Tags : réseaux sociaux, faux comptes, manipulation, fake news, diffamation, trolls, Forbidden Stories,
L’agence israélienne « Team Jorge » répand la désinformation dans le monde entier depuis des années avec un système sophistiqué de faux comptes pour manipuler les réseaux sociaux. La société fantôme opère complètement sous le radar, mais a été révélée grâce à une opération d’infiltration par des journalistes.
Beaucoup d’encre a déjà coulé sur le danger de la désinformation en ligne et des fausses nouvelles. Mais une enquête mondiale sur la cyber-industrie responsable des campagnes de diffamation, des armées de trolls et du trucage des élections n’avait jamais eu lieu. C’est pourquoi l’association parisienne Forbidden Stories, qui poursuit le travail des journalistes menacés ou assassinés, s’est associée à 30 médias – dont Knack et Le Soir. Avec la même équipe de journalistes, nous avions déjà exposé en 2021 comment le logiciel espion Pegasus du groupe NSO était abusé pour espionner les journalistes.
En mémoire du journaliste indien assassiné Gauri Lankesh, nous avons lancé le projet #StoryKillers, une enquête sur les mercenaires de désinformation. Il a débuté par une réunion de partenaires médias à Paris en juin 2022. Lors d’une séance de brainstorming sur la manière de cartographier l’industrie obscure et mystérieuse de la désinformation, l’idée d’une opération d’infiltration est née. Et si nous faisions semblant d’être des clients potentiels afin d’approcher des entreprises qui vendent des services de désinformation ?
« Interférence dans 33 élections présidentielles »
« Nous sommes les représentants d’un client potentiel d’un pays africain. Pouvez-vous nous aider à reporter les élections ? Sous cette couverture, nos collègues de TheMarker, Radio France et Haaretz ont réussi à contacter un acteur secret de l’industrie de la désinformation par l’intermédiaire. Et le poisson a mordu. Au cours des six derniers mois, l’équipe d’infiltration a eu plusieurs réunions – en ligne et en face-à-face – avec une agence qui ne devient publique (et toujours dans un cercle restreint) que sous le nom de « Team Jorge » . Les rencontres ont été secrètement filmées.
L’homme qui s’est présenté comme Jorge s’est avéré être un vendeur de premier ordre. Dans des présentations étonnantes, il a exposé les outils à la disposition de son équipe : cyber-attaques, campagnes internationales de désinformation, documents falsifiés, diffamation d’opposants politiques, diffusion de faux rapports, vol de documents bancaires… Jorge a même affirmé que lui et ses associés s’étaient immiscés dans 33 élections présidentielles dans le monde « dont 27 avec succès ».
En outre, Jorge a affirmé être à l’origine d’une cyberattaque notoire visant à saboter le référendum sur l’indépendance de la Catalogne en 2014. Il a également raconté comment un client l’avait payé pour aider à arrêter le magnat de la mode canadien Peter Nygård pour des crimes sexuels présumés. Et il s’est vanté d’une attaque en 2015 contre les téléphones du parti d’opposition au Nigeria, dans le cadre d’une campagne électorale à laquelle il a collaboré avec la célèbre société britannique Cambridge Analytica.
Les argumentaires de vente d’une heure de Jorge et de ses associés n’étaient que le point de départ de notre enquête, car nous devions bien sûr revérifier toutes les affirmations faites dans les présentations de Jorge. Et surtout : découvrir qui est vraiment ce mystérieux Jorge.
Télégramme piraté
Lors des premières réunions en ligne avec les journalistes infiltrés de TheMarker, Radio France et Haaretz, l’équipe Jorge a expliqué que toute opération d’influence comporte trois phases : recueillir des renseignements, construire une histoire, puis la diffuser largement pour obtenir un impact maximal.
Pour récolter des renseignements – utiles si vous voulez noircir quelqu’un – l’équipe utilise, entre autres, le piratage. Par exemple, lors d’une démonstration en direct, il a montré l’accès au compte Telegram d’un ministre kenyan en envoyant un message en son nom. Forbidden Stories a pu vérifier que le message était bien arrivé. L’équipe Jorge a également eu accès à plusieurs comptes de messagerie d’éminentes personnalités, dont le compte gmail d’un homme d’affaires indonésien et d’un ministre mozambicain.
On ne sait pas comment l’équipe a réussi à déjouer Telegram. Cela peut avoir été fait en menant des attaques dites SS7. Celles-ci répondent à une vulnérabilité du système de signalisation #7, qui est utilisé dans le monde entier par les fournisseurs de télécommunications pour permettre, entre autres, les appels d’un téléphone mobile à un autre. Telegram répond que les utilisateurs en question n’avaient pas activé la vérification en deux étapes pour protéger leur compte.
Une armée de 39 000 faux profils
L’équipe Jorge a développé son propre outil avancé pour les campagnes de désinformation en ligne : Advanced Impact Media Solutions (AIMS). Avec cette plateforme logicielle (qui n’a jamais été divulguée auparavant), il peut mettre en place massivement de faux profils sur les réseaux sociaux – les soi-disant avatars – mais aussi créer de faux articles de presse et de blogs et, surtout, diffuser des contenus de manière coordonnée.
AIMS permet de créer de faux comptes pour des personnes inexistantes sur simple pression d’un bouton, et de manière très crédible, sur de nombreux réseaux sociaux : Twitter, Facebook, Instagram, Amazon, Discord, Reddit… Chaque personnage fictif obtient un premier nom, langue, lieu de résidence, sexe et date de naissance. Les photos volées à d’autres internautes sont utilisées comme images. Les faux profils peuvent même avoir un portefeuille de crypto-monnaie.
Selon l’interface utilisateur présentée à notre équipe, AIMS gérait plus de 39 000 avatars en décembre 2022 et avait la capacité d’en créer facilement et rapidement de nouveaux. « Nous avons des Arabes, des Russes, des Asiatiques, tout. Des Africains, bien sûr », a déclaré Jorge lors d’une présentation, faisant défiler son inventaire de comptes fictifs.
Détection de contournement
Google, Apple, Facebook, Amazon et Microsoft ont naturellement mis en place des systèmes de détection pour repérer les faux comptes. Mais AIMS parvient également à contourner cela.
Pour éviter que de nouvelles inscriptions massives soient mises en place à partir d’une seule et même adresse IP, Team Jorge s’appuie sur une série de proxys dits résidentiels (pour faire simple : serveurs tiers). Cela donne l’impression que les avatars vivent vraiment dans d’autres pays. Et pour contourner le processus de confirmation d’identité des différents sites, des SMS sont envoyés aux numéros virtuels créés pour les avatars. Cela rend beaucoup plus difficile d’exposer les profils comme faux.
L’armée de faux comptes peut être coordonnée pour mener des campagnes de tromperie ciblées sur les réseaux sociaux. Et mieux encore : la création du contenu que ces faux profils diffusent se fait également de manière automatique, contrôlée par l’intelligence artificielle (IA). Vous choisissez un ton (négatif, positif ou neutre) et le système génère des tweets et des messages difficiles, voire impossibles, à détecter comme générés par la machine.
Nous avons présenté des images de la présentation AIMS de l’équipe Jorge au professeur Anat Ben-David, chercheur en médias numériques au Département de sociologie, de sciences politiques et de communication de l’Open University israélienne. Elle a été impressionnée : « Ce sont des technologies et des compétences qui n’ont jamais été vues de l’intérieur. »
RIP Emmanuel
La présentation AIMS semblait convaincante, mais cela ne signifie pas que le système fonctionne dans le monde réel. Nous avons donc demandé à l’équipe Jorge de nous faire une démonstration.
À l’été 2022, « Emmanuel l’émeu » est devenu viral sur les réseaux sociaux, chouchou du célèbre influenceur Taylor Blake. Nous avons défié l’équipe Jorge avec une mission : répandre la rumeur sur Twitter que l’émeu est mort. Résultat? En utilisant les faux comptes d’AIMS, le hashtag #RIP_Emmanuel s’est propagé sur Twitter en un rien de temps. La campagne, nous avons pu déterminer par nous-mêmes, comprenait des milliers de tweets, de partages et de likes.
Jorge nous a envoyé une capture d’écran montrant que #RIP_Emmanuel était l’un des articles tendance sur Twitter en Slovaquie, avec 1347 tweets dans ce seul pays. En Afrique, en Europe et aussi aux Etats-Unis, la mort de « la légende » a été déplorée et les gens ont écrit combien « Emmanuel va nous manquer ».
Mission accomplie. Mais en même temps, l’équipe Jorge s’était exposée. Après tout, nous avons maintenant pu découvrir quels faux profils ont été utilisés dans la campagne de désinformation autour d’Emmanuel. Sur la base de ces informations, nous avons continué à enquêter. Par exemple, nous avons pu identifier plus de 1700 comptes Twitter et près de 250 comptes Facebook similaires, ainsi que certains profils YouTube et Reddit, qui appartiennent à la plateforme AIMS.
Tous ces faux comptes se sont également avérés être utilisés dans au moins 19 véritables campagnes de désinformation orchestrées par l’équipe Jorge : de la promotion de l’énergie nucléaire en Californie au soutien du président sénégalais Macky Sall dans sa candidature à la réélection en 2019, en passant par le dénigrement du dénonciateur suisse Xavier Justo qui a contribué à révéler le scandale de corruption 1MDB en Malaisie. Maintenant, nous étions sûrs à 100 % : l’équipe Jorge a répandu la désinformation dans le monde entier avec sa technologie AIMS.
« Quelle est la différence entre une théorie du complot et la vérité ? », a demandé Jorge lors d’une des réunions. Il a répondu lui-même. « Dix-huit mois. »
Facebook répond
Nous avons présenté nos conclusions sur les faux profils à Meta, la société au-dessus de Facebook. En 2019, nous avons mis fin à une opération d’influence liée à une société israélienne appelée Archimedes Group.
«Cette dernière activité que Forbidden Stories nous a signalée la semaine dernière est une tentative de certains des mêmes individus de revenir et nous les avons retirés pour avoir enfreint nos politiques. Notre évaluation initiale a montré que depuis 2019, ces tentatives ont été bloquées par nos systèmes automatisés ou n’ont pas réussi à créer une audience authentique.
« La dernière activité du groupe semble s’être concentrée sur la diffusion de fausses pétitions sur Internet ou sur la diffusion d’histoires fabriquées dans les médias grand public. »
600 liens pour une histoire
Un autre outil de l’arsenal de l’équipe Jorge est Blogger. Ce logiciel fournit les liens que les faux profils peuvent diffuser lors de campagnes de désinformation. Le matériel peut aller d’informations divulguées à des vidéos, et est hébergé sur des sites Web apparemment authentiques.
Selon Jorge, Blogger peut créer 600 liens pour la même actualité. Nous n’avons pas vu de version fonctionnelle du système Blogger, mais nous avons vu son résultat : une feuille de calcul avec des centaines de liens menant à ce qui semblait être la même poignée d’actualités et de vidéos d’une élection en Asie.
Et la manipulation astucieuse va encore plus loin que cela. Nous avons découvert que Team Jorge parvient même à poster de faux messages dans les médias français. En effet, lors d’une réunion, Jorge a montré un fragment d’un message diffusé en décembre sur la chaîne française d’information en continu BFM TV. Jorge a affirmé qu’il était derrière tout cela.
Dans l’article, le présentateur de télévision français Rachid M’Barki a déclaré que les sanctions contre les oligarques russes conduiraient au chômage de dizaines de milliers de personnes – car indirectement les chantiers navals étaient également touchés. Forbidden Stories a contacté la direction de BFM TV à propos de cette étrange histoire. La chaîne a lancé une enquête interne et le présentateur a été suspendu. M’Barki a admis qu’il avait suivi les instructions d’un intermédiaire pour cette histoire, mais a déclaré qu’il n’avait pas reçu d’argent pour cela.
Le présentateur de télévision n’a pas répondu à nos questions, mais s’est plutôt défendu dans la presse : « Peut-être que j’ai été trompé. Je n’avais aucune impression que c’était le cas ou que je participais à une quelconque opération chirurgicale. Sinon, je ne l’aurais pas fait.
Fil rouge : discrétion
Team Jorge n’a pas d’adresse, pas de numéro de téléphone, pas de site web, pas de coordonnées et n’est pas enregistrée en tant qu’entreprise.
La discrétion était également de mise lors de nos rencontres avec la Team Jorge. Jorge lui-même et ses compagnons n’ont jamais révélé leur véritable identité, mais ont invariablement travaillé avec des pseudonymes. Par exemple, il y avait un certain « Nick », qui a été présenté comme le directeur de l’équipe Jorge. Et Jorge lui-même ne nous a parlé qu’à partir d’un numéro de téléphone indonésien. Au début, il n’a même pas révélé son visage.
Ce penchant pour la discrétion est également ressorti en ce qui concerne l’argent. Les opérations de l’équipe Jorge ont un prix élevé : de quelques centaines de milliers de dollars pour une opération mineure à 15 millions de dollars pour tenter d’influencer une campagne présidentielle. Mais le paiement pourrait se faire de diverses manières – sous le radar – via des crypto-monnaies, des dons à des ONG, des transferts à des sociétés écrans…
Forces spéciales de l’armée israélienne
Après des mois de recherches approfondies, nous avons pu découvrir qui se cache derrière le pseudonyme « Jorge ». Son vrai nom est Tal Hanan, un Israélien de 51 ans qui vit avec sa famille à Modi’in, une ville entre Jérusalem et Tel-Aviv. Hanan est le chef officiel de deux sociétés : la société d’énergie Sol Energy et Demoman, une société de sécurité israélienne fondée en 1999, spécialisée à la fois dans le contre-terrorisme et l’intelligence économique.
Sur le site de Demoman, Hanan est décrit comme un spécialiste des explosifs qui a servi dans les forces spéciales de l’armée israélienne. Hanan a dirigé de nombreuses missions de renseignement, de sécurité, d’application de la loi et de lutte contre la corruption, ainsi que des missions et des projets de conseil pour divers membres de l’OTAN, des gouvernements sud-américains et des entreprises privées du secteur pétrolier et gazier. Il a dirigé des opérations de protection à haut risque au Mexique, en Colombie et au Venezuela.
Bien que peu d’informations soient accessibles au public sur les activités de renseignement de Tal Hanan, son nom a été mentionné en mai 2015 dans un échange de courriels entre Alexander Nix et Brittany Kaiser, deux anciens cadres de Cambridge Analytica. Grâce à notre partenaire média The Guardian, nous avons pu visualiser ce trafic d’e-mails.
Pour rappel, Cambridge Analytica était la société britannique qui collectait, analysait et utilisait les données personnelles de près de 87 millions d’utilisateurs de Facebook à leur insu et à des fins de ciblage politique. Il a joué un rôle dans la victoire électorale de Donald Trump en 2016 aux États-Unis et dans le référendum sur le Brexit en Angleterre.
Le directeur de l’équipe Jorge « Nick » s’avère être Zohar Hanan, le frère de Tal. Il n’y a quasiment aucune information publique disponible sur ce quinquagénaire, qui en 2010 était cité dans un magazine américain comme un expert en polygraphie (une technologie de détection de mensonges) et qui était aussi présenté comme consultant pour Sensority, une ancienne start-up israélienne. up qui, entre autres, se spécialise dans les technologies de détection de stress.
‘Nous ne sommes rien’
Tal Hanan n’a pas répondu à nos questions contradictoires, déclarant seulement qu’il nie tout acte répréhensible. « Toute divulgation de données personnelles (c’est-à-dire le doxxing) peut être soumise à différentes lois sur la sécurité nationale », a-t-il ajouté de manière énigmatique. Son frère Zohar a seulement répondu qu’il avait « travaillé dans la légalité toute sa vie ».
La dernière rencontre entre l’équipe Jorge et les journalistes infiltrés de TheMarker, Radio France et Haaretz a eu lieu dans un immeuble quelconque à moitié vide de la ville israélienne de Modi’in. Jorge a un bureau au troisième étage.
« Avez-vous vu ce qui est écrit sur la porte ? » demanda Tal Hanan. ‘Rien. Cela ne dit rien. C’est qui nous sommes. Nous ne sommes rien.’
Cet article était basé sur des textes de Forbidden Stories, Le Monde, TheMarker, Radio France et Haaretz. Der Spiegel, Paper Trail Media et Le Monde ont analysé les faux comptes AIMS utilisés dans 19 campagnes de désinformation. The Guardian a partagé les e-mails de Cambridge Analytica.
Knack, 14/02/2023
#Jorge_Team #Israël #Désinformation #Forbidden_stories #Piratage #Hacking #Fake_news