nombreuses enquêtes ont démontré, grâce à l’analyse de photos postées sur les réseaux sociaux, l’implication directe de l’armée russe auprès des séparatistes du Donbass, contrairement aux affirmations de Moscou3. Bien plus spectaculaire, l’enquête qui a mené à prouver la culpabilité de la Russie dans la destruction de l’avion MH17 a marqué un tournant, en ce qu’elle a permis à l’OSINT d’émerger comme une démarche d’enquête capable de peser dans les rapports de forces internationaux, et de déjouer les récits propagés par une grande puissance4. Depuis, les investigations et les contre-enquêtes se sont multipliées en Russie, où les exigences juridiques de conservation de données et la corruption de l’administration conduisent à rendre disponible de nombreuses bases de données au marché noir5. C’est ainsi, grâce à des manifestes de vol6 obtenus sur le darkweb, que l’entourage d’Alexeï Navalny est parvenu à identifier ses empoisonneurs du FSB, en remarquant que les trois mêmes noms revenaient constamment dans les listes de passagers de tous les vols qu’il avait effectués pendant deux ans7.

Plus qu’une rupture, la guerre en Ukraine a initié un changement d’échelle dans le recours aux investigations numériques. Le volume des enquêtes qui sont entreprises, que ce soit par des journalistes chevronnés ou des anonymes sur les réseaux sociaux, a explosé. Cela tient en partie au fait que la guerre qui fait actuellement rage en Ukraine est le premier conflit de haute intensité qui se déroule dans une zone avec un taux important de pénétration d’Internet (67,6 % en 20218) où les infrastructures numériques ont globalement été épargnées par les belligérants – sauf dans les lieux assiégés tels que Marioupol. Dès lors, l’Ukraine constitue un théâtre d’opérations « connecté » dans le sens où les manœuvres, assauts et exactions sont documentés quasiment en temps réel, fournissant aux belligérants un volume considérable de données susceptibles d’être analysées, recoupées et interprétées pour optimiser les stratégies du contrôle territorial en temps de guerre.

L’OSINT comme technique de renseignement de guerre

L’OSINT émerge aujourd’hui en Russie comme un nouvel outil de renseignement au service des forces armées russes. Il est mis en œuvre par divers acteurs apparemment indépendants, qui se disent patriotes et semblent soutenir bénévolement la réalisation de certaines manœuvres militaires russes, y compris aussi destructrices que des frappes de missiles. Le travail de ces OSINTers, qui se constituent en communautés sur Internet pour mener leurs recherches à partir de données publiquement disponibles en ligne, peut permettre aux services de renseignement de déléguer des enquêtes et de récupérer directement les résultats obtenus. L’intégration et l’usage manifestes de ces résultats par les forces armées russes constituent un gain de temps pour les services de renseignement et un gain financier pour les autorités profitant des informations qui leur sont confiées bénévolement par les enquêteurs. Suivant cette nouvelle dynamique, les communautés de chercheurs en OSINT commencent à prendre de l’importance, et finissent par faire partie intégrante de l’appareil de renseignement civil et militaire en Russie.

Le cas de l’acteur indépendant Russian OSINT (@Russian_OSINT sur Twitter depuis septembre 2019) en est la parfaite illustration. Cet enquêteur russe a d’abord publié des outils disponibles en source ouverte et des méthodes d’enquête à destination des internautes sur Twitter, avant d’annoncer son retrait de la plateforme américaine le 11 mars 2022 et d’inviter ses abonnés à le suivre sur la plateforme russe Telegram9. Depuis son retrait de Twitter, il fait partie des créateurs de contenus sur Telegram qui ont été reconnus par KILLNET, un groupe de pirates informatiques qui défend notamment les intérêts de l’État russe10, comme un soutien à l’effort de guerre11. L’annonce de la guerre en Ukraine semble donc avoir décidé cet acteur à employer ses compétences en OSINT au service des autorités russes dans le cadre du conflit.

Outre les acteurs qui ont émergé dans les années qui ont précédé la guerre, de nouveaux groupes d’enquêteurs russes se sont formés en lien direct avec le conflit, tels que le groupe à l’origine de la chaîne Telegram Rybar. Ce groupe mène notamment des enquêtes à partir d’images satellitaires et de données disponibles en source ouverte, GEOINT (GEOspatial INTelligence12), pour permettre à l’armée russe de cibler des infrastructures stratégiques pour l’armée ukrainienne. Présentés comme des acteurs indépendants au départ, les contributeurs de la chaîne Telegram Rybar sont soupçonnés par des journalistes polonais d’être financés par les infrastructures de Evgueni Prigozhine, un homme d’affaires proche du Kremlin13, notamment connu pour avoir financé les fameuses « usines à trolls » qui auraient appuyé la campagne de Donald Trump aux États-Unis en 2016, en accord avec les intérêts russes14. Il serait aussi le financeur de l’entreprise paramilitaire Wagner qui fournit des mercenaires à divers gouvernements d’Afrique et du Moyen-Orient, et appuie actuellement les forces armées russes en Ukraine15. Bien que ses activités soient présentées comme indépendantes des intérêts du Kremlin par les autorités russes16 de même que celles du groupe Wagner, Evgueni Prigozhine revendique une posture d’entrepreneur patriote17 qui suppose que ses activités visent à défendre, si ce n’est à favoriser les intérêts russes. Cette posture lui permet également d’obtenir de nombreux contrats publics en Russie, faisant de lui un entrepreneur au service de l’État18. Si la chaîne Telegram Rybar a bien été créée avec son soutien, il est possible d’en déduire que les autorités russes considèrent aujourd’hui véritablement l’OSINT comme un atout pour le renseignement militaire.

Face à cet usage offensif de l’OSINT par les autorités russes, des développeurs ukrainiens ont créé des applications destinées à protéger les données de leurs concitoyens. Parmi ces applications, on compte notamment l’application pour mobile Diïa (Дія). Elle permet de s’identifier sur un autre service en ligne dont l’objectif est de géolocaliser et de décrire les déplacements des troupes russes sur le sol ukrainien19. Au sujet de cette application et de son rôle dans la guerre, Anastasia Kryvetska, autrice d’un mémoire de recherche à l’Institut français de géopolitique (IFG), écrit : « depuis le début de la guerre, l’armée ukrainienne a un avantage particulier : la connaissance du terrain et une collaboration massive des citoyens. On parle d’une sorte de “cybermobilité” dont bénéficient aujourd’hui les forces armées ukrainiennes. Ces indications ont pour but final le renseignement et servent donc à connaître les mouvements de troupes et à procéder à des frappes aériennes ou d’artillerie, ainsi qu’à organiser des actions militaires d’infanterie ou de cavalerie20. » En cela, Diïa joue un rôle similaire, côté ukrainien, à la chaîne Telegram Rybar côté russe, à la différence que les informations renseignées sur Diïa proviennent directement du terrain, quand les contributeurs de Rybar s’appuient principalement sur des données récoltées à distance au moyen de sources numériques (images satellitaires, photographies postées sur les réseaux sociaux par des Ukrainiens, etc.). Or, la production d’enquêtes en OSINT ne sert pas uniquement à informer. Au contraire, elle est aussi devenue un nouveau mode de désinformation et d’influence dans le cadre de la guerre.

L’OSINT comme outil de communication et de désinformation

La guerre en Ukraine montre que la maîtrise de la diffusion de l’information est plus que jamais centrale en tant que mode de communication pour les belligérants. L’image des différentes parties prenantes du conflit est devenue fondamentale, en cela qu’elle favorise ou défavorise l’adhésion des opinions publiques à la cause qu’elles disent défendre et à leurs objectifs21. Une perception positive des belligérants peut favoriser le recrutement de nouveaux combattants ou le volontariat dans différents domaines, comme le montre la formation de groupes d’enquêteurs en OSINT et de pirates informatiques qui s’engagent dans la guerre en apportant leur aide à tel ou tel parti22.

Pour influencer les opinions publiques, certains sites internet russes dédiés à l’OSINT vont ainsi jusqu’à diffuser de fausses informations. C’est notamment le cas de WarOnFakes23 qui, sous couvert de mettre au jour des opérations de désinformation anti-russes, produit en réalité de fausses enquêtes24. WarOnFakes a par exemple publié un article pour expliquer que les troupes russes ne comptaient pas utiliser le site de la centrale nucléaire de Zaporozhie comme une base militaire avancée sur le territoire ukrainien25, alors que cette information était rapportée par différents médias26. Pourtant, la centrale a bien été convertie en base militaire et utilisée par les troupes russes pour mener des frappes balistiques une semaine après la parution de l’article27.

Côté ukrainien, la valorisation des traces numériques générées par la guerre, de même que les enquêtes menées à partir de ces traces, constituent un puissant vecteur d’influence pour capter l’attention des opinions publiques occidentales et de leurs dirigeants. Parmi toutes les ruptures qu’elle symbolise, la guerre en Ukraine marque en effet un véritable tournant dans notre façon de suivre, mais aussi de vivre, un conflit de haute intensité. Passée la sidération des premiers instants, la couverture médiatique du conflit s’est d’abord développée au rythme des innombrables photos, vidéos ou témoignages émanant des profondeurs des réseaux sociaux. Images de colonnes de blindés russes calcinés ou tirés par des tracteurs, vidéos d’hélicoptères ou d’avions de chasse abattus, témoignages de déserteurs russes fondant en larmes… Un flot informationnel continu a permis de suivre d’heure en heure, voire de minute en minute, les échecs d’une armée russe dont beaucoup pensaient qu’elle serait à Kiev en quarante-huit heures. Ces images ont permis de saisir des instantanés du conflit avec une granularité toujours plus fine. On peut dire aujourd’hui que les nombreux comptes qui font état de la guerre en temps réel sur les réseaux sociaux, du point de vue de ceux qui la vivent, ont remplacé le direct de la guerre présenté par les journalistes à la télévision28. En outre, les images que ces comptes produisent et diffusent façonnent immédiatement29 la manière dont les différents publics et les parties prenantes au conflit perçoivent la guerre, du citoyen au décideur. Le rôle des internautes et des réseaux sociaux dans cette nouvelle manière de construire l’image de la guerre et des belligérants, mais aussi, par conséquent, d’y participer sur les fronts cyber et informationnel, est sans doute aussi nouveau que le fut l’irruption de la télévision en direct dans la couverture des conflits.

La collecte, l’analyse, le croisement et la mise en valeur des données générées par l’invasion russe de l’Ukraine redessinent notre manière de voir et de comprendre la guerre. Si cela est le résultat d’un processus démarré il y a plus d’une décennie, l’irruption d’un conflit de haute intensité aux portes de l’Europe, dans un espace fortement connecté, a eu pour conséquence l’explosion du nombre de traces numériques disponibles, tout comme la quantité d’enquêteurs susceptibles de les analyser. Que ces enquêtes soient utilisées pour frapper des cibles, marquer des opinions publiques ou répandre de fausses informations, il apparaît que le premier grand conflit militaire du XXIe siècle en Europe est aussi, sans doute, la première guerre « open source » de haute intensité.

1www.knack.be/nieuws/wereld/hoe-oekraiense-journalisten-onbedoeld-een-russische-raketaanval-hielpen-lanceren

2Citons, par exemple, le site antikompromat.ru qui regroupait des milliers d’articles et de ressources diverses sur la corruption et le clientélisme à tous les étages du pouvoir russe. Ce site avait été fondé par le politologue et activiste Vladmir Pribylovski, qui fut retrouvé mort à son domicile en 2016.

3Paul Szoldra, « Without Realizing It, Russian Soldiers Are Proving Vladimir Putin Is Lying About Eastern Ukraine », Business Insider, 1er août 2014, www.businessinsider.com/russian-soldiers-social-ukraine-2014-7?r=US&IR=T

4Voir le site du Conseil de sécurité néerlandais, qui est chargé de l’enquête : www.onderzoeksraad.nl/en/page/3546/mh17-crash-17-juli-2014

5Voir à ce sujet le site https://fsb.dossier.center/report

6Liste de tous les passagers supposés être à bord d’un avion au moment de son décollage, en-dehors des membres de l’équipage. Cette liste répertorie les numéros de billets des passagers et des informations sur leur identité.

7Aric Toler, « Hunting the Hunters : How We Identified Navalny’s FSB Stalkers », Bellingcat, 14 décembre 2020, www.bellingcat.com/resources/2020/12/14/navalny-fsb-methodology

8https://datareportal.com/reports/digital-2021-ukraine

9Voir la publication du groupe sur Twitter au lien suivant : https://twitter.com/Russian_OSINT/status/1502299203107762179?cxt=HHwWhsC5uc3KntkpAAAA

10Groupe de hacktivistes qui mène des attaques informatiques à l’étranger pour soutenir la politique extérieure du gouvernement russe. KILLNET a notamment attaqué l’Italie et la Lituanie, suite à des différends commerciaux entre la Russie et ces pays autour du gaz et du fret ferroviaire, https://factuel.afp.com/doc.afp.com.32D34R9

11Voir le compte Telegram de KILLNET : https[://]t[.]me/s/killnet_reservs?q=Russian_OSINT

12La pratique de l’OSINT se décline en une multitude de domaines, dont la GEOINT et le renseignement à partir des réseaux sociaux (Social Media Intelligence, SOCMINT) font partie.

13« Putin Chef’s Kisses of Death : Russia’s Shadow Army’s State-Run Structure Exposed », Bellingcat, 14 août 2020, www.bellingcat.com/news/uk-and-europe/2020/08/14/pmc-structure-exposed. Sur les liens possibles entre les structures de Evgueni Prigozhine et la chaîne Telegram Rybar, cf. Anna Mierzyńska « Une chaîne Telegram indique à l’armée russe ce qu’elle doit bombarder. La guerre de l’information meurtrière du Kremlin », 18 juin 2022, https://oko.press/sobota-kanal-na-telegramie-wskazuje-co-ma-zbombardowac-rosyjska-armia-zabojcza-wojna-informacyjna-kremla/

14Colin Gérard, « Usines à trolls russes : de l’association patriotique locale à l’entreprise globale », INA, 20 juin 2019, https://larevuedesmedias.ina.fr/usines-trolls-russes-de-lassociation-patriotique-locale-lentreprise-globale

15« Le groupe Wagner déployé dans l’est de l’Ukraine, selon Londres », Le Monde, 29 mars 2022, www.lemonde.fr/international/article/2022/03/29/guerre-en-ukraine-le-groupe-paramilitaire-prive-wagner-deploye-dans-l-est-du-pays_6119562_3210.html

16Nadejda Mullen, « Wagner : l’armée secrète de Poutine », Amnesty International, 1er septembre 2021, www.amnesty.fr/justice-internationale-et-impunite/actualites/wagner-armee-secrete-poutine

17Élie Guckert, « Evgueni Prigojine : l’industriel de la désinformation russe », 14 septembre 2020, www.conspiracywatch.info/evgueni-prigojine-lindustriel-de-la-desinformation-russe.html

18Voir à ce sujet l’article de Kevin Limonier et Marlène Laruelle, « Beyond Hybrid Warfare: A Digital Exploration of Russia’s Entrepreneurs of Influence », Post-Soviet Affairs, vol. 37, no 4, 17 juillet 2021, www.tandfonline.com/doi/full/10.1080/1060586X.2021.1936409

19Anastasia Kryvetska, Mémoire de Master 1 à l’Institut français de géopolitique (IFG), « Le développement du cyberespace ukrainien depuis la guerre avec la Russie (2014-2022) », sous la direction de Louis Pétiniaud, p. 96, https://omeka.geopolitique.net/items/show/542

20Ibid.

21À ce sujet, voir le chapitre IV « Mobilisation et hacktivisme » de l’ouvrage de Bertrand Boyer Guérilla 2.0., Guerres irrégulières dans le cyberespace, éditions de l’École De Guerre, collection « Ligne De Front », 2020.

22Emma Vail, « Russia or Ukraine : Hacking groups take side », The Record, 25 février 2022, https://therecord.media/russia-or-ukraine-hacking-groups-take-sides

23https[://]waronfakes[.]com/fr, dont le nom de domaine a été officiellement enregistré le 1er mars 2022. Voir www.whois.com/whois/waronfakes.com.

24Voir Nicholas De Rosa, « De fausses vérifications de faits sur l’invasion connaissent un grand succès en Russie », Radio-Canada, 23 mars 2022, https://ici.radio-canada.ca/nouvelle/1870981/faux-fact-check-ukraine-war-on-fakes-russie et l’enquête de Craig Silverman et Jeff Kao pour ProPublica, « In the Ukraine Conflict, Fake Fact-Checks Are Being Used to Spread Disinformation », 8 mars 2022, www.propublica.org/article/in-the-ukraine-conflict-fake-fact-checks-are-being-used-to-spread-disinformation

25« L’infox : Les forces armées russes veulent tourner la centrale nucléaire de Zaporojie en une base militaire », WarOnFakes, 8 juillet 2022, https[://]waronfakes[.]com/fr/information-generale/linfox-les-forces-armees-russes-veulent-tourner-la-centrale-nucleaire-de-zaporojie-en-une-base

26« Russia rejects Blinken’s claims of using Zaporozhye NPP as military base — mission to UN », TASS (agence de presse étatique russe), 2 août 2022, https://tass.com/politics/1487763

27« Guerre en Ukraine : des missiles russes tirés depuis la centrale nucléaire de Zaporijjia », Le Figaro, 16 juillet 2022,www.lefigaro.fr/flash-actu/guerre-en-ukraine-des-missiles-russes-tires-depuis-la-centrale-nucleaire-de-zaporijjia-20220716

28La couverture médiatique de l’opération Renard du Désert (Irak) en 1991 avait d’ailleurs constitué une rupture sur le front de l’information, du fait du rôle qu’y avait joué la chaîne de télévision en direct CNN. Cette rupture dans l’usage journalistique de la télévision par CNN a été telle qu’elle a été étudiée par la suite à travers la notion d’« effet CNN ». Voir l’article du professeur Eytan Gilboa, « The CNN Effect : The Search for a Communication Theory of International Relations », Political Communication, vol. 22, no 1, 24 février 2007, p. 27-44, www.tandfonline.com/doi/abs/10.1080/10584600590908429

29C’est-à-dire sans la médiation du discours journalistique.