Des sites de désinformation relayant les éléments de langage du Kremlin, clients des mêmes hébergeurs peu regardants et des même fournisseurs de services peu scrupuleux que des concepteurs de logiciels crapuleux : un nouveau rapport, publié jeudi 11 juillet par l’ONG de défense des médias Qurium, révèle comment les auteurs d’une campagne de désinformation, le réseau russe « Doppelgänger », s’appuie sur les mêmes infrastructures techniques que des groupes cybercriminels.
Depuis près de deux ans, chercheurs, journalistes, autorités et entreprises privées suivent de près l’évolution de Doppelgänger, une vaste campagne en ligne de diffusion d’éléments de propagande russe en Europe, mais aussi aux Etats-Unis, en Russie, en Ukraine et en Israël. Sa tactique, observée en particulier au début de l’opération, consiste à créer de faux sites se faisant passer pour de véritables sites d’information français, allemands, britanniques, etc. – dont Le Monde.
Surtout, Doppelgänger englobe des réseaux de faux comptes X et Facebook, utilisés au quotidien depuis deux ans pour tenter de diffuser au plus grand nombre – la plupart du temps sans récolter d’audience – des contenus de propagande. Ils ne servent pas seulement à republier de faux articles du Point, du Parisien ou du Monde, mais aussi à amplifier l’audience des vidéos ou articles créés par d’autres acteurs ayant des liens plus ou moins distendus avec les autorités russes.
Pendant plusieurs mois, Qurium a scruté la machinerie complexe utilisée par cette campagne, attribuée à une poignée d’entreprises de marketing russes – privées mais soupçonnées d’opérer pour le compte du Kremlin. Car pour déjouer la vigilance de Facebook ou de Twitter, qui déploient des filtres pour bloquer automatiquement ces publications, Doppelgänger a mis en place un système qui repose, entre autres, sur l’achat en continu de dizaines de milliers de noms de domaines. Chacun d’entre eux n’est utilisé que quelques jours durant, le temps de rediriger les internautes vers des sites de propagande, avant d’être abandonnés une fois détectés. Or, selon l’enquête de Qurium, l’immense majorité de ces noms de domaine sont hébergés chez des acteurs également utilisés par des infrastructures criminelles.
Un conglomérat d’hébergeurs
L’ONG suédoise a ainsi remonté la trace de Doppelgänger jusqu’à TNSecurity, service d’hébergement également été utilisés par des logiciels malveillants servant à voler des identifiants ou installer des virus. Les chercheurs ont par ailleurs remarqué que certains de ces noms de domaines étaient reliés à GIR-AS, une entreprise dont les services avaient été utilisés dans certaines opérations de Gamaredon, un groupe de pirates très fortement soupçonné d’être lié aux renseignement russes.
Plusieurs des sociétés identifiées par Qurium semblent appartenir à un vaste conglomérat de fournisseurs de services discrets, nommé Aeza, utilisé aussi bien par Doppelgänger que par les infrastructures de logiciels malveillants connus comme Lumma et Meduza. Un conglomérat qui, malgré ses origines russes, parviendrait à établir une présence à l’ouest de l’Europe, notamment en mettant en place des entreprises ayant une existence légale au Royaume-Uni. « L’enquête de Qurium montre qu’il y a un chevauchement clair des infrastructures utilisées pour la désinformation et pour toute une gamme d’activités cybercriminelles », explique l’ONG dans un communiqué.
Ce n’est pas la première fois que l’on constate que les chaînes de production des acteurs de la désinformation et de la cybercriminalité partagent certains chaînons. En 2023, l’ONG Reset Tech a identifié un vaste réseau composé de plus de 242 000 fausses pages Facebook, dont une petite partie était utilisée pour diffuser des publicités frauduleuses. Derrière se cachait vraisemblablement un acteur proposant, clé en main, des pages Facebook nécessaires au montage de campagnes et d’arnaques. Parmi elles, de faux articles de presse vantant des investissements miraculeux dans des cryptoactifs – en réalité des arnaques au placement, sur lesquelles Le Monde avait enquêté. Comme le soulignait alors le rapport de Reset, de nombreuses publicités de la campagne Doppelgänger utilisaient des pages Facebook appartenant à ce réseau.