La Russie a propagé de faux articles à partir de sites entièrement copiés de médias français. Plusieurs bons gestes permettent de repérer des pages frauduleuses.

« Une campagne numérique de manipulation de l’information contre la France. » C’est ainsi que Catherine Colonna, ministre de l’Europe et des Affaires étrangères, a défini la dernière opération de désinformation orchestrée par la Russie dans un communiqué publié le 13 juin 2023. 17 médias en Europe dont Le Monde, le Parisien et 20 minutes ont été entièrement copiés par des agents du Kremlin pour propager des articles de propagande et diffuser des narratifs anti-ukrainiens. Le service de vigilance et de protection contre les ingérences numériques étrangères (VIGINUM) a indiqué que 355 noms de domaine ont été créés pour réaliser ces sites clones. Depuis fin mai 2023, des « bots » (des comptes agissant automatiquement, sans besoin d’une intervention humaine) relaient ces liens sur les réseaux sociaux.

Une machine bien rodée pour influencer l’opinion publique et perturber le soutien de l’Occident à l’Ukraine. Le Quai d’Orsay déclare qu’il s’agit d’une « nouvelle illustration de la stratégie hybride que la Russie met en œuvre pour saper les conditions d’un débat démocratique apaisé et donc porter atteinte à nos institutions démocratiquesLa France condamne ces agissements indignes d’un membre permanent du Conseil de sécurité des Nations Unies. »

Les détails à observer pour repérer un clone

Les sites clones ressemblent suffisamment à l’original pour tromper un lecteur inattentif. L’internaute sera même redirigé vers le site du média copié en cliquant sur le logo. Quelques détails trahissent néanmoins la page en question.

Le nom de domaine

D’abord, le nom de domaine : pour Le Parisien, par exemple, le site se termine en « .fr » alors que clone finit en « .ltd ». « Une technique courante chez les cybercriminels », nous explique Benoit Grunemwald, expert cybersécurité chez ESET en France. « Les sites copiés d’entreprises, de plateformes d’e-commerce, de sociétés de livraison font partie de la méthodologie de l’hameçonnage. La première étape consiste à créer un nom de domaine pour être reconnu sur le moteur de recherche. Il y a des services qui sont moins regardants quant aux noms créés ou au moyen de paiement. Le plus souvent, il s’agit d’ajouter une lettre ou un chiffre pour maintenir le nom de l’entreprise copiée. »

En ce qui concerne le site clone du Parisien, les agents du Kremlin ont pris l’acronyme des sociétés à actionnaire dans le droit anglo-saxon. En lançant une recherche classique sur les bases de nom de domaine, on découvre que celui-ci a été acheté le 2 février 2023, auprès de la société spécialisée Godaddy. Une mise à jour a été effectuée le 11 mai. Tout le reste des informations est privé et ne peut pas être consulté. À noter aussi que le site est considéré comme sécurisé pour Google, affichant le fameux cadenas dans la barre de recherche, après achat d’un certificat SSL.

Le nom de de domaine en « ltd » du faux site. // Source : Numerama
Le nom de domaine en « ltd » du faux site. // Source : Numerama

Le « dynamisme » de la page

Pour reconnaitre un faux site, Benoit Grunemwald préconise d’observer l’environnement de la page : « Un site de média aujourd’hui n’est pas figé. Des publicités s’affichent, des propositions d’informations, de lecture. Une fois que vous actualisez le site, la plupart de ces encadrés vont changer, notamment les pubs. »

L’un des faux articles publiés sur le Parisien.ltd donne cette impression statique. Les informations proposées datent d’ailleurs de février 2023, abordant des sujets comme les manifestations contre la réforme des retraites ou le congrès du PS, alors que le site officiel affiche continuellement les dernières actualités. Un live pour suivre les informations en direct est disponible et les pubs changent à chaque actualisation.

Deux différences majeures entre le site du Parisien et sa copie frauduleuse. // Source : Numerama
Deux différences majeures entre le site du Parisien et sa copie frauduleuse. // Source : Numerama

« Pour parvenir à ce résultat, les malfaiteurs téléchargent entièrement le code HTML de la page pour la recopier ensuite. Certains services proposent de réaliser cette tâche automatique, mais compte tenu de l’ampleur de cette opération, il est probable que les copies aient été réalisées manuellement. On pourrait comparer tout ce travail à celui d’une agence web de création de contenu avec plusieurs dizaines d’employés », analyse Benoit Grunemwald.

L’Internet Research Agency, basée à Saint Pétersbourg, est d’ailleurs une ferme à trolls officielle en Russie et reste toujours active depuis 2013. La désinformation est également une arme et le Kremlin l’a rapidement compris.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !