« Une campagne numérique de manipulation de l’information contre la France. » C’est ainsi que Catherine Colonna, ministre de l’Europe et des Affaires étrangères, a défini la dernière opération de désinformation orchestrée par la Russie dans un communiqué publié le 13 juin 2023. 17 médias en Europe dont Le Monde, le Parisien et 20 minutes ont été entièrement copiés par des agents du Kremlin pour propager des articles de propagande et diffuser des narratifs anti-ukrainiens. Le service de vigilance et de protection contre les ingérences numériques étrangères (VIGINUM) a indiqué que 355 noms de domaine ont été créés pour réaliser ces sites clones. Depuis fin mai 2023, des « bots » (des comptes agissant automatiquement, sans besoin d’une intervention humaine) relaient ces liens sur les réseaux sociaux.
Une machine bien rodée pour influencer l’opinion publique et perturber le soutien de l’Occident à l’Ukraine. Le Quai d’Orsay déclare qu’il s’agit d’une « nouvelle illustration de la stratégie hybride que la Russie met en œuvre pour saper les conditions d’un débat démocratique apaisé et donc porter atteinte à nos institutions démocratiques. La France condamne ces agissements indignes d’un membre permanent du Conseil de sécurité des Nations Unies. »
Les détails à observer pour repérer un clone
Les sites clones ressemblent suffisamment à l’original pour tromper un lecteur inattentif. L’internaute sera même redirigé vers le site du média copié en cliquant sur le logo. Quelques détails trahissent néanmoins la page en question.
Le nom de domaine
D’abord, le nom de domaine : pour Le Parisien, par exemple, le site se termine en « .fr » alors que clone finit en « .ltd ». « Une technique courante chez les cybercriminels », nous explique Benoit Grunemwald, expert cybersécurité chez ESET en France. « Les sites copiés d’entreprises, de plateformes d’e-commerce, de sociétés de livraison font partie de la méthodologie de l’hameçonnage. La première étape consiste à créer un nom de domaine pour être reconnu sur le moteur de recherche. Il y a des services qui sont moins regardants quant aux noms créés ou au moyen de paiement. Le plus souvent, il s’agit d’ajouter une lettre ou un chiffre pour maintenir le nom de l’entreprise copiée. »
En ce qui concerne le site clone du Parisien, les agents du Kremlin ont pris l’acronyme des sociétés à actionnaire dans le droit anglo-saxon. En lançant une recherche classique sur les bases de nom de domaine, on découvre que celui-ci a été acheté le 2 février 2023, auprès de la société spécialisée Godaddy. Une mise à jour a été effectuée le 11 mai. Tout le reste des informations est privé et ne peut pas être consulté. À noter aussi que le site est considéré comme sécurisé pour Google, affichant le fameux cadenas dans la barre de recherche, après achat d’un certificat SSL.
Le « dynamisme » de la page
Pour reconnaitre un faux site, Benoit Grunemwald préconise d’observer l’environnement de la page : « Un site de média aujourd’hui n’est pas figé. Des publicités s’affichent, des propositions d’informations, de lecture. Une fois que vous actualisez le site, la plupart de ces encadrés vont changer, notamment les pubs. »
L’un des faux articles publiés sur le Parisien.ltd donne cette impression statique. Les informations proposées datent d’ailleurs de février 2023, abordant des sujets comme les manifestations contre la réforme des retraites ou le congrès du PS, alors que le site officiel affiche continuellement les dernières actualités. Un live pour suivre les informations en direct est disponible et les pubs changent à chaque actualisation.
« Pour parvenir à ce résultat, les malfaiteurs téléchargent entièrement le code HTML de la page pour la recopier ensuite. Certains services proposent de réaliser cette tâche automatique, mais compte tenu de l’ampleur de cette opération, il est probable que les copies aient été réalisées manuellement. On pourrait comparer tout ce travail à celui d’une agence web de création de contenu avec plusieurs dizaines d’employés », analyse Benoit Grunemwald.
L’Internet Research Agency, basée à Saint Pétersbourg, est d’ailleurs une ferme à trolls officielle en Russie et reste toujours active depuis 2013. La désinformation est également une arme et le Kremlin l’a rapidement compris.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
